在阿姆斯特丹舉辦的Hack in the Box安全會議上, Security Research公司的研究人員Karsten Nohl和Jakob Lell介紹, 他們針對最近兩年上市的數百台Android智能手機的作業系統代碼進行了逆向分析, 詳細的對每台設備實際安裝的安全補丁進行了研究. 他們發現所謂的 '補丁門' : 在一些情況下部分廠商會通知用戶已經安裝了所有特定日期發布的安全補丁, 但實際上並未提供這項服務, 只是虛假的通知, 因此這些設備非常容易受到黑客的攻擊.
'我們發現, 實際修補和廠商聲稱已經完成修複之間的漏洞數量存在差別. ' 著名安全研究人員, SRL創始人Nohl表示. 他說, 最糟糕的情況下, Android手機製造商會故意篡改設備上次修複漏洞的時間. '有些廠商會在未安裝補丁的情況下更改系統更新日期. 出於營銷的原因, 他們只是將補丁的安裝日期設置為特定時間, 只是追求看起來很安全而已. '
選擇性忽略
SRL在2017年統計了Android系統的每一次安全更新, 測試了來自於十幾家智能手機廠商超過1200部手機的韌體, 這些設備來自於穀歌, 三星, 摩托羅拉, HTC等主流Android手機廠商以及中興, TCL等新興製造商. 他們發現, 除了穀歌自己的Pixel和Pixel 2等機型之外, 就算是國際頂級廠商有時也會謊稱自己為產品安裝了實際上並未發布的補丁更新. 而二三線廠商的記錄則更加糟糕.
Nohl指出, 這是一種比放棄更新後果更嚴重的行為, 並且已經成為了智能手機領域中常見的現象. 在其實並未採取任何行動的情況下告訴用戶修複了漏洞, 為用戶營造出了一種 '虛假' 的安全感. Nohl說: '我們發現有幾家廠商並未安裝某些補丁, 但卻修改系統最後更新的日期, 這是一種故意欺騙的行為, 但並不普遍. '
Nohl認為, 更常見的情況是像索尼或三星這樣的頂級廠商, 會因為某些意外錯過一兩個補丁更新. 但在不同的機型身上, 卻出現了不同的情況: 比如三星的2016款Galaxy J5機型, 就會非常清晰的告訴用戶已經安裝了哪些補丁, 哪些補丁沒有更新. 但在2016款Galaxy J3的身上, 三星聲稱所有補丁都已經發布, 但經過調查發現依然缺少了12個非常關鍵的更新.
'考慮到這是一種隱性機型差異, 用戶幾乎不可能了解自己實際上究竟安裝了哪些更新, ' Nohl說. 為了解決這種補丁更新缺乏透明度的情況, SRL Labs還發布了一項針對旗下Android平台SnoopSnitch應用的更新, 用戶可以輸入自己的手機代碼, 隨時查看安全更新的真實狀況.
不同廠商情況不同
在對每個供應商的產品進行評估之後, SRL Labs製作了下面這組圖表, 將智能手機廠商分成了三個類別, 分類的依據為各自在2017年對外宣和實際安裝補丁數的匹配程度, 包括在2017年10月或之後至少收到一次更新的機型. 包括小米, 諾基亞在內的主要安卓廠商, 平均有1到3個補丁 '丟失' , 而HTC, 摩托羅拉, LG和華為有3到4個補丁 '丟失' , TCL和中興排名最後, 丟失的補丁數超過4個. 而穀歌, 索尼, 三星等錯過的補丁更新數量小於等於1.
SRL還指出, 晶片供應商是補丁缺失的一個原因. 比如使用三星晶片的機型很少會出現悄悄忽略更新的問題, 而使用聯發科晶片的設備, 平均補丁缺失高達9.7個. 在某些情況下, 很有可能就是因為由於使用了更廉價的晶片, 補丁缺失的機率就更高. 還有一種情況就是因為漏洞出現在晶片層面而並非系統層面, 因此手機製造商要依賴晶片廠商才會完成進一步更新. 結果是從低端供應商那裡採購晶片的廉價智能手機也延續了 '補丁缺失' 的問題. '經過我們的驗證, 如果你選擇了一款比較便宜的產品, 那麼在安卓生態系統中, 就會處於一個比較不受重視的地位. ' Nohl表示.
在《連線》雜誌聯繫穀歌后, 穀歌對SRL的研究表示讚賞, 但同時回應指出, SRL分析的部分設備可能並沒有經過安卓系統認證, 這意味著它們並不受穀歌安全標準的限制. 穀歌表示, 安卓智能手機有安全功能, 就算在沒有補丁的情況下, 安全漏洞也很難被破解. 在某些情況下, 之所以會出現 '補丁丟失' 的問題, 是因為手機廠商只是將某種易受攻擊的功能簡單的移除而不是修複, 或者某些手機在一開始就沒有這項功能.
穀歌表示將與SRL Labs合作, 進一步進行深入調查. '安全更新是保護Android設備和用戶的眾多層級之一, ' Android產品安全主管Scott Roberts在《連線》雜誌上發表聲明. '系統內置的平台保護系統, 比如應用程序沙盒和Google Play Protect安全服務也同樣重要. 這些多層次的安全手段, 再加上Android生態系統的多樣性, 讓研究人員得出了這樣的結論, 即Android設備的遠程開發仍然充滿了挑戰性. '
為了回應穀歌針對廠商由於移除了易受攻擊的功能而導致補丁缺失的結論, Nohl反駁稱, 這種情況並不常見, 發生的機率並不大.
補丁缺失影響有限
不過讓人意外的是, Nohl對穀歌的另一個說法表示同意: 通過利用缺失的補丁對Android手機進行攻擊, 其實並不是一件容易的事情. 甚至一些沒有更新補丁的Android手機在系統更廣泛的安全措施保護下, 惡意軟體依然難以對漏洞加以利用, 像從Android 4.0 Lollipop開始出現的沙盒等功能, 限制了惡意程序訪問設備機率.
這就意味著大多數的黑客如果利用某個所謂的 '漏洞' 來獲得Android設備的控制權, 需要利用一系列的漏洞, 而不僅僅只是因為缺失一個補丁而攻擊成功. Nohl表示: '即使錯過了某些補丁, 依然可以依靠系統其它的安全特性抵禦大部分的攻擊. '
因此, Nohl表示, Android設備更容易被一些比較簡單的方式破解, 比如在Google Play商店中出現的那些惡意應用, 或者在非官方應用商店安裝的App. Nohl說: '用戶安裝了盜版或惡意軟體, 就更容易成為黑客攻擊的目標. '