這批安全補丁何時到達 Android 手機用戶手裡, 還要取決於手機機型, Android 手機廠商可能還涉及到運營商 (比如美國) .
現在, 有個執行層面的問題被暴露出來. 即便承諾更新安全補丁, 大部分 Android 手機廠商可能會漏掉數個安全補丁. 少數廠商甚至不安裝補丁, 通過修改安全補丁的時間, 讓用戶以為系統已經升級到最新版本. 這意味著 Android 手機廠商在手機安全性上可能隱瞞了資訊.
在 13 日荷蘭阿姆斯特丹的安全會議 Hack in the Box 上, 安全公司安全研究實驗室 (SRL) 的兩名研究員公布了一份針對數百台 Android 機型 2 年的研究報告, 探討了這個問題.
部分資訊已經公布在 SRL 實驗室官網, 《連線》雜誌對 SRL 實驗室創始人 Karsten Nohl 的採訪也探討了該問題. 更詳細的報告需要等待 SRL 演講結束後才會公布在網上.
根據 SRL 提供的部分報告資訊, 以及《連線》的採訪, SRL 實驗室的報告稱, Android 手機廠商在及時更新安全補丁上存在可信度的問題, 大部分手機廠商都缺失了數個安全補丁沒安裝.
抽樣部分: 少量 (Few) 代表 5-9 款; 很多 (Many) 代表 10-49 款, 大量 (Lots) 指的是 50 款以上| 圖片來自: SRL 實驗室
報告稱, 一部分原因可能跟手機廠商有關, 小米, 諾基亞旗下的機型平均有 1-3 個安全補丁沒有安裝; 還有部分原因來自於晶片公司. 如果是晶片硬體層面的漏洞, Android 手機廠商就需要獲得晶片公司提供的補丁. 通常來說, 廉價機型使用低端晶片, 也就導致了廉價機型容易出現更多漏洞.
根據晶片廠商不同, 手機安全補丁漏掉的數量| 圖片來自: 《連線》
即便是廉價機型, 待遇也會有差別. 在報告中, SRL 實驗室以三星的 2 款廉價手機作為案例. 三星 2016 年推出的兩款手機 J3 聲稱安裝了所有 2017 年發布的安全補丁, 但事實上少了 12 個. 同年推出的 J5 機型則會告訴用戶, 哪些補丁尚未安裝.
SRL 實驗室針對 1200 款手機的 Android 系統代碼進行逆向工程, 研究 2017 年發布的安全補丁是否確實安裝在系統內. 手機機型需要符合的標準是, 這些機型在 2017 年 10 月或更晚安裝過一次安全補丁.
1200 款手機來自於目前主要的 Android 手機廠商, 包括華為, 小米, 三星這 3 家銷量最大的公司, 還有一加, HTC, LG, 摩托羅拉等品牌.
還有個更常見的現象是, 老舊機型的安全補丁更新不及時. SRL 實驗室的創始人 Karsten Nohl 稱, Android 手機廠商忽視老舊機型上的系統升級, 安裝安全補丁, 是一種常見的現象.
但值得注意的是, 該報告對於手機廠商, 手機機型的篩選存在一定的問題. OPPO, vivo 這兩個 Android 手機廠商不在內, 只有幾款 Pixel 手機的 Google 抽樣了 50 多台設備.
但沒有安裝某個安全補丁, 並不意味著 Android 手機就容易被攻擊. SRL 實驗室也提到了這點.
針對 SRL 的報告, Google 對《連線》雜誌做出了回應, 對 Android 手機沒有安裝部分安全補丁做了解釋, 還說會跟 SRL 實驗室合作做進一步調查. Google 解釋稱, 部分 Android 手機廠商甚至可能直接去掉了部分存在漏洞的功能, 或者部分手機就不存在需要通過安裝補丁修複的功能.
另一方面, 即便安全補丁沒有安裝, 現在的 Android 手機配置的安全功能使其難以被攻擊. Google 方面回應稱, 安全更新只是用於保護 Android 設備和用戶的一層. 其他還包括沙盒機制, Google Play Protect 安全服務等.
在 2016 年的 Stagefright 漏洞事件後, Google 以及部分 Android 廠商已經加快了安全補丁的更新速度. 但進展仍然不夠快.
去年 3 月份, Google 在年度反饋中還公布了一份 16 款 Android 手機名單, 顯示那些已經可以每月及時獲取安全補丁更新的機型, 其中 6 款都是 Google 旗下的 Nexus, Pixel 手機品牌. 三星, OPPO, vivo 各有一款機型在內.