'这些家伙只是更改日期, 根本没装补丁'
一直以来, 谷歌都在努力争取让几十家Android智能手机制造商, 以及数百家运营商, 定期推送安全更新, 但是一家德国安全公司在针对数百台Android手机进行调查后, 发现了一个令人不安的新问题: 许多Android手机厂商不仅没给用户提供补丁, 或是延迟数月才发布;甚至有时也会告诉用户手机固件已经是最新的, 但却偷偷地跳过了补丁.
周五, 在阿姆斯特丹举行的 'Hack in the Box' 黑客安全大会上, 研究人员查看了近两年的数百款Android手机系统代码, 大部分存在安全隐患, 缺一打补丁的手机不少见. 研究人员Nohl说: '虽然补丁很小, 但对手机安全很重要. 最糟糕情况是, Android手机厂商在设备故意歪曲事实. 这些家伙只是在推送时候改了个更新日期, 压根没有补丁. '
安全机构SRL测试了1200部手机, 这些设备有谷歌自己, 以及三星, 摩托罗拉, HTC等主要安卓手机厂商, 还有中兴, TCL等中国公司制造. 他们发现, 除了谷歌自己如Pixel和Pixel 2等旗舰机, 即使是顶级手机厂商在安全补丁这块也相当糊涂, 其他二三线厂商的更新记录更是混乱. 研究人员Nohl说, 这种假装装了补丁的问题是最要命的, 他们告诉用户有, 其实没有, 从而产生了一种虚假的安全感. 这是故意的欺骗.
大公司打补丁不积极
还有种更常见的情况是, 像索尼或三星这样的大公司也会错过一两个补丁. 很多重要更新并没有, 例如三星2016年的手机J5或J3, 非常坦诚告诉用户哪些补丁已经安装, 但缺少很多重要更新, 也缺少提示. 用户几乎不可能知道实际安装了哪些补丁. 为了解决这个问题, SRL实验室发布了一个叫 'SnoopSnitch' 的Android应用, 它允许用户查看手机的代码, 以了解其安全更新的实际状态.
SRL实验室在测试那堆手机后, 制作了以下图表, 根据2017年10月之后打补丁的情况, 将厂商进行了分级, 漏装0-1个补丁是最好的情况, 有谷歌, 索尼, 三星, 以及Wiko这个不知名的中国厂商;小米, 一加, 诺基亚平均丢了1-3个补丁;而HTC, 华为, LG和摩托罗拉这些知名厂商则丢了3-4个补丁;TCL和中兴丢了4个以上安全补丁, 在榜单上表现最差——他们声称已经安装了, 但没有.
低端芯片引发恶性循环
还有种情况是在手机芯片中发现了漏洞, 而不是在操作系统中. 如果按所使用芯片来分类的, 三星的处理器就比较好, 高通芯片也还行, 但使用中国台湾联发科(MediaTek)芯片的手机平均漏了9.7个补丁.
这种情况跟手机定价有关, 低价手机一般使用的也是便宜芯片(比如联发科就占比较大), 对安全也不太重视. 手机制造商也不重视, 依赖芯片厂商提供补丁. 结果就是从采用低端芯片的廉价手机, 会继承芯片厂不注重安全的问题, 最终导致如果你选择便宜的手机, 会进入一种安全的恶性循环, 在这个生态系统中得到不太好的维护.
谷歌: 安全不止是打补丁
当连线杂志就此事与谷歌公司联系时, 该公司回应指出, SRL分析的一些手机可能不是Android认证的设备, 这意味着它们没有被谷歌的安全标准所控制.
另外, 谷歌指出, 现在的Android手机即使有未修补的安全漏洞, 也很难破解. 他们认为, 在某些情况下, 设备可能漏掉一些补丁, 因为手机厂商只是简单粗暴地从手机上封堵一个易受攻击的功能, 而不是修复.
谷歌表示他们正在与SRL实验室合作, 进一步调查研究结果: '安全更新是保护安卓设备和用户的众多层面之一, 内置的平台保护, 如应用程序沙箱和安全服务, 谷歌游戏保护同样重要. 这些安全层结合了Android生态系统的多样性. '
广告
研究员Nohl并不认同听这种说法, 安全补丁不止是数字问题(他是说每个安全补丁都应该有);但他认同谷歌 'Android手机很难破解' 的说法, Android 4.0之后, 程序在内存的随机分配位置, 以及沙盒机制让恶意软件难以得逞.
现代的所谓的 '手机攻击' 可以完全控制目标Android手机, 但要利用手机软件系统的一系列漏洞而不仅仅是一个.
对相较于 '硬破解' 的方式, 更应该防范的是软破解, 就是那些那些在谷歌游戏商店中的流氓软件, 或者诱使用户从一些不明安全源来安装的软件. 人们经常被一些所谓的免费或盗版软件诱骗, 这种方式技术含量不高, 其实属于社会工程学范畴.
之所以建议厂商和用户把能有的安全补丁都装好, 是为了防止零日漏洞(zero-day), 一般被发现后立即被恶意利用. 在许多情况下, 它们可能会使用已知的尚未修补漏洞协助攻击. 所以才有 '深度防御' 的安全原则: 每一个错过的补丁都是潜在的一层保护. 你不应该给黑客留下潜在可能, 应该安装所有补丁.