Android系统乱象：安全更新就改个日期根本没装补丁

消息来源:baojiabao.com 作者: 发布时间：2024-11-24

报价宝综合消息Android系统乱象：安全更新就改个日期根本没装补丁

　　新浪手机讯 4月13日上午消息，《连线》杂志最近做了一篇报导，揭开了Android系统在安全补丁方面的乱象，很多Google发布的安全补丁不仅延迟推送，甚至还有厂商告诉用户已经最新，却偷偷地跳过了该有的安全补丁。

　　“这些家伙只是更改日期，根本没装补丁”

　　一直以来，Google都在努力争取让几十家Android智能手机制造商、以及数百家运营商、定期推送安全更新，但是一家德国安全公司在针对数百台Android手机进行调查后，发现了一个令人不安的新问题：许多Android手机厂商不仅没给用户提供补丁，或是延迟数月才发布；甚至有时也会告诉用户手机固件已经是最新的，但却偷偷地跳过了补丁。

　　周五，在阿姆斯特丹举行的“Hack in the Box”骇客安全大会上，研究人员查看了近两年的数百款Android手机系统代码，大部分存在安全隐患，缺一打补丁的手机不少见。研究人员Nohl说：“虽然补丁很小，但对手机安全很重要。最糟糕情况是，Android手机厂商在设备故意歪曲事实。这些家伙只是在推送时候改了个更新日期，压根没有补丁。”

　　安全机构SRL测试了1200部手机，这些设备有Google自己，以及Samsung、Motorola、HTC等主要Android手机厂商，还有中兴，TCL等中国公司制造。

　　他们发现，除了Google自己如Pixel和Pixel 2等旗舰机，即使是顶级手机厂商在安全补丁这块也相当糊涂，其他二三线厂商的更新记录更是混乱。

　　研究人员Nohl说，这种假装装了补丁的问题是最要命的，他们告诉用户有，其实没有，从而产生了一种虚假的安全感。这是故意的欺骗。”

　　大公司打补丁不积极

　　还有种更常见的情况是，像Sony或Samsung这样的大公司也会错过一两个补丁。很多重要更新并没有，例如Samsung2016年的手机J5或J3，非常坦诚告诉用户哪些补丁已经安装，但缺少很多重要更新，也缺少提示。用户几乎不可能知道实际安装了哪些补丁。为了解决这个问题，SRL实验室发布了一个叫“SnoopSnitch”的Android应用，它允许用户查看手机的代码，以了解其安全更新的实际状态。

　　SRL实验室在测试那堆手机后，制作了以下图表，根据2017年10月之后打补丁的情况，将厂商进行了分级，漏装0-1个补丁是最好的情况，有Google，Sony，Samsung，以及Wiko这个不知名的中国厂商；小米，以及，Nokia平均丢了1-3个补丁；而HTC，华为，LG和Motorola这些知名厂商则丢了3-4个补丁；TCL和中兴丢了4个以上安全补丁，在榜单上表现最差――他们声称已经安装了，但没有。

　　低端芯片引发恶性循环

　　还有种情况是在手机芯片中发现了漏洞，而不是在操作系统中。

　　如果按所使用芯片来分类的，Samsung的处理器就比较好，高通芯片也还行，但使用中国台湾联发科（MediaTek）芯片的手机平均漏了9.7个补丁。

　　这种情况跟手机定价有关，低价手机一般使用的也是便宜芯片（比如联发科就占比较大），对安全也不太重视。手机制造商也不重视，依赖芯片厂商提供补丁。

　　结果就是从采用低端芯片的廉价手机，会继承芯片厂不注重安全的问题，最终导致如果你选择便宜的手机，会进入一种安全的恶性循环，在这个生态系统中得到不太好的维护。

　　Google：安全不止是打补丁

　　当连线杂志就此事与Google公司联系时，该公司回应指出，SRL分析的一些手机可能不是Android认证的设备，这意味着它们没有被Google的安全标准所控制。

　　另外，Google指出，现在的Android手机即使有未修补的安全漏洞，也很难破解。他们认为，在某些情况下，设备可能漏掉一些补丁，因为手机厂商只是简单粗暴地从手机上封堵一个易受攻击的功能，而不是修复。

　　Google表示他们正在与SRL实验室合作，进一步调查研究结果：“安全更新是保护Android设备和用户的众多层面之一，内置的平台保护，如应用程序沙箱和安全服务、Google游戏保护同样重要。这些安全层结合了Android生态系统的多样性。”

　　研究员Nohl并不认同听这种说法，安全补丁不止是数字问题（他是说每个安全补丁都应该有）；但他认同Google“Android手机很难破解”的说法，Android 4.0之后，程式在内存的随机分配位置，以及沙盒机制让恶意软件难以得逞。

　　现代的所谓的“手机攻击”可以完全控制目标Android手机，但要利用手机软件系统的一系列漏洞而不仅仅是一个。

　　对相较于“硬破解”的方式，更应该防范的是软破解，就是那些那些在Google游戏商店中的流氓软件，或者诱使用户从一些不明安全源来安装的软件。人们经常被一些所谓的免费或盗版软件诱骗，这种方式技术含量不高，其实属于社会工程学范畴。