安卓厂商满嘴跑火车!你收到的可能是假安全补丁

  • 时间:
  • 浏览:5

老要 以来,安卓系统的碎片化都有 Google心中会呼吸的痛。不但系统升级成了老大难,如保推送安全补丁也让Google挠头,毕竟数十家制造商、数百家运营商和数千款设备排列组合起来可都有 个小数目。

你這個 你是安卓发烧友,肯定会了解另一4个 残酷的现实,那你這個 你這個 小厂商的安全补丁推送不太及时。

不过这还都有 最可怕的,你這個 一家德国安全公司对数百款安卓手机进行了一番研究后却发现,你這個 安卓厂商不但推迟推送安全补丁,还干脆向用户撒谎,假装此人 推了安全补丁。

在安全补丁的问提上,弄虚作假果真成了行业潜规则?

周五在阿姆斯特丹举办的Hack in the Box安全大会上,来自安全研究实验室(SRL)的研究者Karsten Nohl和Jakob Lell计划宣布另一4个 惊人的结果。

据雷锋网了解,亲们 俩在过去两年里对絮状安卓手机的操作系统代码进行了逆向工程,为的是查证哪几种设备与非 像厂商承诺的一样打上了安全补丁。你這個 查从不紧,两位研究人员果真发现了巨大的“补丁鸿沟”。

举例来说,你這個 厂商告诉用户,它们你這個 按时间完成了安卓系统的安全更新,但事实上它们你這個 嘴上话语来安慰用户,其实哪几种都没做。

也你這個 说,用户你這個 吃了安慰剂,一旦被黑客盯上,还是会非死即伤。

“亲们 发现,现在的厂商们都有 嘴炮打得好,真到上能 打安全补丁时它们就消失了。”Nohl说道,“有后后哪几种家伙连补丁描述都懒得改,你這個 换了个日期就算完事。我说这是为了市场宣传?反正它们你這個 任意设置个更新日期,如保会会好看如保会会来。”

“补丁鸿沟”

SRL一共测试了1100台手机的固件,它们来自数十家手机制造商,其中不但有Google的亲儿子,还有三星、摩托、HTC等知名巨头。当然,都有 来自中国的中兴和TCL。

测试结果显示,除了Google自家旗舰Pixel和Pixel 2按部就班地更新了安全补丁,其它厂商都自学了偷奸耍滑,而体量较小的小众厂商,安全更新更是一本读不下去的烂账。

Nohl指出,后后亲们 你這個 其实厂商会选者选者离开自家的老产品,但事实上它们连新产品你這個 管不顾了,你這個 谎话另一4个 比另一4个 说的溜,用户没享受到服务,只得到了另一4个 纸糊的安全护盾。

“在研究中亲们 还真发现了没进行过一次安全更新的厂商,不过它们改日期的水平可不低,这你這個 算得上是蓄意欺骗了。”

你這個 说你這個 小厂商你這個 丧心病狂话语,先要 国际大厂们还算良心未泯,这类三星或索尼曾经的厂商你這個 会偶然漏掉另一4个 小补丁。不过,Nohl也发现了你這個 前后矛盾的奇怪之处。

举例来说,2016年的三星J5会一五一十的告诉用户到底更新了哪几种补丁,还有哪几种未更新,而同年的三星J3却补丁全满,但事实上三星漏推了1另一4个 补丁包。

同一家厂商都能出先要 多幺蛾子,果真不可思议,对普通用户来说根本无法分辨。好在这次SRL做了次业界良心,在它们的安卓应用Snoop Snitch上你就能查到此人 是都有 被厂商忽悠了。

廉价机型是重灾区

在完成了完整篇 测试后,SRL专门制作了图表(下图),它们将制造商分为另一4个 类别,评判标准你這個 它们2017年(10月及后后收到合适另一4个 安全推送)修补漏洞的诚实指数。

表现最好的是Google、索尼、三星和WIKO,小米、一加和诺基亚则排在第二梯队,表现最不好的你這個 中兴和TCL,它们都宣称完成了4次以上的安全更新,但其实是说了假话。

先别忙着在此人 的购机愿望清单上划掉第三和第四梯队的品牌啊,你這個 SRL指出,漏打补丁你這個 都有 芯片供应商的锅。

它们发现,搭载联发科芯片的手机平均会漏过9.7个补丁(如下图),而用了三星芯片的产品则最安全,排在第二和第三的高通和海思也比联发科安全得多。

其实从你這個 深度要能得出另一4个 结论,那你這個 低端手机其实缺乏安全,钱没花到位就会掉进另一4个 年久失修的坑人生态。

《连线》专门就这份研究结果联系了Google,搜索巨头先是对SRL的工作表示了赞赏,而后话锋一转称它们研究的你這個 机型其实根本沒有到安卓认证,也你這個 说它们根本无法达到Google的安全标准。

一同,Google还指出,现代的安卓手机安全功能足够强大,它们为用户搭建了你這個 你這個 层防护网,即使不打补丁也先要被黑客攻破。

此外,Google认为你這個 厂商直接用移除漏洞功能的妙招来替代安全更新,你這個 别忘了,你這個 低端机你這個 曾经就先要 上能 打补丁的功能。

Nohl也对Google的评论做了宣布,他认为Google为厂商们找的借口太牵强,那种清况 处于的几率太低了。

想黑掉安卓从不容易

不过,Nohl并先要 对Google穷追猛打,相反他认为借着漏打的补丁黑进安卓系统其实从不容易。即使买到放飞自我厂商的机型,用户要能受到安卓平台的庇护。

举例来说,安卓4.0后后,Google就引入了随机定位布局的处里方案,应用在内存上的位置是随机的,恶意软件对手机进行完美入侵。此外,别忘了安卓还有强大的沙盒机制,即使遭到入侵,病毒也会被困住而无法扩散。

这要是是因为分析,除非一台手机漏洞多到不计其数,你這個 黑客先要完整篇 取得手机的控制权。

Nohl指出,对安卓系统进行正面强攻先要了,你這個 网络罪犯门玩起了旁敲侧击。亲们 把人的心理研究的透透的,只用你這個 能占小便宜的免费或盗版软件,就能轻松在受害者手机中植入恶意软件。

一同,Nohl也提醒亲们 ,有背景的黑客集团们可不玩小花招,亲们 大多会直接利用零日漏洞(可攻破且先要 补丁防护的秘密漏洞)发动攻击。当然,有时亲们 也会采用混合攻击方案,零日漏洞和普通漏洞一同用。

在防御黑客上,Nohl认为战争理论中的“纵深防御”最有效,虽说安卓系统从不容易攻破,但你每少打另一4个 补丁,你這個 就会少一层防御,给此人 挖坑的事还是不作为好。

恩威并施的“保姆”Google

Google为了安全补丁可谓操碎了心,几乎就差把饭喂进手机厂商的嘴里。

不过,你這個 复杂性的市场环境、利益关系以及自身能力,手机厂商们对于Google主动提供的安全补丁反倒情绪复杂性,另一个人无所谓另一个人很积极,甚至你這個 干脆选者 性遗忘。

2017年5月5日德国安全厂商GDATA宣布的报告显示,2017年第一季度出现了7116万个新的安卓病毒,势头略有减缓,但全年下来预计会超过3100万个,再创新高。

DATA指出,Google先要 重视安卓系统的安全,每个月都有推送安全补丁,但最大问提在于各厂商的跟进深度太慢。

也正是先要 ,Google恩威并施,为推动OEM厂商对安卓安全补丁进行及时更新,后后刚开始英语 对安全补丁的更新清况 进行晾晒。在Google的计划中,2017年会联合运营商对OEM厂商进行督促施压。

但显然,不装鸵鸟的第三方手机厂商后后刚开始英语 出现瞒天过海的勾当。

在知乎“如保会会你這個 安卓厂商不重视安全补丁的更新?”问提下,就看了2个匿名用户的回答:

实际上,联想、戴尔、惠普你這個 会帮你做系统安全更新的;

你這個 安全更新都有 哪几种公司制造的,你這個 你這個 哪几种安全更新与非 处于问提,亲们 先要 负责,要么此人 投入人力物力去测试验证,要么就跳过。;

你看各安卓厂商推此人 的UI更新还是比较积极的,毕竟这是此人 做的此人 测的,心里有底啊;

归根结底,你這個 厂商让他推更新,出哪几种问提都有 厂商负责。此时google反你這個 第三方厂商了,亲们 提供的更新当然沒有首要考虑;

当论坛发布了安卓版本更新的贴,会有一大群人高潮;

当论坛发布了UI版本更新的贴,会有另一个人炸锅;

当论坛发布了安全补丁更新的贴,会有你這個 人刷积分;

其实你這個 你這個 人都我沒有乎 安全补丁有何用,当然不闻不问。

Windows是授权收费的,厂商用Android可没交钱,不过上游代码是有安全Patch的,厂商完整篇 有能力测试发更新,不负责任而已。

2016年底,安卓安全主管Adrian Ludwig曾在O'Reilly安全大会上公开表达,在安全性上,安卓手机和苹果6手机手机66苹果6手机手机66“几乎是一模一样的”。

但如今看来,这句话是有条件的。

微信公众号搜索"

驱动之家

"加关注,每日最新的手机、电脑、汽车、智能硬件信息上能 让他一手全掌握。推荐关注!【

微信扫描下图可直接关注