研究:87%安卓装置不安全,主因是厂商偷懒不更新,一年平均只有1.26次!
剑桥大学电脑实验室(University of Cambridge Computer Laboratory)研究人员在本周
举行的“行动装置暨智慧型手机的安全与隐私”(Security and Privacy in Smartphones
and Mobile Devices,SPSM)会议上发表一篇研究报告指出,有87%的Android装置曝露在
恶意程式的攻击风险中,主因为Android装置制造商并未定期进行装置的安全更新,相对安
全的Android装置品牌则是Nexus、LG与Motorola。
根据该报告的说明,所有大型的软件系统都有安全漏洞,被公开揭露的漏洞经常成为攻击
目标,因此定期提供安全更新是保护系统的重要措施。然而,Android市场却悖离此一作法
,调查后发现,Android装置每年平均只收到1.26次的更新,显示这些装置几乎是长期曝露
在安全风险中。
该实验室调查了2011年7月到今年7月市场上各种品牌的Android装置,包括Google旗下的
Nexus、LG、Motorola、三星、Sony、HTC、Asus及其他品牌,并列出上述装置共通的11个
重大安全漏洞,包含已修补与未修补的漏洞。
Android平台的更新复杂度来自于它牵涉到许多不同的产业角色,从开放源码专案、Google
、硬件开发人员、装置制造商到电信业者。其中,光是Android的装置制造商就多达300个
,电信营运商则超过1400家,而且市场上有超过2万种型号的Android装置。
研究人员根据使用最新Android版本的比例、未修补的漏洞数量,以及摆脱安全漏洞的装置
比例等三大指标来判断Android装置的安全性,分数愈高就愈安全,结果发现Nexus、LG与
Motorola等三大品牌的Android装置最为安全,其他依序是三星、Sony、HTC与Asus。
其中,由于Nexus是Google委由不同的制造商所生产,且平台更新都由Google主导,理所当
然也成为最安全的Android装置,这也使得LG一跃成为打造安全Android装置的最佳制造商
。
从电信业者的角度来看,安全分数较高的前三名依序是O2、T-Mobile与Orange。若单就型
号来看,前五款最安全的Android装置依序是Galaxy Nexus、Nexus 4、Nexus 7、Desire
HD与HTC Sensation。前三名皆为Google产品,四、五则来自HTC。
研究结果显示,Android生态体系的更新递送瓶颈主要来自于未能释出更新以修补漏洞的装
置制造商,因为装置制造商与消费者之间存在着资讯不对称的问题,只有制造商才知道消
费者所使用的装置是否安全,或者何时应该进行更新。(编译/陈晓莉)
iThome
http://www.ithome.com.tw/news/99253