你以为装完所有手机安全更新,其实没有,
研究发现:多款Android手机的安全更新资讯不实
Android手机的安全更新一直远不如iPhone有效率,因此Google一直力促手机厂商提供安
全更新。但研究人员发现,包括从大厂三星、Sony到HTC及中国手机等Android手机提供用
户的安全更新资讯,皆或多或少有夸大不实的问题,导致用户曝露于安全风险之中。
Wired周四报导,安全公司Security Research Labs研究人员Karsten Nohl及Jakob Lell
测试了来自Google、三星、Sony、HTC、Nokia、Motorola、及中国的ZTE、TCL等1200款手
机的韧体,以测试是否真的如手机讯息显示下载了安全更新。结果出现研究人员称为“修
补程式鸿沟”(patch gap)的情形,即手机真实下载的更新都或多或少有所遗漏。研究
人员也在荷兰阿姆斯特丹举行的Hack in the Box安全会议上公布这项研究。
研究显示,偶尔情况下Sony、或三星手机会遗漏1、2项修补程式。但同一家厂商的手机的
表现差异也很大,例如2016年Samsung J5是完全真实显示安装了哪些,以及尚有哪些修补
程式未安装。但2016年J3手机却遗漏了12项,包括2项重大修补程式。
研究人员提供各家手机厂商的遗漏修补程式平均数。其中Google、Sony、Samsung及法国
厂商Wiko平均在1个以下,小米、Nokia及OnePlus为1-3项,HTC、LG、华为及Motorola则
在3-4项。而中国手机品牌TCL及ZTE遗漏数量为4个以上。
这项研究还探讨了芯片组和手机遗漏修补程式的关系。其中三星产品平均不到0.5表现最
佳,高通(Qualcomm)为1.1项,中国的海思半导体(Hisilicon)为1.9项。联发科则高
达9.7项。研究人员表示,有些情形下,可能纯粹是因为便宜的手机较容易遗漏修补程式
,刚好又使用了便宜的芯片组。但其他情形下是因为漏洞出在芯片本身,而手机厂商又仰
赖芯片商提供修补程式,使得手机出现修补不足的情形。
研究人员指出,如果消费者买的是便宜手机,可能就会身处在维护不良的生态体系中。
Google对此回应,研究测试的手机,有些并未符合Google现在正在力推的Android安全认
证,同时现在的Android手机有更多安全防护,像是应用程式沙盒、手机防毒等等,因此
即使少安装了修补程式也不容易被骇。该公司也指出,有些情况下Android手机移除了有
问题的功能,或一开始就没有这些功能,因此一些修补程式是不重要的。
研究人员Nohl并不认同Google关于手机厂商移除有问题功能的论点,但同意现代Android
的设计,像是Android 4.0以上将内存中程式位置随机化之后,使得更不容易为恶
意程式攻击。
这也意谓著,大部份Android手机攻击是起于骇客利用多个软件或app弱点,而非只是没有
安装修补程式。因此除了国家赞助的攻击行为是攻击未修补漏洞,大部份攻击是来自使用
者从Google Play Store或第三方软件商店下载了有害的app这种简单行为。
不过即使如此,研究人员仍然强调“深度防御”的重要性,每少一安装一项修补程式,就
多一分被攻击者得手的风险。
https://www.ithome.com.tw/news/122398
心得:
Security Research Labs提供了一款app
SnoopSnitch
可以用来测试你的手机有多少missing patches
https://play.google.com/store/apps/details?id=de.srlabs.snoopsnitch
原始研究成果在这边
https://srlabs.de/bites/android_patch_gap/
pdf slides:
https://bit.ly/2qB9gOD
OPPO是垫底的
另外也帮联发科QQ