安卓厂商满嘴跑火车!你收到的可能是假安全补丁 (android厂商)

文章编号:45105 资讯动态 2024-12-09 安全补丁低端机型安卓

安卓厂商满嘴跑火车!你收到的可能是假安全补丁

一直以来,安卓系统的碎片化都是谷歌心中会呼吸的痛。不但系统升级成了老大难,如何推送安全补丁也让谷歌挠头,毕竟数十家制造商、数百家运营商和数千款设备排列组合起来可不是个小数目。

如果你是安卓发烧友,肯定会了解一个残酷的现实,那就是许多小厂商的安全补丁推送不太及时。不过这还不是最可怕的,因为一家德国安全公司对数百款安卓手机进行了一番研究后却发现, 一些厂商不但推迟推送安全补丁,还干脆向用户撒谎,假装自己推了安全补丁。

在安全补丁的问题上,弄虚作假居然成了行业潜规则?

周五在阿姆斯特丹举办的 Hack in The Box 安全大会上,来自安全研究实验室(SRL)的研究者 Karsten Nohl 和 Jakob Lell 计划公布一个惊人的结果。

据雷锋网了解,他们俩在过去两年里对大量安卓手机的操作系统代码进行了逆向工程,为的是查证这些设备是否像厂商承诺的一样打上了安全补丁。这一查不要紧,两位研究人员居然发现了巨大的“补丁鸿沟”。举例来说, 许多厂商告诉用户,它们已经按时间完成了安卓系统的安全更新,但事实上它们只是嘴上说说来安慰用户,其实什么都没做。

也就是说,用户只是吃了安慰剂,一旦被黑客盯上,还是会非死即伤。

"补丁鸿沟"

SRL 一共测试了 1200 台手机的固件,它们来自数十家手机制造商,其中不但有谷歌的亲儿子,还有三星、摩托、HTC等知名巨头。当然,也有来自中国的中兴和 TCL。

测试结果显示, 除了谷歌自家旗舰 Pixel 和 Pixel 2 按部就班的更新了安全补丁,其它厂商都学会了偷奸耍滑,而体量较小的小众厂商,安全更新更是一本读不下去的烂账。

Nohl 指出,以前大家可能觉得厂商会抛弃自家的老产品,但事实上它们连新产品也不管不顾了,而且谎话一个比一个说的溜, 用户没享受到服务,只得到了一个纸糊的安全护盾。 “在研究中我们还真发现了没进行过一次安全更新的厂商,不过它们改日期的水平可不低,这已经算得上是蓄意欺骗了。”

如果说一些小厂商已经丧心病狂的话,那么国际大厂们还算良心未泯,类似三星或索尼这样的厂商只是会偶然漏掉一两个小补丁。不过,Nohl 也发现了一些前后矛盾的奇怪之处。举例来说,2016 年的三星 J5 会一五一十的告诉用户到底更新了哪些补丁,还有哪些未更新,而同年的三星 J3 却补丁全满,但事实上三星漏推了 12 个补丁包。

同一家厂商都能出这么多幺蛾子,真是不可思议,对普通用户来说根本无法分辨。好在这次 SRL 做了次业界良心,在它们的安卓应用 SnoopSnitch 上你就能查到自己是不是被厂商忽悠了。

廉价机型是重灾区

在完成了全部测试后,SRL 专门制作了图表(下图),它们将制造商分为三个类别,评判标准就是它们 2017 年(10 月及之后收到至少一个安全推送)修补漏洞的诚实指数。表现最好的是谷歌、索尼、三星和 WIKO,小米、一加和诺基亚则排在第二梯队,表现最不好的就是中兴和 TCL,它们都宣称完成了 4 次以上的安全更新,但其实是说了假话。

安卓厂商满嘴跑火车!你收到的可能是假安全补丁

先别忙着在自己的购机愿望清单上划掉第三和第四梯队的品牌啊,因为 SRL 指出, 漏打补丁可能也有芯片供应商的锅。 它们发现,搭载联发科芯片的手机平均会漏过 9.7 个补丁(如下图),而用了三星芯片的产品则最安全,排在第二和第三的高通和海思也比联发科安全得多。

其实从这个角度也能得出一个结论,那就是 低端手机确实不够安全,钱没花到位就会掉进一个年久失修的坑人生态。

安卓厂商满嘴跑火车!你收到的可能是假安全补丁

《连线》专门就这份研究结果联系了谷歌,搜索巨头先是对 SRL 的工作表示了赞赏,而后话锋一转称它们研究的一些机型其实根本没得到安卓认证,也就是说它们根本无法达到谷歌的安全标准。

同时,谷歌还指出,现代的安卓手机安全功能足够强大,它们为用户搭建了很多层防护网,即使不打补丁也很难被黑客攻破。此外,谷歌认为一些厂商直接用移除漏洞功能的方式来替代安全更新,而且别忘了,一些低端机可能本来就没有需要打补丁的功能。

Nohl 也对谷歌的评论做了回应,他认为谷歌为厂商们找的借口太牵强,那种情况发生的几率太低了。

想黑掉安卓并不容易

不过,Nohl 并没有对谷歌穷追猛打,相反他认为借着漏打的补丁黑进安卓系统其实并不容易。 即使买到放飞自我厂商的机型,用户也能受到安卓平台的庇护。 举例来说,安卓 4.0 之后,谷歌就引入了随机定位布局的解决方案,应用在内存上的位置是随机的,恶意软件对手机进行完美入侵。此外,别忘了安卓还有强大的沙盒机制,即使遭到入侵,病毒也会被困住而无法扩散。

这就意味着,除非一台手机漏洞多到不计其数,否则黑客很难完全取得手机的控制权。

Nohl 指出, 对安卓系统进行正面强攻太难了,因此网络罪犯门玩起了旁敲侧击。 他们把人的心理研究的透透的,只用一些能占小便宜的免费或盗版软件,就能轻松在受害者手机中植入恶意软件。

同时,Nohl 也提醒大家,有背景的黑客集团们可不玩小花招,他们大多会直接利用零日漏洞(可攻破且没有补丁防护的秘密漏洞)发动攻击。当然,有时他们也会采用混合攻击方案,零日漏洞和普通漏洞一起用。

在防御黑客上,Nohl 认为战争理论中的“纵深防御”最有效,虽说安卓系统并不容易攻破,但你每少打一个补丁,可能就会少一层防御,给自己挖坑的事还是不作为好。

恩威并施的“保姆”谷歌

谷歌为了安全补丁可谓操碎了心,几乎就差把饭喂进手机厂商的嘴里。

不过,因为复杂的市场环境、利益关系以及自身能力,手机厂商们对于谷歌主动提供的安全补丁反倒情绪复杂,有人无所谓有人很积极,甚至有些干脆选择性遗忘。

雷锋网宅客频道(微信公众号:letshome),专注先锋科技领域,讲述黑客背后的故事。

原创文章,未经授权禁止转载。详情见 转载须知 。

全局中部横幅
春秋旅游网

春秋旅游网—春秋旅游官方网,提供国内游、出境游、周边游、跟团游、自由行、邮轮游、景点门票、春航特价机票、旅游签证预定,四十年品质保障.

柠檬七

柠檬7饮品诞生于2016年3月,是甜品饮料市场的一支新生力量。至2020年底,柠檬7饮品以直营和加盟双向联动的运营模式,发展连锁店近两百家,覆盖山东、内蒙古、黑龙江等多省市。柠檬7以“只做健康的新式茶饮”为经营理念,从源头采购新鲜原料,现萃茶叶、现切水果,现做现摇,确保每一口饮品的绿色健康。

浙江宇霆电气有限公司

浙江宇霆电气有限公司成立于2016年,是一家集科研、生产、销售为一体的创新型公司,专业生产高中低压充气柜、环网柜、开关柜、中置柜系列,及箱式变电站系列.

叉车电磁吸盘,挖掘机电磁吸盘,铲车电磁吸盘,废钢起重电磁吸盘,起重电磁吸盘,废钢电磁吸盘厂家

山东承祥工业科技有限公司【电话:189-6357-1399】主营叉车电磁吸盘,挖掘机电磁吸盘,铲车电磁吸盘,废钢起重电磁吸盘,起重电磁吸盘,废钢电磁吸盘厂家等,质量可靠,欢迎广大客户来人来电垂询!

蚌埠木箱

安徽成双包装有限公司是一家专业从事各类木质、纸质包装企业,专业生产各种钢带箱、出口木箱、国内木箱、出口托盘、国内托盘、珍珠棉、蜂窝箱、纸护角等产品。

无极绳绞车,主压绳轮组,副压绳轮组,组合托/压绳轮组厂家

徐州龙胜机械科技有限公司主打无极绳绞车主压绳轮组副压绳轮组托绳轮组组合压绳轮组组合托绳轮组弯道轮组过岔轮组梭车尾轮张紧装置SQJWB

霸气应用

霸气应用(www.87797.cn)中国最比较具备影响力的手机数码中文门户,包括安卓、iPhone、iPad、WindowsPhone、芒果等系统,24小时更新手机游戏游戏、软件应用,发布最新的原创游戏攻略、视频攻略以及软件教程评测,努力做中国游戏软件应用下载站

辽宁大兵搬家公司

-大兵搬家公司,中国专业搬家公司、中国专业的搬家服务提供商,从事搬家(运)精品搬家、涉外搬家、小件搬家、居民搬家、长途搬家、艺术物品包装、同城配送、迷你仓储、公司厂房搬迁、人工服务、各型设备吊装、起重搬运、家具拆装、等搬家服务

沈阳天电防雷科技有限公司

本公司从事:防雷常规定期检测;专项防雷检测;新建防雷检测;防雷跟踪检测;防雷设施检测;防静电检测;防雷技术咨询;防雷工程设计、施工;

发现兴趣的无限可能,畅游文化与创意的精彩世界

发现兴趣的无限可能是一个专注于兴趣拓展、文化交流和创意探索的综合平台。这里汇聚了丰富的兴趣内容,从旅行、美食、手工到宠物分享,为用户带来多样化的灵感。同时,平台也为文艺爱好者提供书籍、电影、艺术作品的赏析和交流空间。无论你是热爱探索新鲜事物的兴趣达人,还是追求深度文化体验的生活家,这里都将为你打造一个多元有趣的知识和分享社区,让每一天都充满发现和乐趣。

御宅男工作室

Yzncms(又名御宅男CMS)是基于最新TP5.1框架的CMS内容管理系统。是一款完全免费开源的项目,他将是您轻松建站的首选利器。框架易于功能扩展,代码维护,方便二次开发,帮助开发者简单高效降低二次开发成本,满足专注业务深度开发的需求。

聚合搅拌

杭州原正工程技术装备有限公司(www.mixchem.com)是专业的搅拌器,搅拌设备,气液搅拌,聚合搅拌供应商,公司为国家高新技术企业,20年来一直致力于化工搅拌技术的研发,搅拌设备设计制造,欢迎来电洽谈

全局底部横幅