安卓厂商满嘴跑火车!你收到的可能是假安全补丁 (android厂商)
一直以来,安卓系统的碎片化都是谷歌心中会呼吸的痛。不但系统升级成了老大难,如何推送安全补丁也让谷歌挠头,毕竟数十家制造商、数百家运营商和数千款设备排列组合起来可不是个小数目。
如果你是安卓发烧友,肯定会了解一个残酷的现实,那就是许多小厂商的安全补丁推送不太及时。不过这还不是最可怕的,因为一家德国安全公司对数百款安卓手机进行了一番研究后却发现, 一些厂商不但推迟推送安全补丁,还干脆向用户撒谎,假装自己推了安全补丁。
在安全补丁的问题上,弄虚作假居然成了行业潜规则?
周五在阿姆斯特丹举办的 Hack in the Box 安全大会上,来自安全研究实验室(SRL)的研究者 Karsten Nohl 和 Jakob Lell 计划公布一个惊人的结果。
据雷锋网了解,他们俩在过去两年里对大量安卓手机的操作系统代码进行了逆向工程,为的是查证这些设备是否像厂商承诺的一样打上了安全补丁。这一查不要紧,两位研究人员居然发现了巨大的“补丁鸿沟”。举例来说, 许多厂商告诉用户,它们已经按时间完成了安卓系统的安全更新,但事实上它们只是嘴上说说来安慰用户,其实什么都没做。
也就是说,用户只是吃了安慰剂,一旦被黑客盯上,还是会非死即伤。
"补丁鸿沟"
SRL 一共测试了 1200 台手机的固件,它们来自数十家手机制造商,其中不但有谷歌的亲儿子,还有三星、摩托、HTC等知名巨头。当然,也有来自中国的中兴和 TCL。
测试结果显示, 除了谷歌自家旗舰 Pixel 和 Pixel 2 按部就班的更新了安全补丁,其它厂商都学会了偷奸耍滑,而体量较小的小众厂商,安全更新更是一本读不下去的烂账。
Nohl 指出,以前大家可能觉得厂商会抛弃自家的老产品,但事实上它们连新产品也不管不顾了,而且谎话一个比一个说的溜, 用户没享受到服务,只得到了一个纸糊的安全护盾。 “在研究中我们还真发现了没进行过一次安全更新的厂商,不过它们改日期的水平可不低,这已经算得上是蓄意欺骗了。”
如果说一些小厂商已经丧心病狂的话,那么国际大厂们还算良心未泯,类似三星或索尼这样的厂商只是会偶然漏掉一两个小补丁。不过,Nohl 也发现了一些前后矛盾的奇怪之处。举例来说,2016 年的三星 J5 会一五一十的告诉用户到底更新了哪些补丁,还有哪些未更新,而同年的三星 J3 却补丁全满,但事实上三星漏推了 12 个补丁包。
同一家厂商都能出这么多幺蛾子,真是不可思议,对普通用户来说根本无法分辨。好在这次 SRL 做了次业界良心,在它们的安卓应用 SnoopSnitch 上你就能查到自己是不是被厂商忽悠了。
廉价机型是重灾区
在完成了全部测试后,SRL 专门制作了图表(下图),它们将制造商分为三个类别,评判标准就是它们 2017 年(10 月及之后收到至少一个安全推送)修补漏洞的诚实指数。表现最好的是谷歌、索尼、三星和 WIKO,小米、一加和诺基亚则排在第二梯队,表现最不好的就是中兴和 TCL,它们都宣称完成了 4 次以上的安全更新,但其实是说了假话。
先别忙着在自己的购机愿望清单上划掉第三和第四梯队的品牌啊,因为 SRL 指出, 漏打补丁可能也有芯片供应商的锅。 它们发现,搭载联发科芯片的手机平均会漏过 9.7 个补丁(如下图),而用了三星芯片的产品则最安全,排在第二和第三的高通和海思也比联发科安全得多。
其实从这个角度也能得出一个结论,那就是 低端手机确实不够安全,钱没花到位就会掉进一个年久失修的坑人生态。
《连线》专门就这份研究结果联系了谷歌,搜索巨头先是对 SRL 的工作表示了赞赏,而后话锋一转称它们研究的一些机型其实根本没得到安卓认证,也就是说它们根本无法达到谷歌的安全标准。
同时,谷歌还指出,现代的安卓手机安全功能足够强大,它们为用户搭建了很多层防护网,即使不打补丁也很难被黑客攻破。此外,谷歌认为一些厂商直接用移除漏洞功能的方式来替代安全更新,而且别忘了,一些低端机可能本来就没有需要打补丁的功能。
Nohl 也对谷歌的评论做了回应,他认为谷歌为厂商们找的借口太牵强,那种情况发生的几率太低了。
想黑掉安卓并不容易
不过,Nohl 并没有对谷歌穷追猛打,相反他认为借着漏打的补丁黑进安卓系统其实并不容易。 即使买到放飞自我厂商的机型,用户也能受到安卓平台的庇护。 举例来说,安卓 4.0 之后,谷歌就引入了随机定位布局的解决方案,应用在内存上的位置是随机的,恶意软件对手机进行完美入侵。此外,别忘了安卓还有强大的沙盒机制,即使遭到入侵,病毒也会被困住而无法扩散。
这就意味着,除非一台手机漏洞多到不计其数,否则黑客很难完全取得手机的控制权。
Nohl 指出, 对安卓系统进行正面强攻太难了,因此网络罪犯门玩起了旁敲侧击。 他们把人的心理研究的透透的,只用一些能占小便宜的免费或盗版软件,就能轻松在受害者手机中植入恶意软件。
同时,Nohl 也提醒大家,有背景的黑客集团们可不玩小花招,他们大多会直接利用零日漏洞(可攻破且没有补丁防护的秘密漏洞)发动攻击。当然,有时他们也会采用混合攻击方案,零日漏洞和普通漏洞一起用。
在防御黑客上,Nohl 认为战争理论中的“纵深防御”最有效,虽说安卓系统并不容易攻破,但你每少打一个补丁,可能就会少一层防御,给自己挖坑的事还是不作为好。
恩威并施的“保姆”谷歌
谷歌为了安全补丁可谓操碎了心,几乎就差把饭喂进手机厂商的嘴里。
不过,因为复杂的市场环境、利益关系以及自身能力,手机厂商们对于谷歌主动提供的安全补丁反倒情绪复杂,有人无所谓有人很积极,甚至有些干脆选择性遗忘。
雷锋网宅客频道(微信公众号:letshome),专注先锋科技领域,讲述黑客背后的故事。
原创文章,未经授权禁止转载。详情见 转载须知 。
全国招标信息网为国内招标采购大数据共享平台,实时更新海量的招标信息,提供工程建设追踪和行业分析报告查询服务,为各级政府、招标人、投标人以及招标代理机构提供招标大数据一站式检索和订阅服务。
事务树(www.oksws.com)是国内专业的一站式科技创新服务平台,为不同阶段的企业提供工商财税、知识服务、资质办理、创业咨询、法务咨询等全方位服务,致力于为企业用户提供《便捷、全面、创新》的创业解决方案。
南通用友专业从事企业ERP管理系统的销售、研发及应用,为企业提供财务、进销存、生产制造等服务(Tel:188-6298-1058),是用友在南通设立的分支机构。
苏州择智工业设计有限公司专业提供自动化设计,工业产品动画设计,企业宣传片制作,产品外观设计,工业产品设计,数字动画制作等服务。咨询电话:18963671901.
联合财经网是专业的财金知识服务平台,主要提供信用卡、贷款、保险、理财等财金领域高质量知识内容。涵盖百科、攻略、教程、问答、视频、工具等,助力用户轻松学懂财金知识、技能提升实现资产增值。
苏交科集团股份有限公司从事公路、市政、水工、铁路、城市轨道、环境、航空和建筑等行业的规划咨询、勘察设计、科研检测、安全评价、节能环保、监理、工程总承包、PPP投融资、智慧城市及互联网+的信息化业务
米派优品
课袋管家服务于校内课后服务,让孩子真正乐有所学,学有所乐
浙江固泰工程检测科技有限公司陕西分公司,拥有独立第三方检测实验室的一家综合型检验检测机构。
云南建筑资质服务网为您提供更专业的一站式建筑资质服务,资质代理,资质申请、增项、升级、等服务于云南下属的昆明市、曲靖市、玉溪市、保山市、昭通市、丽江市、普洱市、临沧市、楚雄、红河、文山、西双版纳、大理、德宏、怒江、迪庆等的区域
专业从事系列叉车属具的研发制造和销售
在新年到来之际,松松软文正式上线了,新媒体推广,频道,期间搜集整合了全网1000,优质账号资源,全力打造新的软文推广渠道,帮助用户实现全网覆盖,打造品牌口碑,1.新媒体推广细节很重要爆文=好的文案好的渠道,而好的文案又是由好的标题好的内容好的配图组成的,我们常说有一个好的标题你的文章就成功了一半,这个是因为标题决定了文章的打开率,内容...。
5月1日,互联网广告管理办法,正式实施,6月19日,市场监督总局要求加强广告监管,对于我们互联网创业者最直接的影响大概有,1,微信公众号、头条号、百家号等发布的软文广告,必须要注明,广告,字眼,否则罚款,2,从2023年7月起,微信不再允许公众号私下接投广告,走官方广告平台,当前抽成比例为5%,这意味着以后不能走私单了,3,5月...。
语音播放文章内容由深声科技提供技术支持您的浏览器不支持audio元素,雷锋网消息今天,沃尔玛中国在其一年一度的发展商大会上宣布,未来5,7年计划在中国新开设500家门店和云仓,包括沃尔玛购物广场、山姆会员商店、沃尔玛社区店多个业态,沃尔玛对中国市场充满信心,持续加大投资发展,除了开设新店,未来3年还将对200家现有门店进行大刀阔斧的升...。
一、在红盒自带的应用市场下载,万花筒二、打开,万花筒相册,如下图,三、在,万花筒相册,界面中,点击遥控器的菜单键,在弹出菜单中,找到,万花筒视频,点击下载,并安装,提醒,你也可能发现是如下情况,如图,在弹出的,菜单,中,没有,万花筒视频,,这时候不要急等几个小时在查看试试,最多24小时之后就会出现的,经过实测,四、打开,万花筒视频...。
[全球时报驻德国特派特约记者刘赫青木]据路透社等内媒报道,外地期间7月15日,欧盟成员国迁就针对中国电动汽车征收暂时关税的方案启动表决投票,德国联邦政府将向欧盟提交对于对中国产电动汽车加征关税的立场性文件,外部人士通知路透社,德方的正式立场还没有最终敲定,但有迹象显示或者会投弃权票,以便推进欧盟与中国继续就关税启动商量,4日,欧盟委员...。
中国地震台网正式测定,7月10日23时32分,在印尼苏门答腊岛南部海域,南纬5.4度,东经101.0度,出现5.7级地震,震源深度20公里,总台央视记者张下降,2022,年,10月1号会不会有,地震有,据中国地震台网测定,2022年10月1日3时28分,印尼苏门答腊岛北部,北纬2.05度,东经98.85度,发生5.7级地震,震源深度...。
十二生肖排序图片如下,1、子鼠2、丑牛3、寅虎4、卯兔5、辰龙6、巳蛇7、午马8、未羊9、申猴10、酉鸡11、戌狗12、亥猪十二生肖引见十二生肖的来源与生物崇敬无关,据湖北云梦睡虎地和甘肃天水放马滩出土的秦简可知,先秦时间即有比拟完整的生肖系统存在,最早记录与现代相反的十二生肖的传世文献是东汉王充的,论衡,十二生肖是十二地支的笼统化...。
假设我有25万的估算,我觉得买BBA的人并不理智,首先,这个价位能买到的只是一些入门级的BBA车型,像什么宝马1系三厢、奥迪A3、飞驰A级等车型,假构想买中型车,或许你还得选用上一代的A4L或许宝马3系,而且留意,买到的很或许还是最低配或许次低配,因此,在25万估算这个区间里,我团体其实是不介绍购置BBA车型的当然,土豪除外,那这一价...。
出轨了?当然是选择原谅她啊!
侠客短视频解析是一款优质的视频解析应用软件,可以解析收录几十个主流平台的视频数据,包括抖音、快手、火山小视频、西瓜视频、好看视频等
网易云音乐怎么取消关注?网易云音乐是一款很受欢迎的音乐软件,有很多用户都不知道网易云音乐怎么取消关注,下面2265小编就来告诉你网易云音乐怎么取消关注,一起来看看吧。 1、打开网易云音乐找到你关注的用户 网易云音乐首页图片 2、点击右上角的已
东风风行U-TOURV9正式定名为游艇V9,新车,内饰,游艇,东风风行,豪华品牌,mpv车型,1.5t发动机
现在的网上出现很多的好玩的小镇类经营手游,那么2022年流行的小镇类经营游戏有哪些,这类游戏能让玩家体验到不一样的经营,今天小编就给大家介绍一下流行的小镇类经营游戏游戏,让玩家们能够更多的体验到游戏的快乐,下面是流行的小镇类经营游戏推荐,1、,奶牛镇的小时光,奶牛镇的小时光,是一款开放式模拟乡镇幸福生活的游戏,游戏的玩法丰富多样,能...。
昨天有个人问我说做视频号能月入过万吗?我的回复是,99%的人不能,但为什么会经常有人这么问呢,松松思考了一下,原因是最近很多人在晒视频号撸收益的项目,他们晒的图片里赫然显示,收入过万、甚至十几万,尤其是直播带货的截图少则数千元、多则数十万,这收益简直比上班赚的还多,那个视频号撸收益项目真的靠谱吗?首先,我们来看看什么是撸视频号收益?在...。
对于很多不想打工的人来说,创业会是一个不错的渠道,自己当老板做主,通往成功彼岸,目前在不少行业内,都给出了能参与合作的项目,让大家创业阶段更为轻松,那么,uu飞人加盟多少钱?这个在服务行业内,发展起来的品牌,能提供代取、代排队、代送等服务,让客户不必为了琐事费神,有着光明的前景,至于开店成本,受到的影响因素,还是比较多的,uu飞人加盟...。
发表在海信激光电视2021,1,1316,472021年,激光电视迈入了全新的领域,科技感与智能化是众多品牌所追求的,海信20年12月底发布的L9F社交激光电视和坚果近日发布的U2pro激光电视都加入了新科技,那么这两款激光电视对比,谁的表现更胜一筹呢,让我们接着往下看,一、显示参数海信L9F社交激光电视采用三色纯净光源,色域达到10...。
发表在综合交流大区2023,10,1313,302023年出现了不少性能强大,画质出众的激光投影仪,如今双十一活动更是将至,那么2023双十一4k激光投影仪哪款好呢,下面就为大家分享值得入手的双十一4k激光投影仪,看看哪些4K投影仪更适合入手,双十一4k激光投影仪推荐,第一款,当贝X5Ultra推荐理由,当贝X5Ultra采用ALPD...。
