APP下载

你以为装完所有手机安全更新,其实没有,研究发现:多款Android手机的安全更新资讯不实

消息来源:baojiabao.com 作者: 发布时间:2024-03-28

报价宝综合消息你以为装完所有手机安全更新,其实没有,研究发现:多款Android手机的安全更新资讯不实

Android手机的安全更新一直远不如iPhone有效率,因此Google一直力促手机厂商提供安全更新。但研究人员发现,包括从大厂三星、Sony到HTC及中国手机等Android手机提供用户的安全更新资讯,皆或多或少有夸大不实的问题,导致用户曝露于安全风险之中。

Wired周四报导,安全公司Security Research Labs研究人员Karsten Nohl及Jakob Lell测试了来自Google、三星、Sony、HTC、Nokia、Motorola、及中国的ZTE、TCL等1200款手机的固件,以测试是否真的如手机讯息显示下载了安全更新。结果出现研究人员称为“修补程式鸿沟”(patch gap)的情形,即手机真实下载的更新都或多或少有所遗漏。研究人员也在荷兰阿姆斯特丹举行的Hack in the Box安全会议上公布这项研究。

研究显示,偶尔情况下Sony、或三星手机会遗漏1、2项修补程式。但同一家厂商的手机的表现差异也很大,例如2016年Samsung J5是完全真实显示安装了哪些,以及尚有哪些修补程式未安装。但2016年J3手机却遗漏了12项,包括2项重大修补程式。

研究人员提供各家手机厂商的遗漏修补程式平均数。其中Google、Sony、Samsung及法国厂商Wiko平均在1个以下,小米、Nokia及OnePlus为1-3项,HTC、LG、华为及Motorola则在3-4项。而中国手机品牌TCL及ZTE遗漏数量为4个以上。

这项研究还探讨了芯片组和手机遗漏修补程式的关系。其中三星产品平均不到0.5表现最佳,高通(Qualcomm)为1.1项,中国的海思半导体(Hisilicon)为1.9项。联发科则高达9.7项。研究人员表示,有些情形下,可能纯粹是因为便宜的手机较容易遗漏修补程式,刚好又使用了便宜的芯片组。但其他情形下是因为漏洞出在芯片本身,而手机厂商又仰赖芯片商提供修补程式,使得手机出现修补不足的情形。

研究人员指出,如果消费者买的是便宜手机,可能就会身处在维护不良的生态体系中。

Google对此回应,研究测试的手机,有些并未符合Google现在正在力推的Android安全认证,同时现在的Android手机有更多安全防护,像是应用程序沙盒、手机防毒等等,因此即使少安装了修补程式也不容易被骇。该公司也指出,有些情况下Android手机移除了有问题的功能,或一开始就没有这些功能,因此一些修补程式是不重要的。

研究人员Nohl并不认同Google关于手机厂商移除有问题功能的论点,但同意现代Android的设计,像是Lollipop(4.0)以上将内存中程式位置随机化之后,使得更不容易为恶意程式攻击。

这也意谓著,大部分Android手机攻击是起于骇客利用多个软件或app弱点,而非只是没有安装修补程式。因此除了国家赞助的攻击行为是攻击未修补漏洞,大部分攻击是来自使用者从Google Play Store或第三方软件商店下载了有害的app这种简单行为。

不过即使如此,研究人员仍然强调“深度防御”的重要性,每少一安装一项修补程式,就多一分被攻击者得手的风险。

2018-04-13 13:31:00

相关文章