安卓手机厂商被曝安全漏洞 除了谷歌全部中枪

在一些情况下部分厂商会通知用户已经安装了所有特定日期发布的安全补丁,但实际上并未提供这项服务,只是虚假的通知,因此这些设备非常容易受到黑客的攻击。
安卓手机厂商存在忽略安全更新行为 除了谷歌全部中枪
 
   腾讯科技讯 4月13日据国外媒体报道,一直以来,谷歌都在努力推进市面上数十家智能手机制造商以及数百家运营商定期发布修复安全问题的软件更新。但最近一家德国安全公司针对数百台Android智能手机进行分析后发现了一个让人不安的新问题:不仅很多Android手机厂商不能或延迟多个月向用户发布补丁,甚至还会偷偷跳过某些补丁而欺骗用户固件已经完全更新。
  
  在阿姆斯特丹举办的Hack in the Box安全会议上,Security Research公司的研究人员Karsten Nohl和Jakob Lell介绍,他们针对最近两年上市的数百台Android智能手机的操作系统代码进行了逆向分析,详细的对每台设备实际安装的安全补丁进行了研究。他们发现所谓的“补丁门”:在一些情况下部分厂商会通知用户已经安装了所有特定日期发布的安全补丁,但实际上并未提供这项服务,只是虚假的通知,因此这些设备非常容易受到黑客的攻击。
  
  “我们发现,实际修补和厂商声称已经完成修复之间的漏洞数量存在差别。”著名安全研究人员、SRL创始人Nohl表示。他说,最糟糕的情况下,Android手机制造商会故意篡改设备上次修复漏洞的时间。“有些厂商会在未安装补丁的情况下更改系统更新日期。出于营销的原因,他们只是将补丁的安装日期设置为特定时间,只是追求看起来很安全而已。”
  
  选择性忽略
  
  SRL在2017年统计了Android系统的每一次安全更新,测试了来自于十几家智能手机厂商超过1200部手机的固件,这些设备来自于谷歌、三星、摩托罗拉、HTC等主流Android手机厂商以及中兴、TCL等新兴制造商。他们发现,除了谷歌自己的Pixel和Pixel 2等机型之外,就算是国际顶级厂商有时也会谎称自己为产品安装了实际上并未发布的补丁更新。而二三线厂商的记录则更加糟糕。
  
  Nohl指出,这是一种比放弃更新后果更严重的行为,并且已经成为了智能手机领域中常见的现象。在其实并未采取任何行动的情况下告诉用户修复了漏洞,为用户营造出了一种“虚假”的安全感。Nohl说:“我们发现有几家厂商并未安装某些补丁,但却修改系统最后更新的日期,这是一种故意欺骗的行为,但并不普遍。”
  
  Nohl认为,更常见的情况是像索尼或三星这样的顶级厂商,会因为某些意外错过一两个补丁更新。但在不同的机型身上,却出现了不同的情况:比如三星的2016款Galaxy J5机型,就会非常清晰的告诉用户已经安装了哪些补丁、哪些补丁没有更新。但在2016款Galaxy J3的身上,三星声称所有补丁都已经发布,但经过调查发现依然缺少了12个非常关键的更新。
  
  “考虑到这是一种隐性机型差异,用户几乎不可能了解自己实际上究竟安装了哪些更新,”Nohl说。为了解决这种补丁更新缺乏透明度的情况,SRL Labs还发布了一项针对旗下Android平台SnoopSnitch应用的更新,用户可以输入自己的手机代码,随时查看安全更新的真实状况。
  
  不同厂商情况不同
  
  在对每个供应商的产品进行评估之后,SRL Labs制作了下面这组图表,将智能手机厂商分成了三个类别,分类的依据为各自在2017年对外宣和实际安装补丁数的匹配程度,包括在2017年10月或之后至少收到一次更新的机型。包括小米、诺基亚在内的主要安卓厂商,平均有1到3个补丁“丢失”,而HTC、摩托罗拉、LG和华为有3到4个补丁“丢失”,TCL和中兴排名最后,丢失的补丁数超过4个。而谷歌、索尼、三星等错过的补丁更新数量小于等于1。
安卓手机厂商存在忽略安全更新行为 除了谷歌全部中枪
 
  SRL还指出,芯片供应商是补丁缺失的一个原因。比如使用三星芯片的机型很少会出现悄悄忽略更新的问题,而使用联发科芯片的设备,平均补丁缺失高达9.7个。在某些情况下,很有可能就是因为由于使用了更廉价的芯片,补丁缺失的概率就更高。还有一种情况就是因为漏洞出现在芯片层面而并非系统层面,因此手机制造商要依赖芯片厂商才会完成进一步更新。结果是从低端供应商那里采购芯片的廉价智能手机也延续了“补丁缺失”的问题。“经过我们的验证,如果你选择了一款比较便宜的产品,那么在安卓生态系统中,就会处于一个比较不受重视的地位。”Nohl表示。
 
安卓手机厂商存在忽略安全更新行为 除了谷歌全部中枪
 
  在《连线》杂志联系谷歌后,谷歌对SRL的研究表示赞赏,但同时回应指出,SRL分析的部分设备可能并没有经过安卓系统认证,这意味着它们并不受谷歌安全标准的限制。谷歌表示,安卓智能手机有安全功能,就算在没有补丁的情况下,安全漏洞也很难被破解。在某些情况下,之所以会出现“补丁丢失”的问题,是因为手机厂商只是将某种易受攻击的功能简单的移除而不是修复,或者某些手机在一开始就没有这项功能。
  
  谷歌表示将与SRL Labs合作,进一步进行深入调查。“安全更新是保护Android设备和用户的众多层级之一,”Android产品安全主管Scott Roberts在《连线》杂志上发表声明。“系统内置的平台保护系统,比如应用程序沙盒和Google Play Protect安全服务也同样重要。这些多层次的安全手段,再加上Android生态系统的多样性,让研究人员得出了这样的结论,即Android设备的远程开发仍然充满了挑战性。”
  
  为了回应谷歌针对厂商由于移除了易受攻击的功能而导致补丁缺失的结论,Nohl反驳称,这种情况并不常见,发生的概率并不大。
  
  补丁缺失影响有限
  
  不过让人意外的是,Nohl对谷歌的另一个说法表示同意:通过利用缺失的补丁对Android手机进行攻击,其实并不是一件容易的事情。甚至一些没有更新补丁的Android手机在系统更广泛的安全措施保护下,恶意软件依然难以对漏洞加以利用,像从Android 4.0 Lollipop开始出现的沙盒等功能,限制了恶意程序访问设备概率。
  
  这就意味着大多数的黑客如果利用某个所谓的“漏洞”来获得Android设备的控制权,需要利用一系列的漏洞,而不仅仅只是因为缺失一个补丁而攻击成功。Nohl表示:“即使错过了某些补丁,依然可以依靠系统其它的安全特性抵御大部分的攻击。”
  
  因此,Nohl表示,Android设备更容易被一些比较简单的方式破解,比如在Google Play商店中出现的那些恶意应用,或者在非官方应用商店安装的App。Nohl说:“用户安装了盗版或恶意软件,就更容易成为黑客攻击的目标。”(编译/音希)

原标题:安卓手机厂商存在忽略安全更新行为 除了谷歌全部中枪
读者们,如果你或你的朋友想被手机报报道,请狠戳这里寻求报道
相关文章
精彩评论:
0  相关评论
热门话题
推荐作者
热门文章
热门评论
  • 12月19日 11:08

    蠢 屏幕开孔关膜什么关系...

    新消息声称三星Galaxy S10显示屏上不会出现任何开孔
  • 12月19日 11:04

    在这个全民支持华为的年代,仿佛不支持华为就不爱国一样,华为厉害啊。...

    2018年手机出货量达到2亿台,华为是怎么做到的?
  • 12月18日 23:00

    小编又吓唬投资者,神盾的指纹芯片出货量一年才二千多万果,能起到抢市场份额吗?屏幕指纹如果技术不过关,更低的价格也是没用,三星不会是拿自己的牌子用来练车吧?一但在市场上出事,技术不过关,三星面临很大的风险,神盾连量产的水平还未有,就用低价的产品去抢三星的屏幕指纹合同,讲出来都笑死人吧...

    神盾前11月合并营收增长34.1%至56.26亿元 为抢三星光学指纹识别订单打价格战
  • 12月18日 16:38

    我司是最具专业的UV转印设备厂商,是三星的一级设备供应商,从2012年开始为大型的玻璃盖板厂商销售设备和提供了整体生产工艺和方案。都是自产自销没有代理,以优惠的价格服务于客户。
    设备1) GDF方式: Glass Deco Film(OCA 菲林防爆膜上面做UV转印/拉丝)设备2)GDM方式:Glass Direct Mold (玻璃上面直接做UV转印/拉丝)设备3)指纹等各种芯片上的 UV Coating(GDM方式)设备4)热转印机(印刷菲林转印):用于芯片(电路板)上的菲林转印
    现有客户有: 蓝思、伯恩、维达力、欧菲光 、LGD、ichia、越南三星、星驰光电、合力泰、瑞声、 JDI、SSNT、S`R、 CICT.MC NEX 、贵州星瑞安、聚龙高科、正峰印刷、Y&S、LG、JUNE、YCT、LG、
    KAIST、上海美细耐斯、瑞必达、崇康、Synopex、Ryuk-ll C&S、YNS、Unicon、YNS、ISL、锐欧光学、富饶光电 等
    STS Global Co.,Ltd 微信 taigong66...

    2018第三季度国产品牌排行榜
  • 12月18日 16:34

    我司是最具专业的UV转印设备厂商,是三星的一级设备供应商,从2012年开始为大型的玻璃盖板厂商销售设备和提供了整体生产工艺和方案。都是自产自销没有代理,以优惠的价格服务于客户。
    设备1) GDF方式: Glass Deco Film(OCA 菲林防爆膜上面做UV转印/拉丝)设备2)GDM方式:Glass Direct Mold (玻璃上面直接做UV转印/拉丝)设备3)指纹等各种芯片上的 UV Coating(GDM方式)设备4)热转印机(印刷菲林转印):用于芯片(电路板)上的菲林转印
    现有客户有: 蓝思、伯恩、维达力、欧菲光 、LGD、ichia、越南三星、星驰光电、合力泰、瑞声、 JDI、SSNT、S`R、 CICT.MC NEX 、贵州星瑞安、聚龙高科、正峰印刷、Y&S、LG、JUNE、YCT、LG、
    KAIST、上海美细耐斯、瑞必达、崇康、Synopex、Ryuk-ll C&S、YNS、Unicon、YNS、ISL、锐欧光学、富饶光电 等
    STS Global Co.,Ltd 微信 taigong66...

    沃格光电:不超2.3亿投建3D玻璃盖板及背板项目
  • 网友

    12月17日 16:10

    那个郭明琪经常胡说八道...

    神盾为抢三星光学指纹识别订单打价格战,供应商毛利成问题
  • 12月17日 11:14

    神盾的产品初步产量都未有发报,也未有厂家体验实际使用,风险相当大,OPPO使用思立微就是一个好好的样板教才,另OPPO损失惨重,应该三星不会走OPPO的路吧。汇顶的屏幕指纹芯片已经很成熟,如果要去用一个连产品量产都未见过的屏幕指纹需要多大的勇气及承受及大风险,这个三星是老司机了,应该很明智的,小编也不要拿不成熟的神盾屏幕指纹产品来说事,搞乱市场,另投资者迷失方向。...

    神盾为抢三星光学指纹识别订单打价格战,供应商毛利成问题
  • 12月14日 14:41

    任总非常远见,透彻深入...

    孟晚舟获保释后,任正非这篇讲话引人深思
  • 网友

    12月12日 08:10

    支持禁售!我们的痛只是短暂的!...

    重磅:中国将禁止苹果手机在华销售
  • 12月07日 20:32

    66666...

    华为CFO由梁华接替,供应商声援