摘要研究发现,许多Android手机供应商不仅没有为用户提供安全补丁,或者延迟数月发布补丁,有时还会向用户撒谎,告诉他们手机固件是最新的,即使他们偷偷地跳过了安全更新。

   据外媒报道,长期以来,谷歌始终在努力推动数十家Android智能手机制造商以及数百家运营商定期推出以安全为重点的软件更新。但当德国安全公司——安全研究实验室(Security Research Labs)对数百部Android手机进行调查时,发现一个令人极为不安的新问题:许多Android手机供应商不仅没有为用户提供安全补丁,或者延迟数月发布补丁,有时还会向用户撒谎,告诉他们手机固件是最新的,即使他们偷偷地跳过了安全更新。

  在阿姆斯特丹举行的Hack in the Box安全会议上,安全研究实验室的研究人员卡尔斯滕·诺尔(Karsten Nohl)和雅各布·莱尔(Jakob Lell)介绍,他们针对最近两年上市的数百台Android智能手机的操作系统代码进行了逆向分析,详细的对每台设备实际安装的安全补丁进行了研究。他们发现所谓的“补丁门”:在一些情况下,某些厂商会通知用户已经安装了所有特定日期发布的安全补丁,但实际上并未提供这项服务,只是虚假通知,导致手机非常容易受到广泛的已知黑客技术攻击。

  诺尔表示,他们发现实际修补和厂商声称已经完成修复之间的漏洞数量存在差别。在最糟糕的情况下,Android手机制造商会故意篡改设备上次修复漏洞的时间。

  在2017年发布的每个Android补丁中,安全研究实验室测试了来自数十家手机制造商的1200部手机固件,包括谷歌自身的手机,三星、摩托罗拉、HTC等主要Android手机制造商,以及中兴和TCL等不太知名的中国公司。测试发现,除了谷歌自己的旗舰手机,如Pixel和Pixel 2,即使是顶级手机供应商有时也慌称自己安装了补丁,而更低层次的制造商则有更混乱的记录。

  诺尔指出,这一问题比厂商放弃更新后果更糟糕。他们告诉用户已安装了最新安全补丁,实际上并没有安装,从而创造出一种虚假的安全感。诺尔说:“我们发现几家供应商没有安装任何补丁,只是将补丁日期推后了几个月。这是一种故意欺骗,幸好并不常见。”

  诺尔认为,更常见的情况是,像索尼或三星这样的顶级厂商,可能偶尔会错过一两个补丁。但在不同的机型身上,却出现了不同的情况:比如三星的2016款Galaxy J5机型,会非常清晰地告诉用户已经安装了哪些补丁,哪些补丁没有更新。但在2016款Galaxy J3的身上,三星声称所有补丁都已经发布,但经过调查发现依然缺少了12个非常关键的更新。

  在对每家供应商的几乎所有手机进行测试后,安全研究实验室根据供应商宣称的补丁安装情况与事实是否相符,将它们分成三类。包括小米和诺基亚在内的主要Android厂商,手机平均有1到3个丢失的补丁,而像HTC、摩托罗拉和LG这样的主要供应商,丢失有3到4个补丁。但表现最差的公司是中国的TCL和中兴,这些公司的手机平均丢失的补丁在4个以上。

  此外,安全研究实验室还指出,芯片供应商可能也是厂商错过安全补丁的推手。从低端供应商那里获得芯片的廉价手机,会继承这些供应商错过的安全更新。

  对此,谷歌回应指出,安全研究实验室分析的部分设备可能不是Android认证的设备,这意味着它们没有被谷歌的安全标准所控制。他们指出,现代Android手机有安全功能,即使它们有未修补的安全漏洞,也很难破解。谷歌认为,在某些情况下,设备可能会丢失一些补丁,因为手机厂商只是简单地从手机上移除一个易受攻击的功能,而不是修补它,或者手机根本就没有这个功能。

  谷歌还表示,他们正在与安全研究实验室合作,进一步调查研究结果。安卓产品安全主管斯科特·罗伯茨(Scott Roberts)补充说:“安全更新只是保护Android设备和用户的众多层面之一,内置的平台保护(如应用程序沙箱)和安全服务(如Google Play Protect)同样重要。这些安全层结合了Android生态系统的巨大多样性,使得研究者们得出结论,Android设备的远程开发仍然具有挑战性。”

  对于谷歌断言“有些补丁可能是不必要的,因为此举帮助手机移除了易受攻击的特性,或者为了响应某个漏洞而被删除”,诺尔反驳称,这些情况并不常见,绝不是常态。

艾媒报告中心公众号