Android 系统乱象:安全更新就改个日期 根本没装补丁

局长
 局长
发布于 2018年04月16日
收藏 5

《连线》杂志最近做了一篇报道,揭开了Android系统在安全补丁方面的乱象,很多谷歌发布的安全补丁不仅延迟推送,甚至还有厂商告诉用户已经最新,却偷偷地跳过了该有的安全补丁。

“这些家伙只是更改日期,根本没装补丁”

一直以来,谷歌都在努力争取让几十家Android智能手机制造商、以及数百家运营商、定期推送安全更新,但是一家德国安全公司在针对数百台Android手机进行调查后,发现了一个令人不安的新问题:许多Android手机厂商不仅没给用户提供补丁,或是延迟数月才发布;甚至有时也会告诉用户手机固件已经是最新的,但却偷偷地跳过了补丁。

周五,在阿姆斯特丹举行的“Hack in the Box”黑客安全大会上,研究人员查看了近两年的数百款Android手机系统代码,大部分存在安全隐患,缺一打补丁的手机不少见。研究人员Nohl说:“虽然补丁很小,但对手机安全很重要。最糟糕情况是,Android手机厂商在设备故意歪曲事实。这些家伙只是在推送时候改了个更新日期,压根没有补丁。”

安全机构SRL测试了1200部手机,这些设备有谷歌自己,以及三星、摩托罗拉、HTC等主要安卓手机厂商,还有中兴,TCL等中国公司制造。

他们发现,除了谷歌自己如Pixel和Pixel 2等旗舰机,即使是顶级手机厂商在安全补丁这块也相当糊涂,其他二三线厂商的更新记录更是混乱。

研究人员Nohl说,这种假装装了补丁的问题是最要命的,他们告诉用户有,其实没有,从而产生了一种虚假的安全感。这是故意的欺骗。

大公司打补丁不积极

还有种更常见的情况是,像索尼或三星这样的大公司也会错过一两个补丁。很多重要更新并没有,例如三星2016年的手机J5或J3,非常坦诚告诉用户哪些补丁已经安装,但缺少很多重要更新,也缺少提示。用户几乎不可能知道实际安装了哪些补丁。为了解决这个问题,SRL实验室发布了一个叫“SnoopSnitch”的Android应用,它允许用户查看手机的代码,以了解其安全更新的实际状态。

SRL实验室在测试那堆手机后,制作了以下图表,根据2017年10月之后打补丁的情况,将厂商进行了分级,漏装0-1个补丁是最好的情况,有谷歌,索尼,三星,以及Wiko这个不