MSCBSC 移动通信论坛
搜索
登录注册
网络优化工程师招聘专栏 4G/LTE通信工程师最新职位列表 通信实习生/应届生招聘职位

  • 阅读:727
  • 回复:0
Android系统乱象:安全更新就改个日期 根本没装补丁
mao_mao
论坛副管
鎵嬫満鍙风爜宸查獙璇


 发短消息    关注Ta 

C友·铁杆勋章   管理·勤奋勋章   C友·进步勋章   管理·优秀勋章   C友·贡献勋章   “灌水之王”   纪念勋章·七周年   管理·标兵勋章   活动·积极勋章   财富勋章·财运连连   财富勋章·大富豪   财富勋章·小财主   专家·终级勋章   财富勋章·神秘富豪   C友·登录达人   纪念勋章·五周年   财富勋章·富可敌国   财富勋章·财神   财富勋章·富甲一方   财富勋章·钻石王老五   活动·第二届通信技术杯   纪念勋章·六周年   活动·摄影达人   纪念勋章·八周年   纪念勋章·九周年   纪念勋章·十周年   C友·技术大神  
积分 428951
帖子 85066
威望 631301 个
礼品券 5423 个
专家指数 3621
注册 2009-4-24
专业方向  移动通信
回答问题数 1908
回答被采纳数 173
回答采纳率 9%
 
发表于 2018-04-13 13:39:43  只看楼主 

  新浪手机讯 4月13日上午消息,《连线》杂志最近做了一篇报道,揭开了Android系统在安全补丁方面的乱象,很多谷歌发布的安全补丁不仅延迟推送,甚至还有厂商告诉用户已经最新,却偷偷地跳过了该有的安全补丁。

  “这些家伙只是更改日期,根本没装补丁”

  一直以来,谷歌都在努力争取让几十家Android智能手机制造商、以及数百家运营商、定期推送安全更新,但是一家德国安全公司在针对数百台Android手机进行调查后,发现了一个令人不安的新问题:许多Android手机厂商不仅没给用户提供补丁,或是延迟数月才发布;甚至有时也会告诉用户手机固件已经是最新的,但却偷偷地跳过了补丁。

  周五,在阿姆斯特丹举行的“Hack in the Box”黑客安全大会上,研究人员查看了近两年的数百款Android手机系统代码,大部分存在安全隐患,缺一打补丁的手机不少见。研究人员Nohl说:“虽然补丁很小,但对手机安全很重要。最糟糕情况是,Android手机厂商在设备故意歪曲事实。这些家伙只是在推送时候改了个更新日期,压根没有补丁。”

  安全机构SRL测试了1200部手机,这些设备有谷歌自己,以及三星、摩托罗拉、HTC等主要安卓手机厂商,还有中兴,TCL等中国公司制造。

  他们发现,除了谷歌自己如Pixel和Pixel 2等旗舰机,即使是顶级手机厂商在安全补丁这块也相当糊涂,其他二三线厂商的更新记录更是混乱。

  研究人员Nohl说,这种假装装了补丁的问题是最要命的,他们告诉用户有,其实没有,从而产生了一种虚假的安全感。这是故意的欺骗。

  大公司打补丁不积极

  还有种更常见的情况是,像索尼或三星这样的大公司也会错过一两个补丁。很多重要更新并没有,例如三星2016年的手机J5或J3,非常坦诚告诉用户哪些补丁已经安装,但缺少很多重要更新,也缺少提示。用户几乎不可能知道实际安装了哪些补丁。为了解决这个问题,SRL实验室发布了一个叫“SnoopSnitch”的Android应用,它允许用户查看手机的代码,以了解其安全更新的实际状态。

  SRL实验室在测试那堆手机后,制作了以下图表,根据2017年10月之后打补丁的情况,将厂商进行了分级,漏装0-1个补丁是最好的情况,有谷歌,索尼,三星,以及Wiko这个不知名的中国厂商;小米,一加,诺基亚平均丢了1-3个补丁;而HTC,华为,LG和摩托罗拉这些知名厂商则丢了3-4个补丁;TCL和中兴丢了4个以上安全补丁,在榜单上表现最差——他们声称已经安装了,但没有。

即便大厂商,打补丁也不积极即便大厂商,打补丁也不积极

  低端芯片引发恶性循环

  还有种情况是在手机芯片中发现了漏洞,而不是在操作系统中。

  如果按所使用芯片来分类的,三星的处理器就比较好,高通芯片也还行,但使用中国台湾联发科(MediaTek)芯片的手机平均漏了9.7个补丁。

低价芯片低价手机没有更新低价芯片低价手机没有更新

  这种情况跟手机定价有关,低价手机一般使用的也是便宜芯片(比如联发科就占比较大),对安全不太重视。手机制造商也不重视(或者没能力重视),他们依赖芯片厂商提供补丁。

  结果就是采用低端芯片的廉价手机会继承芯片厂不注重安全的问题,最终导致如果你选择便宜的手机,会进入一种安全的恶性循环,在这个生态系统中得到不太好的维护。

  谷歌:安全不止是打补丁

  当连线杂志就此事与谷歌公司联系时,该公司回应指出,SRL分析的一些手机可能不是Android认证的设备,这意味着它们没有被谷歌的安全标准所控制。

  另外,谷歌指出,现在的Android手机即使有未修补的安全漏洞,也很难破解。他们认为,在某些情况下,设备可能漏掉一些补丁,因为手机厂商只是简单粗暴地从手机上封堵一个易受攻击的功能,而不是修复。

  谷歌表示他们正在与SRL实验室合作,进一步调查研究结果:“安全更新是保护安卓设备和用户的众多层面之一,内置的平台保护,如应用程序沙箱和安全服务、谷歌游戏保护同样重要。这些安全层结合了Android生态系统的多样性。”

  研究员Nohl并不认同听这种说法,安全补丁不止是数字问题(他是说每个安全补丁都应该有);但他认同谷歌“Android手机很难破解”的说法,Android 4.0之后,程序在内存的随机分配位置,以及沙盒机制让恶意软件难以得逞。

  现代的所谓的“手机攻击”可以完全控制目标Android手机,但要利用手机软件系统的一系列漏洞而不仅仅是一个。

  对相较于“硬破解”的方式,更应该防范的是软破解,就是那些那些在谷歌游戏商店中的流氓软件,或者诱使用户从一些不明安全源来安装的软件。人们经常被一些所谓的免费或盗版软件诱骗,这种方式技术含量不高,其实属于社会工程学范畴。

  之所以建议厂商和用户把能有的安全补丁都装好,是为了防止零日漏洞(zero-day),一般被发现后立即被恶意利用。在许多情况下,它们可能会使用已知的尚未修补漏洞协助攻击。所以才有“深度防御”的安全原则:每一个错过的补丁都是潜在的一层保护。你不应该给黑客留下潜在可能,应该安装所有补丁。(晓光)


扫码关注5G通信官方公众号,免费领取以下5G精品资料
  • 1、回复“5GJG”免费领取《5G无线网络架构及虚拟化技术
  • 2、回复“5grmk”免费领取《5G网络架构与入门基础(10堂课)
  • 3、回复“5GSFG”免费领取《5G室分共享产品和技术方案
  • 4、回复“5GWDD”免费领取《5G基站外电改造的建设方案
  • 5、回复“5GFZH”免费领取《5G分组核心网
  • 6、回复“5GZYD”免费领取《中移5G微基站设备技术规范
  • 7、回复“jzgz”免费领取《5G基站外电改造建设方案
  • 8、回复“5GJZ”免费领取《5G基站概述及基本操作
  • 对本帖内容的看法? 我要点评

     
    [充值威望,立即自动到帐] [VIP贵宾权限+威望套餐] 另有大量优惠赠送活动,请光临充值中心
    充值拥有大量的威望和最高的下载权限,下载站内资料无忧

    快速回复主题    
    标题
    内容
     上传资料请点左侧【添加附件】

    当前时区 GMT+8, 现在时间是 2021-04-14 03:56:36
    渝ICP备11001752号  Copyright @ 2006-2016 mscbsc.com  本站统一服务邮箱:mscbsc@163.com

    Processed in 0.352241 second(s), 13 queries , Gzip enabled
    TOP
    清除 Cookies - 联系我们 - 移动通信网 - 移动通信论坛 - 通信招聘网 - Archiver