MSCBSC 移动通信论坛
搜索
登录注册
网络优化工程师招聘专栏 4G/LTE通信工程师最新职位列表 通信实习生/应届生招聘职位

  • 阅读:353
  • 回复:0
研究说,大部分 Android 手机厂商在打安全补丁上都撒谎
mao_mao
论坛副管
鎵嬫満鍙风爜宸查獙璇


 发短消息    关注Ta 

C友·铁杆勋章   管理·勤奋勋章   C友·进步勋章   管理·优秀勋章   C友·贡献勋章   “灌水之王”   纪念勋章·七周年   管理·标兵勋章   活动·积极勋章   财富勋章·财运连连   财富勋章·大富豪   财富勋章·小财主   专家·终级勋章   财富勋章·神秘富豪   C友·登录达人   纪念勋章·五周年   财富勋章·富可敌国   财富勋章·财神   财富勋章·富甲一方   财富勋章·钻石王老五   活动·第二届通信技术杯   纪念勋章·六周年   活动·摄影达人   纪念勋章·八周年   纪念勋章·九周年   纪念勋章·十周年   C友·技术大神  
积分 428951
帖子 85066
威望 618591 个
礼品券 5423 个
专家指数 3621
注册 2009-4-24
专业方向  移动通信
回答问题数 1908
回答被采纳数 173
回答采纳率 9%
 
发表于 2018-04-14 20:58:30  只看楼主 

过去 2 年时间,Google 和 Android 手机厂商已经改善了安全补丁的更新速度。从 2016 年开始,Google 保持着每月更新 Android 安全补丁的进度,面对漏洞的反应速度比以往要快不少。

这批安全补丁何时到达 Android 手机用户手里,还要取决于手机机型,Android 手机厂商可能还涉及到运营商(比如美国)。

现在,有个执行层面的问题被暴露出来。即便承诺更新安全补丁,大部分 Android 手机厂商可能会漏掉数个安全补丁。少数厂商甚至不安装补丁,通过修改安全补丁的时间,让用户以为系统已经升级到最新版本。这意味着 Android 手机厂商在手机安全性上可能隐瞒了信息。

在 13 日荷兰阿姆斯特丹的安全会议 Hack in the Box 上,安全公司安全研究实验室(SRL)的两名研究员公布了一份针对数百台 Android 机型 2 年的研究报告,探讨了这个问题。

部分信息已经公布在 SRL 实验室官网,《连线》杂志对 SRL 实验室创始人 Karsten Nohl 的采访也探讨了该问题。更详细的报告需要等待 SRL 演讲结束后才会公布在网上。


根据 SRL 提供的部分报告信息,以及《连线》的采访,SRL 实验室的报告称,Android 手机厂商在及时更新安全补丁上存在可信度的问题,大部分手机厂商都缺失了数个安全补丁没安装。

抽样部分:少量(Few)代表 5-9 款;很多(Many)代表 10-49 款,大量(Lots)指的是 50 款以上|图片来自:SRL 实验室

报告称,一部分原因可能跟手机厂商有关,小米、诺基亚旗下的机型平均有 1-3 个安全补丁没有安装;还有部分原因来自于芯片公司。如果是芯片硬件层面的漏洞,Android 手机厂商就需要获得芯片公司提供的补丁。通常来说,廉价机型使用低端芯片,也就导致了廉价机型容易出现更多漏洞。

根据芯片厂商不同,手机安全补丁漏掉的数量|图片来自:《连线》

即便是廉价机型,待遇也会有差别。在报告中,SRL 实验室以三星的 2 款廉价手机作为案例。三星 2016 年推出的两款手机 J3 声称安装了所有 2017 年发布的安全补丁,但事实上少了 12 个。同年推出的 J5 机型则会告诉用户,哪些补丁尚未安装。

SRL 实验室针对 1200 款手机的 Android 系统代码进行逆向工程,研究 2017 年发布的安全补丁是否确实安装在系统内。手机机型需要符合的标准是,这些机型在 2017 年 10 月或更晚安装过一次安全补丁。

1200 款手机来自于目前主要的 Android 手机厂商,包括华为、小米、三星这 3 家销量最大的公司,还有一加、HTC、LG、摩托罗拉等品牌。

还有个更常见的现象是,老旧机型的安全补丁更新不及时。SRL 实验室的创始人 Karsten Nohl 称,Android 手机厂商忽视老旧机型上的系统升级、安装安全补丁,是一种常见的现象。

但值得注意的是,该报告对于手机厂商、手机机型的筛选存在一定的问题。OPPO、vivo 这两个 Android 手机厂商不在内,只有几款 Pixel 手机的 Google 抽样了 50 多台设备。

但没有安装某个安全补丁,并不意味着 Android 手机就容易被攻击。SRL 实验室也提到了这点。

针对 SRL 的报告,Google 对《连线》杂志做出了回应,对 Android 手机没有安装部分安全补丁做了解释,还说会跟 SRL 实验室合作做进一步调查。Google 解释称,部分 Android 手机厂商甚至可能直接去掉了部分存在漏洞的功能,或者部分手机就不存在需要通过安装补丁修复的功能。

另一方面,即便安全补丁没有安装,现在的 Android 手机配置的安全功能使其难以被攻击。Google 方面回应称,安全更新只是用于保护 Android 设备和用户的一层。其他还包括沙盒机制、Google Play Protect 安全服务等。

在 2016 年的 Stagefright 漏洞事件后,Google 以及部分 Android 厂商已经加快了安全补丁的更新速度。但进展仍然不够快。

去年 3 月份,Google 在年度反馈中还公布了一份 16 款 Android 手机名单,显示那些已经可以每月及时获取安全补丁更新的机型,其中 6 款都是 Google 旗下的 Nexus、Pixel 手机品牌。三星、OPPO、vivo 各有一款机型在内。

题图来自:Pixabay


扫码关注5G通信官方公众号,免费领取以下5G精品资料
  • 1、回复“5GSFG”免费领取《5G室分共享产品和技术方案
  • 2、回复“5GWDD”免费领取《5G基站外电改造的建设方案
  • 3、回复“5GFZH”免费领取《5G分组核心网
  • 4、回复“5GZYD”免费领取《中移5G微基站设备技术规范
  • 5、回复“jzgz”免费领取《5G基站外电改造建设方案
  • 6、回复“5GJZ”免费领取《5G基站概述及基本操作
  • 7、回复“UEG21”免费领取《华为UEG 21.0 系统概述
  • 8、回复“5GZL”免费领取《通讯:5G 产业标准必要专利发展趋势
  • 对本帖内容的看法? 我要点评

     
    [充值威望,立即自动到帐] [VIP贵宾权限+威望套餐] 另有大量优惠赠送活动,请光临充值中心
    充值拥有大量的威望和最高的下载权限,下载站内资料无忧

    快速回复主题    
    标题
    内容
     上传资料请点左侧【添加附件】

    当前时区 GMT+8, 现在时间是 2021-04-11 02:48:36
    渝ICP备11001752号  Copyright @ 2006-2016 mscbsc.com  本站统一服务邮箱:mscbsc@163.com

    Processed in 0.318864 second(s), 13 queries , Gzip enabled
    TOP
    清除 Cookies - 联系我们 - 移动通信网 - 移动通信论坛 - 通信招聘网 - Archiver