大部分Android 手機廠商在打安全補丁上都撒謊

過去 2 年時間，Google 和 Android 手機廠商已經(jīng)改善了安全補丁的更新速度。從 2016 年開始，Google 保持著每月更新 Android 安全補丁的進度，面對漏洞的反應(yīng)速度比以往要快不少。

這批安全補丁何時到達 Android 手機用戶手里，還要取決于手機機型，Android 手機廠商可能還涉及到運營商（比如美國）。

現(xiàn)在，有個執(zhí)行層面的問題被暴露出來。即便承諾更新安全補丁，大部分 Android 手機廠商可能會漏掉數(shù)個安全補丁。少數(shù)廠商甚至不安裝補丁，通過修改安全補丁的時間，讓用戶以為系統(tǒng)已經(jīng)升級到最新版本。這意味著 Android 手機廠商在手機安全性上可能隱瞞了信息。

在 13 日荷蘭阿姆斯特丹的安全會議 Hack in the Box 上，安全公司安全研究實驗室（SRL）的兩名研究員公布了一份針對數(shù)百臺 Android 機型 2 年的研究報告，探討了這個問題。

部分信息已經(jīng)公布在 SRL 實驗室官網(wǎng)，《連線》雜志對 SRL 實驗室創(chuàng)始人 Karsten Nohl 的采訪也探討了該問題。更詳細的報告需要等待 SRL 演講結(jié)束后才會公布在網(wǎng)上。

根據(jù) SRL 提供的部分報告信息，以及《連線》的采訪，SRL 實驗室的報告稱，Android 手機廠商在及時更新安全補丁上存在可信度的問題，大部分手機廠商都缺失了數(shù)個安全補丁沒安裝。

抽樣部分：少量（Few）代表 5-9 款；很多（Many）代表 10-49 款，大量（Lots）指的是 50 款以上｜圖片來自：SRL 實驗室

報告稱，一部分原因可能跟手機廠商有關(guān)，小米、諾基亞旗下的機型平均有 1-3 個安全補丁沒有安裝；還有部分原因來自于芯片公司。如果是芯片硬件層面的漏洞，Android 手機廠商就需要獲得芯片公司提供的補丁。通常來說，廉價機型使用低端芯片，也就導(dǎo)致了廉價機型容易出現(xiàn)更多漏洞。

根據(jù)芯片廠商不同，手機安全補丁漏掉的數(shù)量｜圖片來自：《連線》
即便是廉價機型，待遇也會有差別。在報告中，SRL 實驗室以三星的 2 款廉價手機作為案例。三星 2016 年推出的兩款手機 J3 聲稱安裝了所有 2017 年發(fā)布的安全補丁，但事實上少了 12 個。同年推出的 J5 機型則會告訴用戶，哪些補丁尚未安裝。

SRL 實驗室針對 1200 款手機的 Android 系統(tǒng)代碼進行逆向工程，研究 2017 年發(fā)布的安全補丁是否確實安裝在系統(tǒng)內(nèi)。手機機型需要符合的標(biāo)準(zhǔn)是，這些機型在 2017 年 10 月或更晚安裝過一次安全補丁。

1200 款手機來自于目前主要的 Android 手機廠商，包括華為、小米、三星這 3 家銷量最大的公司，還有一加、HTC、LG、摩托羅拉等品牌。

還有個更常見的現(xiàn)象是，老舊機型的安全補丁更新不及時。SRL 實驗室的創(chuàng)始人 Karsten Nohl 稱，Android 手機廠商忽視老舊機型上的系統(tǒng)升級、安裝安全補丁，是一種常見的現(xiàn)象。

但值得注意的是，該報告對于手機廠商、手機機型的篩選存在一定的問題。OPPO、vivo 這兩個 Android 手機廠商不在內(nèi)，只有幾款 Pixel 手機的 Google 抽樣了 50 多臺設(shè)備。

但沒有安裝某個安全補丁，并不意味著 Android 手機就容易被攻擊。SRL 實驗室也提到了這點。

針對 SRL 的報告，Google 對《連線》雜志做出了回應(yīng)，對 Android 手機沒有安裝部分安全補丁做了解釋，還說會跟 SRL 實驗室合作做進一步調(diào)查。Google 解釋稱，部分 Android 手機廠商甚至可能直接去掉了部分存在漏洞的功能，或者部分手機就不存在需要通過安裝補丁修復(fù)的功能。

另一方面，即便安全補丁沒有安裝，現(xiàn)在的 Android 手機配置的安全功能使其難以被攻擊。Google 方面回應(yīng)稱，安全更新只是用于保護 Android 設(shè)備和用戶的一層。其他還包括沙盒機制、Google Play Protect 安全服務(wù)等。

在 2016 年的 Stagefright 漏洞事件后，Google 以及部分 Android 廠商已經(jīng)加快了安全補丁的更新速度。但進展仍然不夠快。

去年 3 月份，Google 在年度反饋中還公布了一份 16 款 Android 手機名單，顯示那些已經(jīng)可以每月及時獲取安全補丁更新的機型，其中 6 款都是 Google 旗下的 Nexus、Pixel 手機品牌。三星、OPPO、vivo 各有一款機型在內(nèi)。