安卓手機(jī)廠商存在忽略安全更新行為 除了谷歌全部中槍

　　4月13日據(jù)國(guó)外媒體報(bào)道，一直以來(lái)，谷歌都在努力推進(jìn)市面上數(shù)十家智能手機(jī)制造商以及數(shù)百家運(yùn)營(yíng)商定期發(fā)布修復(fù)安全問(wèn)題的軟件更新。但最近一家德國(guó)安全公司針對(duì)數(shù)百臺(tái)Android智能手機(jī)進(jìn)行分析后發(fā)現(xiàn)了一個(gè)讓人不安的新問(wèn)題：不僅很多Android手機(jī)廠商不能或延遲多個(gè)月向用戶發(fā)布補(bǔ)丁，甚至還會(huì)偷偷跳過(guò)某些補(bǔ)丁而欺騙用戶固件已經(jīng)完全更新。

　　在阿姆斯特丹舉辦的Hack in the Box安全會(huì)議上，Security Research公司的研究人員Karsten Nohl和Jakob Lell介紹，他們針對(duì)最近兩年上市的數(shù)百臺(tái)Android智能手機(jī)的操作系統(tǒng)代碼進(jìn)行了逆向分析，詳細(xì)的對(duì)每臺(tái)設(shè)備實(shí)際安裝的安全補(bǔ)丁進(jìn)行了研究。他們發(fā)現(xiàn)所謂的“補(bǔ)丁門”：在一些情況下部分廠商會(huì)通知用戶已經(jīng)安裝了所有特定日期發(fā)布的安全補(bǔ)丁，但實(shí)際上并未提供這項(xiàng)服務(wù)，只是虛假的通知，因此這些設(shè)備非常容易受到黑客的攻擊。

　　“我們發(fā)現(xiàn)，實(shí)際修補(bǔ)和廠商聲稱已經(jīng)完成修復(fù)之間的漏洞數(shù)量存在差別。”著名安全研究人員、SRL創(chuàng)始人Nohl表示。他說(shuō)，最糟糕的情況下，Android手機(jī)制造商會(huì)故意篡改設(shè)備上次修復(fù)漏洞的時(shí)間。“有些廠商會(huì)在未安裝補(bǔ)丁的情況下更改系統(tǒng)更新日期。出于營(yíng)銷的原因，他們只是將補(bǔ)丁的安裝日期設(shè)置為特定時(shí)間，只是追求看起來(lái)很安全而已。”

　　選擇性忽略

　　SRL在2017年統(tǒng)計(jì)了Android系統(tǒng)的每一次安全更新，測(cè)試了來(lái)自于十幾家智能手機(jī)廠商超過(guò)1200部手機(jī)的固件，這些設(shè)備來(lái)自于谷歌、三星、摩托羅拉、HTC等主流Android手機(jī)廠商以及中興、TCL等新興制造商。他們發(fā)現(xiàn)，除了谷歌自己的Pixel和Pixel 2等機(jī)型之外，就算是國(guó)際頂級(jí)廠商有時(shí)也會(huì)謊稱自己為產(chǎn)品安裝了實(shí)際上并未發(fā)布的補(bǔ)丁更新。而二三線廠商的記錄則更加糟糕。

　　Nohl指出，這是一種比放棄更新后果更嚴(yán)重的行為，并且已經(jīng)成為了智能手機(jī)領(lǐng)域中常見的現(xiàn)象。在其實(shí)并未采取任何行動(dòng)的情況下告訴用戶修復(fù)了漏洞，為用戶營(yíng)造出了一種“虛假”的安全感。Nohl說(shuō)：“我們發(fā)現(xiàn)有幾家廠商并未安裝某些補(bǔ)丁，但卻修改系統(tǒng)最后更新的日期，這是一種故意欺騙的行為，但并不普遍。”

　　Nohl認(rèn)為，更常見的情況是像索尼或三星這樣的頂級(jí)廠商，會(huì)因?yàn)槟承┮馔忮e(cuò)過(guò)一兩個(gè)補(bǔ)丁更新。但在不同的機(jī)型身上，卻出現(xiàn)了不同的情況：比如三星的2016款Galaxy J5機(jī)型，就會(huì)非常清晰的告訴用戶已經(jīng)安裝了哪些補(bǔ)丁、哪些補(bǔ)丁沒(méi)有更新。但在2016款Galaxy J3的身上，三星聲稱所有補(bǔ)丁都已經(jīng)發(fā)布，但經(jīng)過(guò)調(diào)查發(fā)現(xiàn)依然缺少了12個(gè)非常關(guān)鍵的更新。

　　“考慮到這是一種隱性機(jī)型差異，用戶幾乎不可能了解自己實(shí)際上究竟安裝了哪些更新，”Nohl說(shuō)。為了解決這種補(bǔ)丁更新缺乏透明度的情況，SRL Labs還發(fā)布了一項(xiàng)針對(duì)旗下Android平臺(tái)SnoopSnitch應(yīng)用的更新，用戶可以輸入自己的手機(jī)代碼，隨時(shí)查看安全更新的真實(shí)狀況。

　　不同廠商情況不同

　　在對(duì)每個(gè)供應(yīng)商的產(chǎn)品進(jìn)行評(píng)估之后，SRL Labs制作了下面這組圖表，將智能手機(jī)廠商分成了三個(gè)類別，分類的依據(jù)為各自在2017年對(duì)外宣和實(shí)際安裝補(bǔ)丁數(shù)的匹配程度，包括在2017年10月或之后至少收到一次更新的機(jī)型。包括小米、諾基亞在內(nèi)的主要安卓廠商，平均有1到3個(gè)補(bǔ)丁“丟失”，而HTC、摩托羅拉、LG和華為有3到4個(gè)補(bǔ)丁“丟失”，TCL和中興排名最后，丟失的補(bǔ)丁數(shù)超過(guò)4個(gè)。而谷歌、索尼、三星等錯(cuò)過(guò)的補(bǔ)丁更新數(shù)量小于等于1。

　　SRL還指出，芯片供應(yīng)商是補(bǔ)丁缺失的一個(gè)原因。比如使用三星芯片的機(jī)型很少會(huì)出現(xiàn)悄悄忽略更新的問(wèn)題，而使用聯(lián)發(fā)科芯片的設(shè)備，平均補(bǔ)丁缺失高達(dá)9.7個(gè)。在某些情況下，很有可能就是因?yàn)橛捎谑褂昧烁�廉價(jià)的芯片，補(bǔ)丁缺失的概率就更高。還有一種情況就是因?yàn)槁┒闯霈F(xiàn)在芯片層面而并非系統(tǒng)層面，因此手機(jī)制造商要依賴芯片廠商才會(huì)完成進(jìn)一步更新。結(jié)果是從低端供應(yīng)商那里采購(gòu)芯片的廉價(jià)智能手機(jī)也延續(xù)了“補(bǔ)丁缺失”的問(wèn)題。“經(jīng)過(guò)我們的驗(yàn)證，如果你選擇了一款比較便宜的產(chǎn)品，那么在安卓生態(tài)系統(tǒng)中，就會(huì)處于一個(gè)比較不受重視的地位。”Nohl表示。

　　在《連線》雜志聯(lián)系谷歌后，谷歌對(duì)SRL的研究表示贊賞，但同時(shí)回應(yīng)指出，SRL分析的部分設(shè)備可能并沒(méi)有經(jīng)過(guò)安卓系統(tǒng)認(rèn)證，這意味著它們并不受谷歌安全標(biāo)準(zhǔn)的限制。谷歌表示，安卓智能手機(jī)有安全功能，就算在沒(méi)有補(bǔ)丁的情況下，安全漏洞也很難被破解。在某些情況下，之所以會(huì)出現(xiàn)“補(bǔ)丁丟失”的問(wèn)題，是因?yàn)槭謾C(jī)廠商只是將某種易受攻擊的功能簡(jiǎn)單的移除而不是修復(fù)，或者某些手機(jī)在一開始就沒(méi)有這項(xiàng)功能。

　　谷歌表示將與SRL Labs合作，進(jìn)一步進(jìn)行深入調(diào)查。“安全更新是保護(hù)Android設(shè)備和用戶的眾多層級(jí)之一，”Android產(chǎn)品安全主管Scott Roberts在《連線》雜志上發(fā)表聲明。“系統(tǒng)內(nèi)置的平臺(tái)保護(hù)系統(tǒng)，比如應(yīng)用程序沙盒和Google Play Protect安全服務(wù)也同樣重要。這些多層次的安全手段，再加上Android生態(tài)系統(tǒng)的多樣性，讓研究人員得出了這樣的結(jié)論，即Android設(shè)備的遠(yuǎn)程開發(fā)仍然充滿了挑戰(zhàn)性。”

　　為了回應(yīng)谷歌針對(duì)廠商由于移除了易受攻擊的功能而導(dǎo)致補(bǔ)丁缺失的結(jié)論，Nohl反駁稱，這種情況并不常見，發(fā)生的概率并不大。

　　補(bǔ)丁缺失影響有限

　　不過(guò)讓人意外的是，Nohl對(duì)谷歌的另一個(gè)說(shuō)法表示同意：通過(guò)利用缺失的補(bǔ)丁對(duì)Android手機(jī)進(jìn)行攻擊，其實(shí)并不是一件容易的事情。甚至一些沒(méi)有更新補(bǔ)丁的Android手機(jī)在系統(tǒng)更廣泛的安全措施保護(hù)下，惡意軟件依然難以對(duì)漏洞加以利用，像從Android 4.0 Lollipop開始出現(xiàn)的沙盒等功能，限制了惡意程序訪問(wèn)設(shè)備概率。

　　這就意味著大多數(shù)的黑客如果利用某個(gè)所謂的“漏洞”來(lái)獲得Android設(shè)備的控制權(quán)，需要利用一系列的漏洞，而不僅僅只是因?yàn)槿笔б粋�(gè)補(bǔ)丁而攻擊成功。Nohl表示：“即使錯(cuò)過(guò)了某些補(bǔ)丁，依然可以依靠系統(tǒng)其它的安全特性抵御大部分的攻擊。”

　　因此，Nohl表示，Android設(shè)備更容易被一些比較簡(jiǎn)單的方式破解，比如在Google Play商店中出現(xiàn)的那些惡意應(yīng)用，或者在非官方應(yīng)用商店安裝的App。Nohl說(shuō)：“用戶安裝了盜版或惡意軟件，就更容易成為黑客攻擊的目標(biāo)。”