部分Android廠商隱瞞事實 更新時未部署完整的完全補丁
德國 Security Research Lab 的安全研究人員們有一項驚人的發現—在對 1200 款 Android 設備的作業系統代碼進行逆向工程之後,Karsten Nohl 和 Jakob Lell 發現某些智慧手機製造商未能誠實地給設備打上安全補丁。兩人的工作主要是檢查代碼,以確認手機設置中引用的安全補丁,是否已經真的被應用。
新聞配圖(via:Android.com)
然而在許多情況下,他們都發現了一個“真空地帶”— 某些廠商其實沒有完整地打上補丁。
Wired 報導稱,SRL 研究人員揪出了多家不誠實的廠商,就算是小米、OnePlus、Nokia之類的大牌,平均也有不慎疏漏的 1~3 個安全補丁。
此外,與廠商所宣稱的相比,來自 HTC、Motorola以及 LG 的設備,缺失的補丁數量也有 3~4 個。
(Security Research Labs / Wired)
SRL 還指出了缺失補丁和手機採用的晶片組之間的關聯資料,那些採用了廉價處理器的低端機,更有可能跳過一些補丁。
比如在採用聯發科機型的設備上,平均缺失的補丁數量為 9.7 個。相比之下,採用三星處理器的設備,被跳過的數量就少很多。
Google 對 SRL 的研究表示讚賞,但指出其分析的部分設備可能並未得到 Android 認證、或者沒有遵從該公司的安全標準。
更重要的是,Google 指出,現代 Android 手機的安全功能已經到位,即便包含了未修補的漏洞,也很難被破解。
此外,在某些情況下,廠商可能會從設備中移除一個易受攻擊的功能,而不是修復它,這也可能是某些漏洞缺失的一個客觀原因。
最後,Google 表示會與 SRL 深入調查合作,Nohl 也認同了該公司關於“某些未打補丁的設備仍然難以被破解”的觀點,這得歸功於 Google 部署的許多安全措施。