長期以來,谷歌始終在努力推動數十家Android智能手機制造商以及數百家運營商定期推出以安全為重點的軟件更新。但是,當德國安全公司——安全研究實驗室(Security Research Labs)對數百部Android手機進行調查時,發現了一個令人極為不安的新問題:許多Android手機供應商不僅沒有為用戶提供安全補丁,或者延遲數月發布補丁,有時還會向用戶撒謊,告訴他們手機固件是最新的,即使他們偷偷地跳過了安全更新。
圖:最新研究發現,Android手機制造商不只是安全更新緩慢,有時候甚至還會謊稱打了補丁
在阿姆斯特丹舉行的Hack in the Box安全會議上,安全研究實驗室的研究人員卡爾斯滕·諾爾(Karsten Nohl)和雅各布·萊爾(Jakob Lell)計劃介紹最新研究結果,這是他們歷時兩年、對數以百計的Android手機操作系統代碼進行的逆向工程,他們煞費苦心地檢查每部設備是否都包含了安全補丁。他們發現了所謂的“補丁缺口”:在許多情況下,某些廠商的手機會告訴用戶他們所有安卓系統都安裝了迄今最新的安全補丁,而實際上卻缺少數十個補丁,導致手機非常容易受到廣泛的已知黑客技術攻擊。
諾爾是著名安全研究員、安全研究實驗室創始人,他說:“在補丁發布和設備上實際安裝的補丁之間存在著巨大差距。有些設備差距較小,而其他設備則相當大。在最糟糕的情況下,Android手機制造商在設備最后被打補丁時故意歪曲事實。有時候,這些廠商在未安裝更新補丁的情況下更改日期。可能是由于市場原因,他們可將補丁更新設置為幾乎任意日期。”
在2017年發布的每個Android補丁中,安全研究實驗室測試了來自數十家手機制造商的1200部手機固件,包括谷歌自身的手機,三星、摩托羅拉、HTC等主要Android手機制造商,以及中興和TCL等不太知名的中國公司。他們的測試發現,除了谷歌自己的旗艦手機,如Pixel和Pixel 2,即使是頂級手機供應商有時也慌稱自己安裝了補丁,而更低層次的制造商則有更混亂的記錄。
諾爾指出,這一問題比廠商僅僅忽視為舊設備打補丁更糟糕,后者已經是一種常見現象。相反,他們告訴用戶自己已經安裝了最新安全補丁,盡管實際上并沒有安裝,從而創造出一種虛假的安全感。諾爾說:“我們發現幾家供應商沒有安裝任何補丁,只是將補丁日期推后了幾個月。這是一種故意欺騙,幸好并不常見。”
諾爾認為,更常見的情況是,像索尼或三星這樣的公司可能偶爾會錯過一兩個補丁。但是在其他情況下,結果卻難以解釋:安全研究實驗室發現三星手機2016 J5,非常坦誠告訴用戶哪些補丁已經安裝,哪些仍然缺乏。而三星2016 J3聲稱,它已經安裝了2017年發布的所有Android補丁,但實際上缺少12個,其中2個被視為手機安全的“關鍵”。
鑒于這種隱藏的不一致性,諾爾說:“用戶幾乎不可能知道實際安裝了哪些補丁。”為了解決這個補丁丟失的問題,安全研究實驗室還發布了一個Android應用SnoopSnitch更新,它將允許用戶查看手機代碼,以了解其安全更新的實際狀態。
在對每家供應商的幾乎所有手機進行測試后,安全研究實驗室制作了以下圖表,根據供應商宣稱的補丁安裝情況與事實是否相符將它們分成三類。包括小米和諾基亞在內的主要Android廠商,手機平均有1到3個丟失的補丁,而像HTC、摩托羅拉和LG這樣的主要供應商,丟失有3到4個補丁。但榜單上表現最差的公司是中國的TCL和中興,這些公司的手機平均丟失的補丁在4個以上。
圖注:wiko是深圳天瓏移動控股,在法國注冊的手機品牌,份額在法國名列第二。
安全研究實驗室還指出,芯片供應商可能也是廠商錯過安全補丁的推手:雖然使用三星處理器的手機很少會悄無聲息地跳過安全更新,但使用臺灣聯發科(MediaTek)芯片的手機平均卻缺少9.7個補丁。在某些情況下,這可能是因為更便宜的手機更容易跳過補丁,而且它們更傾向于使用便宜的芯片。
但在其他情況下,這是因為在手機芯片中發現了缺陷,而不是在其操作系統中,而手機制造商則依賴芯片制造商提供補丁。因此,從低端供應商那里獲得芯片的廉價手機,會繼承這些供應商錯過的安全更新。諾爾說:“我們的經驗是,如果你選擇更便宜的設備,你最終在這個生態系統中得到的服務可能也不會太好。”
當《連線》雜志與谷歌聯系時,該公司表示感謝安全研究實驗室的研究,但其回應指出,安全研究實驗室分析的部分設備可能不是Android認證的設備,這意味著它們沒有被谷歌的安全標準所控制。他們指出,現代Android手機有安全功能,即使它們有未修補的安全漏洞,也很難破解。谷歌認為,在某些情況下,設備可能會丟失一些補丁,因為手機廠商只是簡單地從手機上移除一個易受攻擊的功能,而不是修補它,或者手機根本就沒有這個功能。
谷歌還表示,他們正在與安全研究實驗室合作,進一步調查研究結果。安卓產品安全主管斯科特·羅伯茨(Scott Roberts)補充說:“安全更新只是保護Android設備和用戶的眾多層面之一,內置的平臺保護(如應用程序沙箱)和安全服務(如Google Play Protect)同樣重要。這些安全層結合了Android生態系統的巨大多樣性,使得研究者們得出結論,Android設備的遠程開發仍然具有挑戰性。”
對于谷歌斷言“有些補丁可能是不必要的,因為此舉幫助手機移除了易受攻擊的特性,或者為了響應某個漏洞而被刪除”,諾爾反駁說:“這些情況非常罕見,這絕對不是常態。”
更令人驚訝的是,諾爾同意谷歌的另一個主要觀點:利用他們丟失的補丁來破解Android手機遠比聽起來難。即使Android手機沒有堅實的補丁記錄,但它們仍然受益于Android更廣泛的安全措施,如地址空間布局隨機化(ASLR,即通過隨機化軟件加載特定代碼的內存地址防止攻擊者利用軟件漏洞悄悄安裝惡意程序)和沙盒(限制惡意程序訪問設備其他空間)。
這意味著,需要利用手機軟件中一系列漏洞來完全控制目標Android手機的大多數黑客技術,也就是所謂的“攻擊”可能會無效。諾爾說:“即使你錯過了某些補丁,很有可能它們并不是按照某種方式排列的,這樣黑客就無法利用它們。結果,Android手機反而更容易被更簡單的方式所攻擊,即那些在谷歌Google Play中找到或者誘使用戶從應用店外其他來源安裝它們的流氓軟件。只要人類繼續容易上當,安裝免費或盜版軟件,罪犯就可能會堅持下去。”
然而,由國家資助的黑客在Android設備上進行更有針對性的攻擊可能是另一回事。在大多數情況下,諾爾認為他們可能使用的是“零日漏洞”(即被秘密破解的漏洞,尚沒有補丁存在),而不是已知但未被修補的漏洞。不過在許多情況下,他們也可能會使用已知的、尚未修補的手機漏洞,并將其與“零日漏洞”相結合。諾爾舉了一個例子,間諜軟件FinFisher利用了已知的Android漏洞Dirty COW以及其發現的“零日漏洞”。
諾爾引用了“深度防御”的安全原則,即在多層中最有效地部署安全。每個錯過的補丁都意味著少了一層潛在保護。他說:“你永遠不應該留下公開漏洞讓攻擊者有機可乘,深度防御意味著安裝所有補丁。”