據(jù)國外媒體報道，一直以來，谷歌都在努力推進市面上數(shù)十家智能手機制造商以及數(shù)百家運營商定期發(fā)布修復(fù)安全問題的軟件更新。但最近一家德國安全公司針對數(shù)百臺Android智能手機進行分析后發(fā)現(xiàn)了一個讓人不安的新問題：不僅很多Android手機廠商不能或延遲多個月向用戶發(fā)布補丁，甚至還會偷偷跳過某些補丁而欺騙用戶固件已經(jīng)完全更新。

在阿姆斯特丹舉辦的Hack in the Box安全會議上，Security Research公司的研究人員Karsten Nohl和Jakob Lell介紹，他們針對最近兩年上市的數(shù)百臺Android智能手機的操作系統(tǒng)代碼進行了逆向分析，詳細的對每臺設(shè)備實際安裝的安全補丁進行了研究。他們發(fā)現(xiàn)所謂的“補丁門”：在一些情況下部分廠商會通知用戶已經(jīng)安裝了所有特定日期發(fā)布的安全補丁，但實際上并未提供這項服務(wù)，只是虛假的通知，因此這些設(shè)備非常容易受到黑客的攻擊。

“我們發(fā)現(xiàn)，實際修補和廠商聲稱已經(jīng)完成修復(fù)之間的漏洞數(shù)量存在差別。”著名安全研究人員、SRL創(chuàng)始人Nohl表示。他說，最糟糕的情況下，Android手機制造商會故意篡改設(shè)備上次修復(fù)漏洞的時間。“有些廠商會在未安裝補丁的情況下更改系統(tǒng)更新日期。出于營銷的原因，他們只是將補丁的安裝日期設(shè)置為特定時間，只是追求看起來很安全而已。”

選擇性忽略

SRL在2017年統(tǒng)計了Android系統(tǒng)的每一次安全更新，測試了來自于十幾家智能手機廠商超過1200部手機的固件，這些設(shè)備來自于谷歌、三星、摩托羅拉、HTC等主流Android手機廠商以及中興、TCL等新興制造商。他們發(fā)現(xiàn)，除了谷歌自己的Pixel和Pixel 2等機型之外，就算是國際頂級廠商有時也會謊稱自己為產(chǎn)品安裝了實際上并未發(fā)布的補丁更新。而二三線廠商的記錄則更加糟糕。

Nohl指出，這是一種比放棄更新后果更嚴重的行為，并且已經(jīng)成為了智能手機領(lǐng)域中常見的現(xiàn)象。在其實并未采取任何行動的情況下告訴用戶修復(fù)了漏洞，為用戶營造出了一種“虛假”的安全感。Nohl說：“我們發(fā)現(xiàn)有幾家廠商并未安裝某些補丁，但卻修改系統(tǒng)最后更新的日期，這是一種故意欺騙的行為，但并不普遍。”

Nohl認為，更常見的情況是像索尼或三星這樣的頂級廠商，會因為某些意外錯過一兩個補丁更新。但在不同的機型身上，卻出現(xiàn)了不同的情況：比如三星的2016款Galaxy J5機型，就會非常清晰的告訴用戶已經(jīng)安裝了哪些補丁、哪些補丁沒有更新。但在2016款Galaxy J3的身上，三星聲稱所有補丁都已經(jīng)發(fā)布，但經(jīng)過調(diào)查發(fā)現(xiàn)依然缺少了12個非常關(guān)鍵的更新。

“考慮到這是一種隱性機型差異，用戶幾乎不可能了解自己實際上究竟安裝了哪些更新，”Nohl說。為了解決這種補丁更新缺乏透明度的情況，SRL Labs還發(fā)布了一項針對旗下Android平臺SnoopSnitch應(yīng)用的更新，用戶可以輸入自己的手機代碼，隨時查看安全更新的真實狀況。

不同廠商情況不同

在對每個供應(yīng)商的產(chǎn)品進行評估之后，SRL Labs制作了下面這組圖表，將智能手機廠商分成了三個類別，分類的依據(jù)為各自在2017年對外宣和實際安裝補丁數(shù)的匹配程度，包括在2017年10月或之后至少收到一次更新的機型。包括小米、諾基亞在內(nèi)的主要安卓廠商，平均有1到3個補丁“丟失”，而HTC、摩托羅拉、LG和華為有3到4個補丁“丟失”，TCL和中興排名最后，丟失的補丁數(shù)超過4個。而谷歌、索尼、三星等錯過的補丁更新數(shù)量小于等于1。

SRL還指出，芯片供應(yīng)商是補丁缺失的一個原因。比如使用三星芯片的機型很少會出現(xiàn)悄悄忽略更新的問題，而使用聯(lián)發(fā)科芯片的設(shè)備，平均補丁缺失高達9.7個。在某些情況下，很有可能就是因為由于使用了更廉價的芯片，補丁缺失的概率就更高。還有一種情況就是因為漏洞出現(xiàn)在芯片層面而并非系統(tǒng)層面，因此手機制造商要依賴芯片廠商才會完成進一步更新。結(jié)果是從低端供應(yīng)商那里采購芯片的廉價智能手機也延續(xù)了“補丁缺失”的問題。“經(jīng)過我們的驗證，如果你選擇了一款比較便宜的產(chǎn)品，那么在安卓生態(tài)系統(tǒng)中，就會處于一個比較不受重視的地位。”Nohl表示。

在《連線》雜志聯(lián)系谷歌后，谷歌對SRL的研究表示贊賞，但同時回應(yīng)指出，SRL分析的部分設(shè)備可能并沒有經(jīng)過安卓系統(tǒng)認證，這意味著它們并不受谷歌安全標準的限制。谷歌表示，安卓智能手機有安全功能，就算在沒有補丁的情況下，安全漏洞也很難被破解。在某些情況下，之所以會出現(xiàn)“補丁丟失”的問題，是因為手機廠商只是將某種易受攻擊的功能簡單的移除而不是修復(fù)，或者某些手機在一開始就沒有這項功能。

谷歌表示將與SRL Labs合作，進一步進行深入調(diào)查。“安全更新是保護Android設(shè)備和用戶的眾多層級之一，”Android產(chǎn)品安全主管Scott Roberts在《連線》雜志上發(fā)表聲明。“系統(tǒng)內(nèi)置的平臺保護系統(tǒng)，比如應(yīng)用程序沙盒和Google Play Protect安全服務(wù)也同樣重要。這些多層次的安全手段，再加上Android生態(tài)系統(tǒng)的多樣性，讓研究人員得出了這樣的結(jié)論，即Android設(shè)備的遠程開發(fā)仍然充滿了挑戰(zhàn)性。”

為了回應(yīng)谷歌針對廠商由于移除了易受攻擊的功能而導(dǎo)致補丁缺失的結(jié)論，Nohl反駁稱，這種情況并不常見，發(fā)生的概率并不大。

補丁缺失影響有限

不過讓人意外的是，Nohl對谷歌的另一個說法表示同意：通過利用缺失的補丁對Android手機進行攻擊，其實并不是一件容易的事情。甚至一些沒有更新補丁的Android手機在系統(tǒng)更廣泛的安全措施保護下，惡意軟件依然難以對漏洞加以利用，像從Android 4.0 Lollipop開始出現(xiàn)的沙盒等功能，限制了惡意程序訪問設(shè)備概率。

這就意味著大多數(shù)的黑客如果利用某個所謂的“漏洞”來獲得Android設(shè)備的控制權(quán)，需要利用一系列的漏洞，而不僅僅只是因為缺失一個補丁而攻擊成功。Nohl表示：“即使錯過了某些補丁，依然可以依靠系統(tǒng)其它的安全特性抵御大部分的攻擊。”

因此，Nohl表示，Android設(shè)備更容易被一些比較簡單的方式破解，比如在Google Play商店中出現(xiàn)的那些惡意應(yīng)用，或者在非官方應(yīng)用商店安裝的App。Nohl說：“用戶安裝了盜版或惡意軟件，就更容易成為黑客攻擊的目標。”

來源：騰訊科技 作者：音希