你以為裝完所有手機安全更新,其實沒有,研究發現:多款Android手機的安全更新資訊不實
Android手機的安全更新一直遠不如iPhone有效率,因此Google一直力促手機廠商提供安全更新。但研究人員發現,包括從大廠三星、Sony到HTC及中國手機等Android手機提供用戶的安全更新資訊,皆或多或少有誇大不實的問題,導致用戶曝露於安全風險之中。
Wired周四報導,安全公司Security Research Labs研究人員Karsten Nohl及Jakob Lell測試了來自Google、三星、Sony、HTC、Nokia、Motorola、及中國的ZTE、TCL等1200款手機的韌體,以測試是否真的如手機訊息顯示下載了安全更新。結果出現研究人員稱為「修補程式鴻溝」(patch gap)的情形,即手機真實下載的更新都或多或少有所遺漏。研究人員也在荷蘭阿姆斯特丹舉行的Hack in the Box安全會議上公佈這項研究。
研究顯示,偶爾情況下Sony、或三星手機會遺漏1、2項修補程式。但同一家廠商的手機的表現差異也很大,例如2016年Samsung J5是完全真實顯示安裝了哪些,以及尚有哪些修補程式未安裝。但2016年J3手機卻遺漏了12項,包括2項重大修補程式。
研究人員提供各家手機廠商的遺漏修補程式平均數。其中Google、Sony、Samsung及法國廠商Wiko平均在1個以下,小米、Nokia及OnePlus為1-3項,HTC、LG、華為及Motorola則在3-4項。而中國手機品牌TCL及ZTE遺漏數量為4個以上。
這項研究還探討了晶片組和手機遺漏修補程式的關係。其中三星產品平均不到0.5表現最佳,高通(Qualcomm)為1.1項,中國的海思半導體(Hisilicon)為1.9項。聯發科則高達9.7項。研究人員表示,有些情形下,可能純粹是因為便宜的手機較容易遺漏修補程式,剛好又使用了便宜的晶片組。但其他情形下是因為漏洞出在晶片本身,而手機廠商又仰賴晶片商提供修補程式,使得手機出現修補不足的情形。
研究人員指出,如果消費者買的是便宜手機,可能就會身處在維護不良的生態體系中。
Google對此回應,研究測試的手機,有些並未符合Google現在正在力推的Android安全認證,同時現在的Android手機有更多安全防護,像是應用程式沙盒、手機防毒等等,因此即使少安裝了修補程式也不容易被駭。該公司也指出,有些情況下Android手機移除了有問題的功能,或一開始就沒有這些功能,因此一些修補程式是不重要的。
研究人員Nohl並不認同Google關於手機廠商移除有問題功能的論點,但同意現代Android的設計,像是Lollipop(4.0)以上將記憶體中程式位置隨機化之後,使得更不容易為惡意程式攻擊。
這也意謂著,大部份Android手機攻擊是起於駭客利用多個軟體或app弱點,而非只是沒有安裝修補程式。因此除了國家贊助的攻擊行為是攻擊未修補漏洞,大部份攻擊是來自使用者從Google Play Store或第三方軟體商店下載了有害的app這種簡單行為。
不過即使如此,研究人員仍然強調「深度防禦」的重要性,每少一安裝一項修補程式,就多一分被攻擊者得手的風險。
快檢查手機!Android系統安全更新不實,「補丁」沒定時發送
軟體更新速度太慢,一直是過去Android手機被人詬病的問題,安全研究實驗室(SRL)花了兩年的時間、研究了1200部手機後,意外發現了Android系統安全補丁(修補程式)的亂象,許多手機製造商不僅沒有即時推送Google發布的安全補丁,甚至還有部分廠商說謊,告訴用戶軟體已經更新,事實上卻遺漏了關鍵的安全補丁。
部分手機廠商未完整推送安全補丁
手機的安全絕對是所有體驗最重要的關鍵,過去Google一直都呼籲市面上的Android手機製造商,可以定期向用戶推送安全補丁更新。
但安全研究實驗室(SRL)花了兩年的時間研究1200台,包括Google、三星、HTC、摩托羅拉(Motorola)、中興通訊、TCL等品牌的手機,發現像Google、三星、Sony這類品牌的旗艦手機,偶爾會出現遺漏少數安全補丁的狀況,小米、Nokia、華為、HTC、LG、摩托羅拉等其他品牌,則缺少2~4個不等的安全補丁。
研究中也提到,許多公司對於更新的內容並不坦承,除了推送補丁有延遲的狀況,甚至有時會告訴用戶軟體已經更新到最新版本,實際上卻偷偷遺漏關鍵的安全補丁。研究人員表示:「 雖然補丁占軟體的份額很小,但對手機安全卻是至關重要,許多Android手機廠商只不過在推送軟體時更改了日期,但實際上根本不包括補丁。 」
不論遺漏安全補丁是否為有意的,研究人員認為假裝安裝補丁的情況非常不可取,會因此讓顧客陷入以為自己得到充分保護的虛假感,甚至可能會引發災難性的安全後果。 為了杜絕類似情況,SRL推出一款工具,透過查看手機代碼,來檢測Android硬體是否有遺漏安全補丁。
Google認為本身保護機制已完備
Google表示,他們正與SRL實驗室針對個案進行調查,認為部分遺漏安全補丁的手機,可能不是Android認證的裝置,才會沒受到Google安全機制的管控。
同時也談到,透過安全更新保護Android設備只是眾多層面之一,Android手機還有像是應用程式沙盒、手機防毒等保護機制,都能阻擋惡意軟體入侵,因此就算少安裝了一兩個安全補丁,對安全防護也不會構成過大威脅,認為Android手機並沒有那麼容易被破解。
但研究人員仍呼籲,其實每款補丁都是一層潛在保護,用戶仍必須安裝所有補丁,不要讓駭客有機會入侵,而手機製造商就算沒能即時推播所有可更新的補釘,也應該誠實而不是欺騙用戶。
手機廠商提供安全更新?
絕對是「Google自己要提供安全更新」!![]()
