安卓手機廠商存在忽略安全更新行為 除了谷歌全部中槍

騰訊科技訊 4月13日據國外媒體報導,一直以來,谷歌都在努力推進市面上數十家智慧手機製造商以及數百家運營商定期發佈修復安全問題的軟件更新。但最近一家德國安全公司針對數百台Android智慧手機進行分析後發現了一個讓人不安的新問題:不僅很多Android手機廠商不能或延遲多個月向用戶發佈補丁,甚至還會偷偷跳過某些補丁而欺騙用戶韌體已經完全更新。

在阿姆斯特丹舉辦的Hack in the Box安全會議上,Security Research公司的研究人員Karsten Nohl和Jakob Lell介紹,他們針對最近兩年上櫃的數百台Android智慧手機的操作系統代碼進行了逆向分析,詳細的對每台設備實際安裝的安全補丁進行了研究。他們發現所謂的「補丁門」:在一些情況下部分廠商會通知用戶已經安裝了所有特定日期發佈的安全補丁,但實際上並未提供這項服務,只是虛假的通知,因此這些設備非常容易受到黑客的攻擊。

「我們發現,實際修補和廠商聲稱已經完成修復之間的漏洞數量存在差別。」著名安全研究人員、SRL創始人Nohl表示。他說,最糟糕的情況下,Android手機製造商會故意篡改設備上次修復漏洞的時間。「有些廠商會在未安裝補丁的情況下更改系統更新日期。出於營銷的原因,他們只是將補丁的安裝日期設置為特定時間,只是追求看起來很安全而已。」

選擇性忽略

SRL在2017年統計了Android系統的每一次安全更新,測試了來自於十幾家智慧手機廠商超過1200部手機的韌體,這些設備來自於谷歌、三星、摩托羅拉、HTC等主流Android手機廠商以及中興、TCL等新興製造商。他們發現,除了谷歌自己的Pixel和Pixel 2等機型之外,就算是國際頂級廠商有時也會謊稱自己為產品安裝了實際上並未發佈的補丁更新。而二三線廠商的記錄則更加糟糕。

Nohl指出,這是一種比放棄更新後果更嚴重的行為,並且已經成為了智慧手機領域中常見的現象。在其實並未採取任何行動的情況下告訴用戶修復了漏洞,為用戶營造出了一種「虛假」的安全感。Nohl說:「我們發現有幾家廠商並未安裝某些補丁,但卻修改系統最後更新的日期,這是一種故意欺騙的行為,但並不普遍。」

Nohl認為,更常見的情況是像索尼或三星這樣的頂級廠商,會因為某些意外錯過一兩個補丁更新。但在不同的機型身上,卻出現了不同的情況:比如三星的2016款Galaxy J5機型,就會非常清晰的告訴用戶已經安裝了哪些補丁、哪些補丁沒有更新。但在2016款Galaxy J3的身上,三星聲稱所有補丁都已經發佈,但經過調查發現依然缺少了12個非常關鍵的更新。

「考慮到這是一種隱性機型差異,用戶幾乎不可能瞭解自己實際上究竟安裝了哪些更新,」Nohl說。為瞭解決這種補丁更新缺乏透明度的情況,SRL Labs還發佈了一項針對旗下Android平台SnoopSnitch應用的更新,用戶可以輸入自己的手機代碼,隨時查看安全更新的真實狀況。

不同廠商情況不同

在對每個供應商的產品進行評估之後,SRL Labs製作了下面這組圖表,將智慧手機廠商分成了三個類別,分類的依據為各自在2017年對外宣和實際安裝補丁數的匹配程度,包括在2017年10月或之後至少收到一次更新的機型。包括小米、諾基亞在內的主要安卓廠商,平均有1到3個補丁「丟失」,而HTC、摩托羅拉、LG和華為有3到4個補丁「丟失」,TCL和中興排名最後,丟失的補丁數超過4個。而谷歌、索尼、三星等錯過的補丁更新數量小於等於1。

SRL還指出,晶片供應商是補丁缺失的一個原因。比如使用三星晶片的機型很少會出現悄悄忽略更新的問題,而使用聯發科晶片的設備,平均補丁缺失高達9.7個。在某些情況下,很有可能就是因為由於使用了更廉價的晶片,補丁缺失的概率就更高。還有一種情況就是因為漏洞出現在晶片層面而並非系統層面,因此手機製造商要依賴晶片廠商才會完成進一步更新。結果是從低階供應商那裡採購晶片的廉價智慧手機也延續了「補丁缺失」的問題。「經過我們的驗證,如果你選擇了一款比較便宜的產品,那麼在安卓生態系統中,就會處於一個比較不受重視的地位。」Nohl表示。

在《連線》雜誌聯繫谷歌後,谷歌對SRL的研究表示讚賞,但同時回應指出,SRL分析的部分設備可能並沒有經過安卓系統認證,這意味著它們並不受谷歌安全標準的限制。谷歌表示,安卓智慧手機有安全功能,就算在沒有補丁的情況下,安全漏洞也很難被破解。在某些情況下,之所以會出現「補丁丟失」的問題,是因為手機廠商只是將某種易受攻擊的功能簡單的移除而不是修復,或者某些手機在一開始就沒有這項功能。

谷歌表示將與SRL Labs合作,進一步進行深入調查。「安全更新是保護Android設備和用戶的眾多層級之一,」Android產品安全主管Scott Roberts在《連線》雜誌上發表聲明。「系統內置的平台保護系統,比如應用程式沙盒和Google Play Protect安全服務也同樣重要。這些多層次的安全手段,再加上Android生態系統的多樣性,讓研究人員得出了這樣的結論,即Android設備的遠程開發仍然充滿了挑戰性。」

為了回應谷歌針對廠商由於移除了易受攻擊的功能而導致補丁缺失的結論,Nohl反駁稱,這種情況並不常見,發生的概率並不大。

補丁缺失影響有限

不過讓人意外的是,Nohl對谷歌的另一個說法表示同意:通過利用缺失的補丁對Android手機進行攻擊,其實並不是一件容易的事情。甚至一些沒有更新補丁的Android手機在系統更廣泛的安全措施保護下,惡意軟件依然難以對漏洞加以利用,像從Android 4.0 Lollipop開始出現的沙盒等功能,限制了惡意程式訪問設備概率。

這就意味著大多數的黑客如果利用某個所謂的「漏洞」來獲得Android設備的控制權,需要利用一系列的漏洞,而不僅僅只是因為缺失一個補丁而攻擊成功。Nohl表示:「即使錯過了某些補丁,依然可以依靠系統其它的安全特性抵禦大部分的攻擊。」

因此,Nohl表示,Android設備更容易被一些比較簡單的方式破解,比如在Google Play商店中出現的那些惡意應用,或者在非官方應用商店安裝的App。Nohl說:「用戶安裝了盜版或惡意軟件,就更容易成為黑客攻擊的目標。」

來源:騰訊科技

【轉載須知】轉載僅限全文轉載並且需要完整保留標題和內容,不得刪除、修改,不得增加內容,且文章開頭必須註明:轉自愛分享(ishare.cc),謝謝合作。