安卓廠商隱藏的事實：安全補丁的更新部署並不真實完整

HITB AMS 2018 安全會議 4 月 12 日至 4 月 13 日在荷蘭阿姆斯特丹舉辦。來自德國安全研究實驗室的的研究員，在議題分享環節會公開一項讓人驚訝的發現——他們逆向分析了數百款安卓手機，發現許多安卓手機廠商並不會向用戶提供補丁程序，或者會推遲補丁的發布時間。部分廠商深知會在跳過安全補丁的事實之下，告訴用戶「現在的固件已經是最新狀態」。

阿姆斯特丹舉行的 Hack in the Box 安全會議上，研究人員 Karsten Nohl 和 Jakob Lell 詳細展示了他們在過去兩年中對數千部 Android 手機操作系統代碼進行逆向工程的結果。

他們精心檢查每個設備在設置中顯示的安全補丁，並分析廠商聲稱的情況與實際的差距（「補丁差距」）：顯然，存在大補丁差距的手機很容易受到眾多已知黑客技術的攻擊。

我們發現漏洞修復版本聲明與設備上安裝的實際修補程序之間存在差距。

在最糟糕的情況下，我們認為一些 Android 手機製造商有意歪曲了設備修補的最新時間。

他們只是在沒有安裝任何補丁的情況下更改修復日期，也許是出於營銷的原因。

手機廠商故意的欺騙行為

SRL 針對 2017 年發布的 Android 補丁，對來自十多家手機製造商的 1200 部手機固件進行了測試。

他們在測試發現，除了像 Pixel 和 Pixel 2 設備之外，頂級廠商的設備有時也會存在聲稱「補丁差距」，而較低級別的製造商的記錄卻非常混亂。

Nohl 表示，廠商的「補丁差距」的欺詐問題比供應商忽視修補更為嚴重。 廠商通過修改補丁日期，帶給用戶的只是虛擬的安全感。普通用戶幾乎不可能了解自己的設備上究竟真實安裝了哪些補丁。

為了解決補丁透明度缺失的問題，SRL Labs 還發布了一款名為 Android SnoopSnitch 的應用更新版本，可以檢查手機固件代碼獲取安全更新的實際情況。

四個梯隊：廠商在安全補丁上的誠實度

在為每個手機廠商進行測試之後，SRL 實驗室按照 2017 年安全補丁的廠商誠實度將其分為三類。

主要的安卓廠商品牌如小米、諾基亞 處在第二梯隊，僅平均缺少 1 至 3 個補丁；

而像 HTC 、華為、摩托羅拉和 LG 等主要廠商缺失補丁約為 3 至 4 個；

而名單上表現最差的則是 TCL 和中興，廠商聲稱已經安裝了，而實際沒有的補丁超過 4 個。

同時，SRL也指出這個問題發生的原因也可能在於晶元供應商方面未能提供補丁。

在三星的手機上，自帶處理器的手機很少發生補丁跳過的情況，而使用聯發科晶元的手機則平均缺少 9.7 個補丁。

Google 對 SRL 的研究表示讚賞，但指出其分析的部分設備可能並未得到 Android 安全認證、或者沒有遵從該公司的安全標準。但由於 Google 部署了眾多安全措施，他們認為某些未打補丁的設備仍然難以被破解。他們表示自己會與 SRL 展開深入調查合作。

*參考來源：wired，本文編譯整理Elaine，轉載請註明FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！