一部分安卓廠商在更新安全補丁上對用戶撒了謊
安卓手機更新不及時都是老生常談了——谷歌最新版本在2月份更新,而現在只有 1.1% 的安卓用戶能夠得到最新版本的硬體——而且,安卓手機的更新問題不僅於此。據安全研究實驗室(Security Research Labs )稱,許多安卓廠商在安全補丁的問題上對用戶撒謊了。
credit:123RF
SRL的研究員Karsten Nohl 和 Jakob Lell 花了兩年時間研究安卓設備,主要檢查手機是否像軟體顯示的那樣安裝了安全補丁。這兩個人發現,許多設備都有所謂的「patch gap」,就是說你看著軟體上說安全補丁是最新的,實際上,手機真正的補丁版本和顯示的補丁版本差了十幾個版本。
補丁缺失不是一個孤例,據《連線》雜誌報道,SRL 測試了來自谷歌、三星、HTC、摩托羅拉、中興、TCL 的 1200 部手機,去年一年每一個固件版本都進行過測試。他們發現,即便是三星索尼的旗艦機型,都有補丁缺失的問題。
顯而易見,這不是什麼好事。不管是不是故意的,消費者都不應該因為安全補丁不及時而暴露在危險之中。他們也不應該有一種錯誤的安全感,覺得自己處在保護中,這樣只會讓導致更多災難發生。為了改變局面,SRL 在 Play Store 里上架了一個 SnoopSnitch,可以分析你手機的固件有沒有打上最新的安全補丁,不過事情一開始就不應該是這樣。
谷歌方面已經對《連線》雜誌回復到:「我們已經對該問題和每一個 OEM 啟動了調查,保證認證的設備符合要求。」並表示,未來會有進一步的調查。同時解釋說,SRL 發現的部分案例是因為一個已經被去除的特性導致的,另外還有一部分手機一開始就沒有官方的安卓安全認證。但一件事是肯定的——我們需要做的還有很多。
如果一個安卓廠商不能及時更新手機,最起碼他應該對消費者保持誠實。
附一則谷歌發表是聲明:
我們感謝 Karsten Nohl 和 Jakob Kell 為安卓生態的安全做出的不懈努力。我們目前正在進行合作以探明現在安全補丁不及時的情況有多嚴重。安全更新是眾多保護安卓設備和用戶的手段之一。內建的保護機制,如應用沙盒、安全服務、還有 Google Play 保護都很重要。安全層級的多樣性和安卓生態的多樣性共同促成了安全補丁的問題。
本文譯自 theverge,由譯者 Dkphhh 基於創作共用協議(BY-NC)發布。
TAG:煎蛋 |