研究查證，多數廠商未及時向用戶推送安全補丁，安卓曝重大隱患

周五在阿姆斯特丹舉辦的Hack in the Box安全大會上，德國的安全研究實驗室（SRL）的研究員稱，為查證手機設備是否像廠商承諾的一樣打上了安全補丁，他倆在過去兩年里對大量安卓手機的操作系統代碼進行了逆向工程。結果令人吃驚，除了Google自家旗艦Pixel和Pixel 2及時地更新了安全補丁，其它廠商多多少少都學會了偷懶，而一些小眾廠商，測試結果更是慘不忍睹。

這項測試涵蓋數十家手機製造廠商，研究發現，你收到的可能是假安全補丁，很多廠商並未能及時將安全補丁推送給用戶，即使手機狀態顯示的是已安裝。推送不及時屬於目前大多數廠商通病，但推送假補丁這種欺騙行為，實在是有些說不過去。

由於廠商和支持設備眾多，安卓系統版本升級和安全補丁推送一直是令Google頭疼的問題，和蘋果封閉的生態鏈形成了鮮明對比。

下圖為SRL根據研究測試專門製作的圖表：

來自SRL

上圖為廠商漏打補丁次數，由此可見，國際大廠還是較為良心。

此外SRL指出，漏打補丁可能和晶元的供應商也有關。它們發現，搭載聯發科晶元的手機平均會漏過9.7個補丁，而用了三星晶元的產品則最安全，排在第二和第三的高通和海思也比聯發科安全得多。

下圖為SRL的測試結果圖表：

來自SRL

上圖為晶元相關的漏打補丁次數。

隨後Google對此事進行了表態，首先是對SRL的工作表示了讚賞，但隨後話鋒一轉稱它們研究的一些機型其實根本沒得到安卓認證，也就是說它們根本無法達到Google的安全標準。Google還強調，現代的安卓手機安全功能足夠強大，它們為用戶搭建了很多層防護網，即使不打補丁也很難被黑客攻破。此外，Google認為一些廠商直接用移除漏洞功能的方式來替代安全更新，而且，一些低端機因為功能方面比旗艦要少很多，可能本來就沒有需要打補丁的需要。

這樣的回應似乎有點牽強，隨著安卓系統的不斷完善，雖然實際上並不容易被攻破（此前相關研究表明），但每少打一個補丁，你手機的安全係數就會降低，本該相對安全的系統，可能會被一次漏推，使你的手機感染病毒，帶來損失。

近些年，Google也越來越重視安卓系統的安全問題，每個月都會推送安全補丁，但最大問題在於各廠商的跟進速度太慢。為推動OEM廠商對安卓安全補丁進行及時更新，開始對安全補丁的更新狀態進行晾曬。在Google的計劃中，2017年會聯合運營商對OEM廠商進行督促施壓。

同時Google也在努力構建一個良好生態圈，統一推送系統更新和安全補丁，同時加強應用監管，打造良好的系統平台。

蘋果又被曝出，美國警察僅通過一個盒子就能破解所有iPhone，連日曝出的手機安全問題不容忽視。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！