安卓廠商滿嘴跑火車！你收到的可能是假安全補丁

一直以來，安卓系統的碎片化都是谷歌心中會呼吸的痛。

不但系統升級成了老大難，如何推送安全補丁也讓谷歌撓頭，畢竟數十家製造商、數百家運營商和數千款設備排列組合起來可不是個小數目。

如果你是安卓發燒友，肯定會了解一個殘酷的現實，那就是許多小廠商的安全補丁推送不太及時。

不過這還不是最可怕的，因為一家德國安全公司對數百款安卓手機進行了一番研究後卻發現，一些廠商不但推遲推送安全補丁，還乾脆向用戶撒謊，假裝自己推了安全補丁。

在安全補丁的問題上，弄虛作假居然成了行業潛規則？

周五在阿姆斯特丹舉辦的 Hack in the Box 安全大會上，來自安全研究實驗室（SRL）的研究者 Karsten Nohl 和 Jakob Lell 計劃公布一個驚人的結果。

據雷鋒網了解，他們倆在過去兩年里對大量安卓手機的作業系統代碼進行了逆向工程，為的是查證這些設備是否像廠商承諾的一樣打上了安全補丁。

這一查不要緊，兩位研究人員居然發現了巨大的「補丁鴻溝」。

舉例來說，許多廠商告訴用戶，它們已經按時間完成了安卓系統的安全更新，但事實上它們只是嘴上說說來安慰用戶，其實什麼都沒做。

也就是說，用戶只是吃了安慰劑，一旦被黑客盯上，還是會非死即傷。

「我們發現，現在的廠商們都是嘴炮打得好，真到需要打安全補丁時它們就消失了。

」 Nohl 說道。

「有時候這些傢伙連補丁描述都懶得改，只是換了個日期就算完事。

也許這是為了市場宣傳？反正它們只是任意設置個更新日期，怎麼好看怎麼來。

」

"補丁鴻溝"

SRL 一共測試了 1200 台手機的固件，它們來自數十家手機製造商，其中不但有谷歌的親兒子，還有三星、摩托、HTC等知名巨頭。

當然，也有來自中國的中興和 TCL。

測試結果顯示，除了谷歌自家旗艦 Pixel 和 Pixel 2 按部就班的更新了安全補丁，其它廠商都學會了偷奸耍滑，而體量較小的小眾廠商，安全更新更是一本讀不下去的爛帳。

Nohl 指出，以前大家可能覺得廠商會拋棄自家的老產品，但事實上它們連新產品也不管不顧了，而且謊話一個比一個說的溜，用戶沒享受到服務，只得到了一個紙糊的安全護盾。

「在研究中我們還真發現了沒進行過一次安全更新的廠商，不過它們改日期的水平可不低，這已經算得上是蓄意欺騙了。

」

如果說一些小廠商已經喪心病狂的話，那麼國際大廠們還算良心未泯，類似三星或索尼這樣的廠商只是會偶然漏掉一兩個小補丁。

不過，Nohl 也發現了一些前後矛盾的奇怪之處。

舉例來說，2016 年的三星 J5 會一五一十的告訴用戶到底更新了哪些補丁，還有哪些未更新，而同年的三星 J3 卻補丁全滿，但事實上三星漏推了 12 個補丁包。

同一家廠商都能出這麼多么蛾子，真是不可思議，對普通用戶來說根本無法分辨。

好在這次 SRL 做了次業界良心，在它們的安卓應用 SnoopSnitch 上你就能查到自己是不是被廠商忽悠了。

廉價機型是重災區

在完成了全部測試後，SRL 專門製作了圖表（下圖），它們將製造商分為三個類別，評判標準就是它們 2017 年（10 月及之後收到至少一個安全推送）修補漏洞的誠實指數。

表現最好的是谷歌、索尼、三星和 WIKO，小米、一加和諾基亞則排在第二梯隊，表現最不好的就是中興和 TCL，它們都宣稱完成了 4 次以上的安全更新，但其實是說了假話。

先別忙著在自己的購機願望清單上劃掉第三和第四梯隊的品牌啊，因為 SRL 指出，漏打補丁可能也有晶片供應商的鍋。

它們發現，搭載聯發科晶片的手機平均會漏過 9.7 個補丁（如下圖），而用了三星晶片的產品則最安全，排在第二和第三的高通和海思也比聯發科安全得多。

其實從這個角度也能得出一個結論，那就是低端手機確實不夠安全，錢沒花到位就會掉進一個年久失修的坑人生態。

《連線》專門就這份研究結果聯繫了谷歌，搜索巨頭先是對 SRL 的工作表示了讚賞，而後話鋒一轉稱它們研究的一些機型其實根本沒得到安卓認證，也就是說它們根本無法達到谷歌的安全標準。

同時，谷歌還指出，現代的安卓手機安全功能足夠強大，它們為用戶搭建了很多層防護網，即使不打補丁也很難被黑客攻破。

此外，谷歌認為一些廠商直接用移除漏洞功能的方式來替代安全更新，而且別忘了，一些低端機可能本來就沒有需要打補丁的功能。

Nohl 也對谷歌的評論做了回應，他認為谷歌為廠商們找的藉口太牽強，那種情況發生的幾率太低了。

想黑掉安卓並不容易

不過，Nohl 並沒有對谷歌窮追猛打，相反他認為借著漏打的補丁黑進安卓系統其實並不容易。

即使買到放飛自我廠商的機型，用戶也能受到安卓平台的庇護。

舉例來說，安卓 4.0 之後，谷歌就引入了隨機定位布局的解決方案，應用在內存上的位置是隨機的，惡意軟體對手機進行完美入侵。

此外，別忘了安卓還有強大的沙盒機制，即使遭到入侵，病毒也會被困住而無法擴散。

這就意味著，除非一台手機漏洞多到不計其數，否則黑客很難完全取得手機的控制權。

Nohl 指出，對安卓系統進行正面強攻太難了，因此網絡罪犯門玩起了旁敲側擊。

他們把人的心理研究的透透的，只用一些能占小便宜的免費或盜版軟體，就能輕鬆在受害者手機中植入惡意軟體。

同時，Nohl 也提醒大家，有背景的黑客集團們可不玩小花招，他們大多會直接利用零日漏洞（可攻破且沒有補丁防護的秘密漏洞）發動攻擊。

當然，有時他們也會採用混合攻擊方案，零日漏洞和普通漏洞一起用。

在防禦黑客上，Nohl 認為戰爭理論中的「縱深防禦」最有效，雖說安卓系統並不容易攻破，但你每少打一個補丁，可能就會少一層防禦，給自己挖坑的事還是不作為好。

恩威並施的「保姆」谷歌

谷歌為了安全補丁可謂操碎了心，幾乎就差把飯餵進手機廠商的嘴裡。

不過，因為複雜的市場環境、利益關係以及自身能力，手機廠商們對於谷歌主動提供的安全補丁反倒情緒複雜，有人無所謂有人很積極，甚至有些乾脆選擇性遺忘。

據微信公眾號深幾度報導，2017年5月5日德國安全廠商G DATA公布的報告顯示，2017年第一季度出現了75萬個新的安卓病毒，勢頭略有減緩，但全年下來預計會超過350萬個，再創新高。

DATA指出，谷歌越來越重視安卓系統的安全，每個月都會推送安全補丁，但最大問題在於各廠商的跟進速度太慢。

也正是如此，谷歌恩威並施，為推動OEM廠商對安卓安全補丁進行及時更新，開始對安全補丁的更新狀態進行晾曬。

在谷歌的計劃中，2017年會聯合運營商對OEM廠商進行督促施壓。

但顯然，不裝鴕鳥的第三方手機廠商開始出現瞞天過海的勾當。

在知乎「為何許多安卓廠商不重視安全補丁的更新？」問題下，雷鋒網編輯看到幾個匿名用戶的回答：

實際上，聯想，戴爾，HP，也不會幫你做系統安全更新的。

因為安全更新不是這些公司製造的，所以這些安全更新是否存在問題，他們沒法負責，要麼自己投入人力物力去測試驗證，要麼就跳過。

你看各安卓廠商推自己的UI更新還是比較積極的，畢竟這是自己做的自己測的，心裡有底啊。

歸根結底，如果廠商給你推更新，出什麼問題都是廠商負責。

此時google反而是第三方廠商了，他們提供的更新當然不在首要考慮。

當論壇發布了安卓版本更新的貼，會有一大群人高潮；

當論壇發布了UI版本更新的貼，會有一群人炸鍋；

當論壇發布了安全補丁更新的貼，會有一些人刷積分；

其實很多人都不知道安全補丁有何用，當然不聞不問。

windows是授權收費的，廠商用android可沒交錢，不過上游代碼是有安全patch的，廠商完全有能力測試發更新，不負責任而已。

2016年底，安卓安全主管Adrian Ludwig 曾在 O'Reilly安全大會上公開表達，在安全性上，安卓手機和iPhone「幾乎是一模一樣的」。

但如今看來，這句話是有條件的。

參考來源： Wired，知乎

雷鋒網宅客頻道（微信公眾號：letshome），專注先鋒科技領域，講述黑客背後的故事。