《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 模擬設(shè)計(jì) > 業(yè)界動(dòng)態(tài) > 研究稱安卓手機(jī)漏打補(bǔ)丁問題嚴(yán)重 廠商卻在隱瞞

研究稱安卓手機(jī)漏打補(bǔ)丁問題嚴(yán)重 廠商卻在隱瞞

2018-04-16

長(zhǎng)期以來,,谷歌始終在努力推動(dòng)數(shù)十家Android智能手機(jī)制造商以及數(shù)百家運(yùn)營(yíng)商定期推出以安全為重點(diǎn)的軟件更新,。但是,,當(dāng)?shù)聡?guó)安全公司——安全研究實(shí)驗(yàn)室(Security Research Labs)對(duì)數(shù)百部Android手機(jī)進(jìn)行調(diào)查時(shí),發(fā)現(xiàn)了一個(gè)令人極為不安的新問題:許多Android手機(jī)供應(yīng)商不僅沒有為用戶提供安全補(bǔ)丁,,或者延遲數(shù)月發(fā)布補(bǔ)丁,,有時(shí)還會(huì)向用戶撒謊,告訴他們手機(jī)固件是最新的,,即使他們偷偷地跳過了安全更新。

1523678451896005776.jpg

圖:最新研究發(fā)現(xiàn),,Android手機(jī)制造商不只是安全更新緩慢,,有時(shí)候甚至還會(huì)謊稱打了補(bǔ)丁

在阿姆斯特丹舉行的Hack in the Box安全會(huì)議上,安全研究實(shí)驗(yàn)室的研究人員卡爾斯滕·諾爾(Karsten Nohl)和雅各布·萊爾(Jakob Lell)計(jì)劃介紹最新研究結(jié)果,,這是他們歷時(shí)兩年,、對(duì)數(shù)以百計(jì)的Android手機(jī)操作系統(tǒng)代碼進(jìn)行的逆向工程,他們煞費(fèi)苦心地檢查每部設(shè)備是否都包含了安全補(bǔ)丁,。他們發(fā)現(xiàn)了所謂的“補(bǔ)丁缺口”:在許多情況下,,某些廠商的手機(jī)會(huì)告訴用戶他們所有安卓系統(tǒng)都安裝了迄今最新的安全補(bǔ)丁,而實(shí)際上卻缺少數(shù)十個(gè)補(bǔ)丁,,導(dǎo)致手機(jī)非常容易受到廣泛的已知黑客技術(shù)攻擊,。

諾爾是著名安全研究員、安全研究實(shí)驗(yàn)室創(chuàng)始人,,他說:“在補(bǔ)丁發(fā)布和設(shè)備上實(shí)際安裝的補(bǔ)丁之間存在著巨大差距,。有些設(shè)備差距較小,而其他設(shè)備則相當(dāng)大,。在最糟糕的情況下,,Android手機(jī)制造商在設(shè)備最后被打補(bǔ)丁時(shí)故意歪曲事實(shí),。有時(shí)候,這些廠商在未安裝更新補(bǔ)丁的情況下更改日期,??赡苁怯捎谑袌?chǎng)原因,他們可將補(bǔ)丁更新設(shè)置為幾乎任意日期,?!?/p>

在2017年發(fā)布的每個(gè)Android補(bǔ)丁中,安全研究實(shí)驗(yàn)室測(cè)試了來自數(shù)十家手機(jī)制造商的1200部手機(jī)固件,,包括谷歌自身的手機(jī),,三星、摩托羅拉,、HTC等主要Android手機(jī)制造商,,以及中興和TCL等不太知名的中國(guó)公司。他們的測(cè)試發(fā)現(xiàn),,除了谷歌自己的旗艦手機(jī),,如Pixel和Pixel 2,即使是頂級(jí)手機(jī)供應(yīng)商有時(shí)也慌稱自己安裝了補(bǔ)丁,,而更低層次的制造商則有更混亂的記錄,。

諾爾指出,這一問題比廠商僅僅忽視為舊設(shè)備打補(bǔ)丁更糟糕,,后者已經(jīng)是一種常見現(xiàn)象,。相反,他們告訴用戶自己已經(jīng)安裝了最新安全補(bǔ)丁,,盡管實(shí)際上并沒有安裝,,從而創(chuàng)造出一種虛假的安全感。諾爾說:“我們發(fā)現(xiàn)幾家供應(yīng)商沒有安裝任何補(bǔ)丁,,只是將補(bǔ)丁日期推后了幾個(gè)月,。這是一種故意欺騙,幸好并不常見,?!?/p>

諾爾認(rèn)為,更常見的情況是,,像索尼或三星這樣的公司可能偶爾會(huì)錯(cuò)過一兩個(gè)補(bǔ)丁,。但是在其他情況下,結(jié)果卻難以解釋:安全研究實(shí)驗(yàn)室發(fā)現(xiàn)三星手機(jī)2016 J5,,非常坦誠(chéng)告訴用戶哪些補(bǔ)丁已經(jīng)安裝,,哪些仍然缺乏。而三星2016 J3聲稱,它已經(jīng)安裝了2017年發(fā)布的所有Android補(bǔ)丁,,但實(shí)際上缺少12個(gè),,其中2個(gè)被視為手機(jī)安全的“關(guān)鍵”。

鑒于這種隱藏的不一致性,,諾爾說:“用戶幾乎不可能知道實(shí)際安裝了哪些補(bǔ)丁,。”為了解決這個(gè)補(bǔ)丁丟失的問題,,安全研究實(shí)驗(yàn)室還發(fā)布了一個(gè)Android應(yīng)用SnoopSnitch更新,,它將允許用戶查看手機(jī)代碼,以了解其安全更新的實(shí)際狀態(tài),。

在對(duì)每家供應(yīng)商的幾乎所有手機(jī)進(jìn)行測(cè)試后,,安全研究實(shí)驗(yàn)室制作了以下圖表,根據(jù)供應(yīng)商宣稱的補(bǔ)丁安裝情況與事實(shí)是否相符將它們分成三類,。包括小米和諾基亞在內(nèi)的主要Android廠商,,手機(jī)平均有1到3個(gè)丟失的補(bǔ)丁,而像HTC,、摩托羅拉和LG這樣的主要供應(yīng)商,,丟失有3到4個(gè)補(bǔ)丁。但榜單上表現(xiàn)最差的公司是中國(guó)的TCL和中興,,這些公司的手機(jī)平均丟失的補(bǔ)丁在4個(gè)以上,。

圖注:wiko是深圳天瓏移動(dòng)控股,在法國(guó)注冊(cè)的手機(jī)品牌,,份額在法國(guó)名列第二,。

安全研究實(shí)驗(yàn)室還指出,芯片供應(yīng)商可能也是廠商錯(cuò)過安全補(bǔ)丁的推手:雖然使用三星處理器的手機(jī)很少會(huì)悄無(wú)聲息地跳過安全更新,,但使用臺(tái)灣聯(lián)發(fā)科(MediaTek)芯片的手機(jī)平均卻缺少9.7個(gè)補(bǔ)丁,。在某些情況下,這可能是因?yàn)楦阋说氖謾C(jī)更容易跳過補(bǔ)丁,,而且它們更傾向于使用便宜的芯片。

但在其他情況下,,這是因?yàn)樵谑謾C(jī)芯片中發(fā)現(xiàn)了缺陷,,而不是在其操作系統(tǒng)中,而手機(jī)制造商則依賴芯片制造商提供補(bǔ)丁,。因此,,從低端供應(yīng)商那里獲得芯片的廉價(jià)手機(jī),會(huì)繼承這些供應(yīng)商錯(cuò)過的安全更新,。諾爾說:“我們的經(jīng)驗(yàn)是,,如果你選擇更便宜的設(shè)備,你最終在這個(gè)生態(tài)系統(tǒng)中得到的服務(wù)可能也不會(huì)太好?!?/p>

當(dāng)《連線》雜志與谷歌聯(lián)系時(shí),,該公司表示感謝安全研究實(shí)驗(yàn)室的研究,但其回應(yīng)指出,,安全研究實(shí)驗(yàn)室分析的部分設(shè)備可能不是Android認(rèn)證的設(shè)備,,這意味著它們沒有被谷歌的安全標(biāo)準(zhǔn)所控制。他們指出,,現(xiàn)代Android手機(jī)有安全功能,,即使它們有未修補(bǔ)的安全漏洞,也很難破解,。谷歌認(rèn)為,,在某些情況下,設(shè)備可能會(huì)丟失一些補(bǔ)丁,,因?yàn)槭謾C(jī)廠商只是簡(jiǎn)單地從手機(jī)上移除一個(gè)易受攻擊的功能,,而不是修補(bǔ)它,或者手機(jī)根本就沒有這個(gè)功能,。

谷歌還表示,,他們正在與安全研究實(shí)驗(yàn)室合作,進(jìn)一步調(diào)查研究結(jié)果,。安卓產(chǎn)品安全主管斯科特·羅伯茨(Scott Roberts)補(bǔ)充說:“安全更新只是保護(hù)Android設(shè)備和用戶的眾多層面之一,,內(nèi)置的平臺(tái)保護(hù)(如應(yīng)用程序沙箱)和安全服務(wù)(如Google Play Protect)同樣重要。這些安全層結(jié)合了Android生態(tài)系統(tǒng)的巨大多樣性,,使得研究者們得出結(jié)論,,Android設(shè)備的遠(yuǎn)程開發(fā)仍然具有挑戰(zhàn)性?!?/p>

對(duì)于谷歌斷言“有些補(bǔ)丁可能是不必要的,,因?yàn)榇伺e幫助手機(jī)移除了易受攻擊的特性,或者為了響應(yīng)某個(gè)漏洞而被刪除”,,諾爾反駁說:“這些情況非常罕見,,這絕對(duì)不是常態(tài)?!?/p>

更令人驚訝的是,,諾爾同意谷歌的另一個(gè)主要觀點(diǎn):利用他們丟失的補(bǔ)丁來破解Android手機(jī)遠(yuǎn)比聽起來難。即使Android手機(jī)沒有堅(jiān)實(shí)的補(bǔ)丁記錄,,但它們?nèi)匀皇芤嬗贏ndroid更廣泛的安全措施,,如地址空間布局隨機(jī)化(ASLR,即通過隨機(jī)化軟件加載特定代碼的內(nèi)存地址防止攻擊者利用軟件漏洞悄悄安裝惡意程序)和沙盒(限制惡意程序訪問設(shè)備其他空間),。

這意味著,,需要利用手機(jī)軟件中一系列漏洞來完全控制目標(biāo)Android手機(jī)的大多數(shù)黑客技術(shù),也就是所謂的“攻擊”可能會(huì)無(wú)效。諾爾說:“即使你錯(cuò)過了某些補(bǔ)丁,,很有可能它們并不是按照某種方式排列的,,這樣黑客就無(wú)法利用它們。結(jié)果,,Android手機(jī)反而更容易被更簡(jiǎn)單的方式所攻擊,,即那些在谷歌Google Play中找到或者誘使用戶從應(yīng)用店外其他來源安裝它們的流氓軟件。只要人類繼續(xù)容易上當(dāng),,安裝免費(fèi)或盜版軟件,,罪犯就可能會(huì)堅(jiān)持下去?!?/p>

然而,,由國(guó)家資助的黑客在Android設(shè)備上進(jìn)行更有針對(duì)性的攻擊可能是另一回事。在大多數(shù)情況下,,諾爾認(rèn)為他們可能使用的是“零日漏洞”(即被秘密破解的漏洞,,尚沒有補(bǔ)丁存在),而不是已知但未被修補(bǔ)的漏洞,。不過在許多情況下,,他們也可能會(huì)使用已知的、尚未修補(bǔ)的手機(jī)漏洞,,并將其與“零日漏洞”相結(jié)合,。諾爾舉了一個(gè)例子,間諜軟件FinFisher利用了已知的Android漏洞Dirty COW以及其發(fā)現(xiàn)的“零日漏洞”,。

諾爾引用了“深度防御”的安全原則,,即在多層中最有效地部署安全。每個(gè)錯(cuò)過的補(bǔ)丁都意味著少了一層潛在保護(hù),。他說:“你永遠(yuǎn)不應(yīng)該留下公開漏洞讓攻擊者有機(jī)可乘,,深度防御意味著安裝所有補(bǔ)丁?!?/p>


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]