部分Android廠商隱瞞事實 更新時未部署完整的完全補丁

 Jenny · 2018-04-13

德國 Security Research Lab 的安全研究人員們有一項驚人的發現—在對 1200 款 Android 設備的作業系統代碼進行逆向工程之後，Karsten Nohl 和 Jakob Lell 發現某些智慧手機製造商未能誠實地給設備打上安全補丁。

兩人的工作主要是檢查代碼，以確認手機設置中引用的安全補丁，是否已經真的被應用。

新聞配圖（via：Android.com）

然而在許多情況下，他們都發現了一個“真空地帶”— 某些廠商其實沒有完整地打上補丁。

Wired 報導稱，SRL 研究人員揪出了多家不誠實的廠商，就算是小米、OnePlus、Nokia之類的大牌，平均也有不慎疏漏的 1~3 個安全補丁。

此外，與廠商所宣稱的相比，來自 HTC、Motorola以及 LG 的設備，缺失的補丁數量也有 3~4 個。

（Security Research Labs / Wired）

SRL 還指出了缺失補丁和手機採用的晶片組之間的關聯資料，那些採用了廉價處理器的低端機，更有可能跳過一些補丁。

比如在採用聯發科機型的設備上，平均缺失的補丁數量為 9.7 個。相比之下，採用三星處理器的設備，被跳過的數量就少很多。

Google 對 SRL 的研究表示讚賞，但指出其分析的部分設備可能並未得到 Android 認證、或者沒有遵從該公司的安全標準。



更重要的是，Google 指出，現代 Android 手機的安全功能已經到位，即便包含了未修補的漏洞，也很難被破解。

此外，在某些情況下，廠商可能會從設備中移除一個易受攻擊的功能，而不是修復它，這也可能是某些漏洞缺失的一個客觀原因。

最後，Google 表示會與 SRL 深入調查合作，Nohl 也認同了該公司關於“某些未打補丁的設備仍然難以被破解”的觀點，這得歸功於 Google 部署的許多安全措施。

資料來源