大部分Android 手机厂商在打安全补丁上都撒谎.doc

《大部分Android 手机厂商在打安全补丁上都撒谎.doc》由会员上传分享，免费在线阅读，更多相关内容在学术论文-天天文库。

1、大部分Android手机厂商在打安全补丁上都撒谎　　过去2年时间，Google和Android手机厂商已经改善了安全补丁的更新速度。从2016年开始，Google保持着每月更新Android安全补丁的进度，面对漏洞的反应速度比以往要快不少。这批安全补丁何时到达Android手机用户手里，还要取决于手机机型，Android手机厂商可能还涉及到运营商（比如美国）。现在，有个执行层面的问题被暴露出来。即便承诺更新安全补丁，大部分Android手机厂商可能会漏掉数个安全补丁。少数厂商甚至不安装补丁，通过修改安全补丁的时间，让用户以为系统已经升级到最新版本。这意味着Android手

2、机厂商在手机安全性上可能隐瞒了信息。在13日荷兰阿姆斯特丹的安全会议HackintheBox上，安全公司安全研究实验室（SRL）的两名研究员公布了一份针对数百台Android机型2年的研究报告，探讨了这个问题。部分信息已经公布在SRL实验室官网，《连线》杂志对SRL实验室创始人KarstenNohl的采访也探讨了该问题。更详细的报告需要等待SRL演讲结束后才会公布在网上。根据SRL提供的部分报告信息，以及《连线》的采访，SRL实验室的报告称，Android手机厂商在及时更新安全补丁上存在可信度的问题，大部分手机厂商都缺失了数个安全补丁没安装。　　　　抽样部分：少量（Few

3、）代表5-9款；很多（Many）代表10-49款，大量（Lots）指的是50款以上｜图片来自：SRL实验室报告称，一部分原因可能跟手机厂商有关，小米、诺基亚旗下的机型平均有1-3个安全补丁没有安装；还有部分原因来自于芯片公司。如果是芯片硬件层面的漏洞，Android手机厂商就需要获得芯片公司提供的补丁。通常来说，廉价机型使用低端芯片，也就导致了廉价机型容易出现更多漏洞。　　　　根据芯片厂商不同，手机安全补丁漏掉的数量｜图片来自：《连线》即便是廉价机型，待遇也会有差别。在报告中，SRL实验室以三星的2款廉价手机作为案例。三星2016年推出的两款手机J3声称安装了所有2017

4、年发布的安全补丁，但事实上少了12个。同年推出的J5机型则会告诉用户，哪些补丁尚未安装。SRL实验室针对1200款手机的Android系统代码进行逆向工程，研究2017年发布的安全补丁是否确实安装在系统内。手机机型需要符合的标准是，这些机型在2017年10月或更晚安装过一次安全补丁。1200款手机来自于目前主要的Android手机厂商，包括华为、小米、三星这3家销量最大的公司，还有一加、HTC、LG、摩托罗拉等品牌。还有个更常见的现象是，老旧机型的安全补丁更新不及时。SRL实验室的创始人KarstenNohl称，Android手机厂商忽视老旧机型上的系统升级、安装安全补丁

5、，是一种常见的现象。但值得注意的是，该报告对于手机厂商、手机机型的筛选存在一定的问题。OPPO、vivo这两个Android手机厂商不在内，只有几款Pixel手机的Google抽样了50多台设备。但没有安装某个安全补丁，并不意味着Android手机就容易被攻击。SRL实验室也提到了这点。针对SRL的报告，Google对《连线》杂志做出了回应，对Android手机没有安装部分安全补丁做了解释，还说会跟SRL实验室合作做进一步调查。Google解释称，部分Android手机厂商甚至可能直接去掉了部分存在漏洞的功能，或者部分手机就不存在需要通过安装补丁修复的功能。另一方面，即便

6、安全补丁没有安装，现在的Android手机配置的安全功能使其难以被攻击。Google方面回应称，安全更新只是用于保护Android设备和用户的一层。其他还包括沙盒机制、GooglePlayProtect安全服务等。在2016年的Stagefright漏洞事件后，Google以及部分Android厂商已经加快了安全补丁的更新速度。但进展仍然不够快。去年3月份，Google在年度反馈中还公布了一份16款Android手机名单，显示那些已经可以每月及时获取安全补丁更新的机型，其中6款都是Google旗下的Nexus、Pixel手机品牌。三星、OPPO、vivo各有一款机型在内。