内容简介:《连线》杂志最近做了一篇报道,揭开了Android系统在安全补丁方面的乱象,很多谷歌发布的安全补丁不仅延迟推送,甚至还有厂商告诉用户已经最新,却偷偷地跳过了该有的安全补丁。 “这些家伙只是更改日期,根本没装...
《连线》杂志最近做了一篇报道,揭开了Android系统在安全补丁方面的乱象,很多谷歌发布的安全补丁不仅延迟推送,甚至还有厂商告诉用户已经最新,却偷偷地跳过了该有的安全补丁。
“这些家伙只是更改日期,根本没装补丁”
一直以来,谷歌都在努力争取让几十家Android智能手机制造商、以及数百家运营商、定期推送安全更新,但是一家德国安全公司在针对数百台Android手机进行调查后,发现了一个令人不安的新问题:许多Android手机厂商不仅没给用户提供补丁,或是延迟数月才发布;甚至有时也会告诉用户手机固件已经是最新的,但却偷偷地跳过了补丁。
周五,在阿姆斯特丹举行的“Hack in the Box”黑客安全大会上,研究人员查看了近两年的数百款Android手机系统代码,大部分存在安全隐患,缺一打补丁的手机不少见。研究人员Nohl说:“虽然补丁很小,但对手机安全很重要。最糟糕情况是,Android手机厂商在设备故意歪曲事实。这些家伙只是在推送时候改了个更新日期,压根没有补丁。”
安全机构SRL测试了1200部手机,这些设备有谷歌自己,以及三星、摩托罗拉、HTC等主要安卓手机厂商,还有中兴,TCL等中国公司制造。
他们发现,除了谷歌自己如Pixel和Pixel 2等旗舰机,即使是顶级手机厂商在安全补丁这块也相当糊涂,其他二三线厂商的更新记录更是混乱。
研究人员Nohl说,这种假装装了补丁的问题是最要命的,他们告诉用户有,其实没有,从而产生了一种虚假的安全感。这是故意的欺骗。
大公司打补丁不积极
还有种更常见的情况是,像索尼或三星这样的大公司也会错过一两个补丁。很多重要更新并没有,例如三星2016年的手机J5或J3,非常坦诚告诉用户哪些补丁已经安装,但缺少很多重要更新,也缺少提示。用户几乎不可能知道实际安装了哪些补丁。为了解决这个问题,SRL实验室发布了一个叫“SnoopSnitch”的Android应用,它允许用户查看手机的代码,以了解其安全更新的实际状态。
SRL实验室在测试那堆手机后,制作了以下图表,根据2017年10月之后打补丁的情况,将厂商进行了分级,漏装0-1个补丁是最好的情况,有谷歌,索尼,三星,以及Wiko这个不知名的中国厂商;小米,一加,诺基亚平均丢了1-3个补丁;而HTC,华为,LG和摩托罗拉这些知名厂商则丢了3-4个补丁;TCL和中兴丢了4个以上安全补丁,在榜单上表现最差——他们声称已经安装了,但没有。
即便大厂商,打补丁也不积极
低端芯片引发恶性循环
还有种情况是在手机芯片中发现了漏洞,而不是在操作系统中。
如果按所使用芯片来分类的,三星的处理器就比较好,高通芯片也还行,但使用中国台湾联发科(MediaTek)芯片的手机平均漏了9.7个补丁。
低价芯片低价手机没有更新
这种情况跟手机定价有关,低价手机一般使用的也是便宜芯片(比如联发科就占比较大),对安全不太重视。手机制造商也不重视(或者没能力重视),他们依赖芯片厂商提供补丁。
结果就是采用低端芯片的廉价手机会继承芯片厂不注重安全的问题,最终导致如果你选择便宜的手机,会进入一种安全的恶性循环,在这个生态系统中得到不太好的维护。
谷歌:安全不止是打补丁
当连线杂志就此事与谷歌公司联系时,该公司回应指出,SRL分析的一些手机可能不是Android认证的设备,这意味着它们没有被谷歌的安全标准所控制。
另外,谷歌指出,现在的Android手机即使有未修补的安全漏洞,也很难破解。他们认为,在某些情况下,设备可能漏掉一些补丁,因为手机厂商只是简单粗暴地从手机上封堵一个易受攻击的功能,而不是修复。
谷歌表示他们正在与SRL实验室合作,进一步调查研究结果:“安全更新是保护安卓设备和用户的众多层面之一,内置的平台保护,如应用程序沙箱和安全服务、谷歌游戏保护同样重要。这些安全层结合了Android生态系统的多样性。”
研究员Nohl并不认同听这种说法,安全补丁不止是数字问题(他是说每个安全补丁都应该有);但他认同谷歌“Android手机很难破解”的说法,Android 4.0之后,程序在内存的随机分配位置,以及沙盒机制让恶意软件难以得逞。
现代的所谓的“手机攻击”可以完全控制目标Android手机,但要利用手机软件系统的一系列漏洞而不仅仅是一个。
对相较于“硬破解”的方式,更应该防范的是软破解,就是那些那些在谷歌游戏商店中的流氓软件,或者诱使用户从一些不明安全源来安装的软件。人们经常被一些所谓的免费或盗版软件诱骗,这种方式技术含量不高,其实属于社会工程学范畴。
之所以建议厂商和用户把能有的安全补丁都装好,是为了防止零日漏洞(zero-day),一般被发现后立即被恶意利用。在许多情况下,它们可能会使用已知的尚未修补漏洞协助攻击。所以才有“深度防御”的安全原则:每一个错过的补丁都是潜在的一层保护。你不应该给黑客留下潜在可能,应该安装所有补丁。
来自:新浪科技 作者:晓光
【声明】文章转载自:开源中国社区 [http://www.oschina.net]
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:- 别做梦了,机器学习根本没有捷径!
- 敏捷读书之重回根本:《Scrum指南》100问
- 自动驾驶中行为预测的一些根本问题和最新方法
- 为什么说“大公司的技术顽疾根本挽救不了”?
- Nginx为什么快到根本停不下来?
- 软件项目管理功能的缺失是软件灾难的根本原因
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
自媒体写作,从基本功到实战方法
余老诗 / 清华大学出版社 / 2018-9-1 / 59.00元
《自媒体写作》是一本系统而通俗易懂的自媒体写作指导书。 全书共分为10章,分别从写作基本功、新媒体认知、新媒体传播规律和自媒体作者阅读写作素养以及如何进阶等方面展开,结合简书、公众号、今日头条等主流自媒体所选例文,讲解写作知识和新媒体特点,内容详实,有理有据,非常适合自媒体写作爱好者自学。 尤其值得一提的是,写作基本功部分从原理、方法和技巧三个层面展开论说,让自媒体写作学习者既能从根本......一起来看看 《自媒体写作,从基本功到实战方法》 这本书的介绍吧!