多家安卓手機廠商被曝忽視安全更新，改個日期就謊稱裝了補丁

編者按：《連線》雜誌發表了一篇文章報道稱，有研究實驗室研究人員發現，許多安卓手機制造商不僅沒有向用戶提供補丁， 或者延遲幾個月釋出；甚至有時候也會告訴使用者他們的手機韌體是最新的， 但事實卻是直接跳過了本該更新的補丁。文章由36氪編譯。

長期以來，谷歌都在努力讓數十家安卓智慧手機制造商和數百家運營商，定期推送安全更新。 但當一家德國安全公司對數百臺安卓手機的引擎進行調查時，發現了一個令人不安的新問題： 許多安卓手機制造商不僅沒有向用戶提供補丁， 或者延遲幾個月釋出；甚至有時候也會告訴使用者他們的手機韌體是最新的， 但事實卻是直接跳過了本該更新的補丁。

上週五， 在阿姆斯特丹舉行的“Hack in the Box”駭客安全大會上， 安全研究實驗室（SRL）的研究人員卡爾斯滕·諾爾（ Karsten Nohl ）和雅各布·萊爾（ Jakob Lell ）計劃展示兩年來對數百臺安卓手機作業系統程式碼進行反向工程的結果，他們煞費苦心地檢查每臺手機是否真的包含了其設定中顯示的安全補丁。 他們發現所謂的“補丁缺口”： 在許多情況下， 某些廠商的手機會在某個特定時間告訴使用者，他們擁有安卓的所有安全補丁， 而實際上， 從那個時間開始， 手機中缺失了多達12個補丁——使得手機容易受到眾所周知的駭客技術的攻擊。

“我們發現，補丁宣告與裝置上安裝的實際補丁程式之間存在差距。對於某些裝置而言，差距很小，而對另一些裝置來說，差距非常大，”諾爾說，他是一位著名的安全研究人員，也是SRL的創始人。諾爾說，在最壞的情況下，安卓手機制造商故意歪曲裝置上次發補丁的時間。“有時候，這些傢伙只是更改日期，而不安裝任何補丁程式。可能是出於市場營銷的原因，他們只是將補丁級別設定為幾乎是一個任意的日期，只要看起來最好就行。”

針對2017年釋出的每個安卓補丁，SRL都測試了1200部手機的韌體，這些手機來自十幾家手機制造商。這些裝置有些是由谷歌自己製造的，還有主要的安卓手機制造商製造的，如三星、摩托羅拉和HTC等，也包含了中興和TCL等知名度較低的中國手機制造商製造的。他們的測試發現，除了像Pixel和Pixel 2這樣的谷歌旗艦手機之外，即使是最頂級的手機廠商有時也聲稱安裝了實際沒有安裝的補丁。而較低級別的製造商的記錄，則更加混亂。

諾爾指出，這個問題比製造商僅僅忽視修補舊裝置更糟糕，這是一個普遍現象。相反，他們告訴使用者他們安裝了實際上沒有安裝的補丁程式，這造成了一種虛假的安全感。“我們發現有幾家手機制造商沒有安裝一個補丁程式，而是將補丁程式的日期提前了幾個月，”諾爾說。“這是蓄意的欺騙，還好這種行為並不常見。”

諾爾認為，更常見的情況是，索尼或三星等公司會意外而錯過一兩個補丁。但在其他情況下，結果很難解釋： SRL發現，三星的一款手機（2016 J5）非常誠實地告訴使用者它安裝了哪些補丁程式，哪些仍未安裝，而三星的2016 J3則聲稱，缺少2017年釋出的所有安卓補丁程式中的12個，其中2個被業內視為對手機安全“至關重要”。

考慮到這種隱藏的不一致性，“使用者幾乎不可能知道實際安裝了哪些補丁程式，”諾爾說。為了解決補丁程式透明性缺失的問題，SRL實驗室還發布了一個安卓應用程式SnoopSnitch的更新，允許使用者檢查手機程式碼以瞭解其安全更新的實際狀態。

在對測試的每個手機制造商的每部手機的結果進行平均後，SRL 實驗室製作了以下圖表。該圖表根據手機制造商在2017年補丁宣告與實際情況的符合程度將手機制造商分為三類，重點僅放在2017年10月或以後收到至少一個補丁程式的手機上。包括小米和諾基亞在內的安卓主要手機制造商的手機平均缺失1到3個補丁，甚至HTC、摩托羅拉和LG等主要供應商也缺失了他們聲稱已安裝的3到4個補丁。但榜單上表現最差的公司是中國公司TCL和中興通訊，他們所有的手機都有超過4個補丁是他們聲稱已經安裝了，但沒有安裝。

SRL還指出，晶片供應商可能是缺少補丁的一個原因：三星處理器的手機很少會無聲無息地跳過補丁，而使用臺灣聯發科晶片的手機平均缺少9。7個補丁。在某些情況下，這可能只是因為便宜的手機更有可能跳過補丁，而且更傾向於使用更便宜的晶片。但在其他情況下，這是因為在手機的晶片上而不是作業系統中發現了bug，而且手機制造商依賴晶片製造商提供補丁。因此，從低端供應商那裡獲得晶片的廉價手機繼承了這些供應商丟失的補丁。諾爾說：“經驗教訓是，如果你選擇一個更便宜的裝置，你最終會處於這個生態系統維護得不太好的地方。”

當《連線》雜誌聯絡到谷歌時，該公司對SRL的研究表示讚賞，但迴應指出，SRL分析的一些裝置可能不是安卓的認證裝置，這意味著它們不符合谷歌的安全標準。他們指出，現代安卓手機具有安全功能，即使存在未修補的安全漏洞，也難以破解。他們認為，在某些情況下，裝置可能缺少補丁程式，是因為電話供應商只是簡單地從手機中刪除一個易受攻擊的功能，而不是對其進行修補，或者手機一開始就沒有該功能。該公司表示，正在與SRL實驗室合作，進一步調查其發現。“安全更新是用來保護安卓裝置和使用者的許多方法之一，”安卓產品安全主管斯科特·羅伯茨（ Scott Roberts ）補充道。“內建平臺保護（如應用程式沙箱）和安全服務（如Google Play Protect ）也同樣重要。這些安全層，再加上安卓生態系統的巨大多樣性，促成了研究人員的結論，即遠端開發安卓裝置仍然具有挑戰性。”

針對谷歌聲稱某些補丁程式可能是不必要的，因為易受攻擊的功能從手機中丟失或由於易受攻擊而被刪除，諾爾反駁說，這些情況非常罕見。“這絕對不是一個重要的數字，”他說。

更令人驚訝的是，諾爾同意谷歌的另一個主要觀點：利用安卓手機缺失的補丁來攻擊安卓手機遠比聽起來難。即使是沒有可靠修補記錄的安卓手機，也仍然受益於安卓更廣泛的安全措施，如地址空間佈局隨機化（自安卓 4。0 （棒棒糖）以來，它對程式在記憶體中的位置進行了隨機化，使惡意軟體更難利用手機的其他部分）和沙箱（沙箱限制惡意程式訪問裝置的其他部分）。

這意味著，大多數駭客技術（稱為漏洞利用）都需要利用手機軟體中的一系列漏洞，而不僅僅是一個缺失的補丁，才能完全控制目標按照手機。“即使你錯過了某些補丁，它們也有可能沒有以某種方式對齊，從而讓你利用它們。”諾爾說。

因此，他說，安卓手機經常被更簡單的方案駭客攻擊，是因為流氓應用程式進入Google Play Store，或者誘使使用者從Play Store之外的其他來源安裝它們。“只要人類容易上當受騙，安裝免費或盜版的惡意軟體，犯罪分子就很可能會趁虛而入，”諾爾說。

然而，國家支援的高階駭客對安卓裝置進行更有針對性的攻擊，可能是另一回事。在很大程度上，諾爾認為他們可能使用零日漏洞（根本不存在補丁程式的秘密可駭客漏洞），而不是已知但未修補的漏洞。但在許多情況下，他們可能會在手機中使用已知但尚未修補的錯誤，同時存在零日漏洞；作為一個例子，他提到間諜軟體FinFisher，它在某個時候利用了已知的安卓漏洞“Dirty COW”，此外還利用了它自己新的零日漏洞。

諾爾引用了“縱深防禦”的安全原則，即安全會在多層次上得到最有效的實施。而每個丟失的補丁都可能少一層保護。你永遠不應該讓攻擊者變得更容易，因為在你看來，這些漏洞本身並不構成風險，但這些漏洞可能是別人拼圖的一部分，”諾爾說。“縱深防禦意味著安裝所有補丁。”

原文連結：

編譯組出品。編輯：郝鵬程