4月13日據(jù)國(guó)外媒體報(bào)道,一直以來(lái),谷歌都在努力推進(jìn)市面上數(shù)十家智能手機(jī)制造商以及數(shù)百家運(yùn)營(yíng)商定期發(fā)布修復(fù)安全問(wèn)題的軟件更新。但最近一家德國(guó)安全公司針對(duì)數(shù)百臺(tái)Android智能手機(jī)進(jìn)行分析后發(fā)現(xiàn)了一個(gè)讓人不安的新問(wèn)題:不僅很多Android手機(jī)廠商不能或延遲多個(gè)月向用戶發(fā)布補(bǔ)丁,甚至還會(huì)偷偷跳過(guò)某些補(bǔ)丁而欺騙用戶固件已經(jīng)完全更新。
在阿姆斯特丹舉辦的Hack in the Box安全會(huì)議上,Security Research公司的研究人員Karsten Nohl和Jakob Lell介紹,他們針對(duì)最近兩年上市的數(shù)百臺(tái)Android智能手機(jī)的操作系統(tǒng)代碼進(jìn)行了逆向分析,詳細(xì)的對(duì)每臺(tái)設(shè)備實(shí)際安裝的安全補(bǔ)丁進(jìn)行了研究。他們發(fā)現(xiàn)所謂的“補(bǔ)丁門”:在一些情況下部分廠商會(huì)通知用戶已經(jīng)安裝了所有特定日期發(fā)布的安全補(bǔ)丁,但實(shí)際上并未提供這項(xiàng)服務(wù),只是虛假的通知,因此這些設(shè)備非常容易受到黑客的攻擊。
“我們發(fā)現(xiàn),實(shí)際修補(bǔ)和廠商聲稱已經(jīng)完成修復(fù)之間的漏洞數(shù)量存在差別!敝踩芯咳藛T、SRL創(chuàng)始人Nohl表示。他說(shuō),最糟糕的情況下,Android手機(jī)制造商會(huì)故意篡改設(shè)備上次修復(fù)漏洞的時(shí)間!坝行⿵S商會(huì)在未安裝補(bǔ)丁的情況下更改系統(tǒng)更新日期。出于營(yíng)銷的原因,他們只是將補(bǔ)丁的安裝日期設(shè)置為特定時(shí)間,只是追求看起來(lái)很安全而已!
選擇性忽略
SRL在2017年統(tǒng)計(jì)了Android系統(tǒng)的每一次安全更新,測(cè)試了來(lái)自于十幾家智能手機(jī)廠商超過(guò)1200部手機(jī)的固件,這些設(shè)備來(lái)自于谷歌、三星、摩托羅拉、HTC等主流Android手機(jī)廠商以及中興、TCL等新興制造商。他們發(fā)現(xiàn),除了谷歌自己的Pixel和Pixel 2等機(jī)型之外,就算是國(guó)際頂級(jí)廠商有時(shí)也會(huì)謊稱自己為產(chǎn)品安裝了實(shí)際上并未發(fā)布的補(bǔ)丁更新。而二三線廠商的記錄則更加糟糕。
Nohl指出,這是一種比放棄更新后果更嚴(yán)重的行為,并且已經(jīng)成為了智能手機(jī)領(lǐng)域中常見的現(xiàn)象。在其實(shí)并未采取任何行動(dòng)的情況下告訴用戶修復(fù)了漏洞,為用戶營(yíng)造出了一種“虛假”的安全感。Nohl說(shuō):“我們發(fā)現(xiàn)有幾家廠商并未安裝某些補(bǔ)丁,但卻修改系統(tǒng)最后更新的日期,這是一種故意欺騙的行為,但并不普遍。”
Nohl認(rèn)為,更常見的情況是像索尼或三星這樣的頂級(jí)廠商,會(huì)因?yàn)槟承┮馔忮e(cuò)過(guò)一兩個(gè)補(bǔ)丁更新。但在不同的機(jī)型身上,卻出現(xiàn)了不同的情況:比如三星的2016款Galaxy J5機(jī)型,就會(huì)非常清晰的告訴用戶已經(jīng)安裝了哪些補(bǔ)丁、哪些補(bǔ)丁沒(méi)有更新。但在2016款Galaxy J3的身上,三星聲稱所有補(bǔ)丁都已經(jīng)發(fā)布,但經(jīng)過(guò)調(diào)查發(fā)現(xiàn)依然缺少了12個(gè)非常關(guān)鍵的更新。
“考慮到這是一種隱性機(jī)型差異,用戶幾乎不可能了解自己實(shí)際上究竟安裝了哪些更新,”Nohl說(shuō)。為了解決這種補(bǔ)丁更新缺乏透明度的情況,SRL Labs還發(fā)布了一項(xiàng)針對(duì)旗下Android平臺(tái)SnoopSnitch應(yīng)用的更新,用戶可以輸入自己的手機(jī)代碼,隨時(shí)查看安全更新的真實(shí)狀況。
不同廠商情況不同
在對(duì)每個(gè)供應(yīng)商的產(chǎn)品進(jìn)行評(píng)估之后,SRL Labs制作了下面這組圖表,將智能手機(jī)廠商分成了三個(gè)類別,分類的依據(jù)為各自在2017年對(duì)外宣和實(shí)際安裝補(bǔ)丁數(shù)的匹配程度,包括在2017年10月或之后至少收到一次更新的機(jī)型。包括小米、諾基亞在內(nèi)的主要安卓廠商,平均有1到3個(gè)補(bǔ)丁“丟失”,而HTC、摩托羅拉、LG和華為有3到4個(gè)補(bǔ)丁“丟失”,TCL和中興排名最后,丟失的補(bǔ)丁數(shù)超過(guò)4個(gè)。而谷歌、索尼、三星等錯(cuò)過(guò)的補(bǔ)丁更新數(shù)量小于等于1。
SRL還指出,芯片供應(yīng)商是補(bǔ)丁缺失的一個(gè)原因。比如使用三星芯片的機(jī)型很少會(huì)出現(xiàn)悄悄忽略更新的問(wèn)題,而使用聯(lián)發(fā)科芯片的設(shè)備,平均補(bǔ)丁缺失高達(dá)9.7個(gè)。在某些情況下,很有可能就是因?yàn)橛捎谑褂昧烁畠r(jià)的芯片,補(bǔ)丁缺失的概率就更高。還有一種情況就是因?yàn)槁┒闯霈F(xiàn)在芯片層面而并非系統(tǒng)層面,因此手機(jī)制造商要依賴芯片廠商才會(huì)完成進(jìn)一步更新。結(jié)果是從低端供應(yīng)商那里采購(gòu)芯片的廉價(jià)智能手機(jī)也延續(xù)了“補(bǔ)丁缺失”的問(wèn)題!敖(jīng)過(guò)我們的驗(yàn)證,如果你選擇了一款比較便宜的產(chǎn)品,那么在安卓生態(tài)系統(tǒng)中,就會(huì)處于一個(gè)比較不受重視的地位!盢ohl表示。
在《連線》雜志聯(lián)系谷歌后,谷歌對(duì)SRL的研究表示贊賞,但同時(shí)回應(yīng)指出,SRL分析的部分設(shè)備可能并沒(méi)有經(jīng)過(guò)安卓系統(tǒng)認(rèn)證,這意味著它們并不受谷歌安全標(biāo)準(zhǔn)的限制。谷歌表示,安卓智能手機(jī)有安全功能,就算在沒(méi)有補(bǔ)丁的情況下,安全漏洞也很難被破解。在某些情況下,之所以會(huì)出現(xiàn)“補(bǔ)丁丟失”的問(wèn)題,是因?yàn)槭謾C(jī)廠商只是將某種易受攻擊的功能簡(jiǎn)單的移除而不是修復(fù),或者某些手機(jī)在一開始就沒(méi)有這項(xiàng)功能。
谷歌表示將與SRL Labs合作,進(jìn)一步進(jìn)行深入調(diào)查。“安全更新是保護(hù)Android設(shè)備和用戶的眾多層級(jí)之一,”Android產(chǎn)品安全主管Scott Roberts在《連線》雜志上發(fā)表聲明!跋到y(tǒng)內(nèi)置的平臺(tái)保護(hù)系統(tǒng),比如應(yīng)用程序沙盒和Google Play Protect安全服務(wù)也同樣重要。這些多層次的安全手段,再加上Android生態(tài)系統(tǒng)的多樣性,讓研究人員得出了這樣的結(jié)論,即Android設(shè)備的遠(yuǎn)程開發(fā)仍然充滿了挑戰(zhàn)性!
為了回應(yīng)谷歌針對(duì)廠商由于移除了易受攻擊的功能而導(dǎo)致補(bǔ)丁缺失的結(jié)論,Nohl反駁稱,這種情況并不常見,發(fā)生的概率并不大。
補(bǔ)丁缺失影響有限
不過(guò)讓人意外的是,Nohl對(duì)谷歌的另一個(gè)說(shuō)法表示同意:通過(guò)利用缺失的補(bǔ)丁對(duì)Android手機(jī)進(jìn)行攻擊,其實(shí)并不是一件容易的事情。甚至一些沒(méi)有更新補(bǔ)丁的Android手機(jī)在系統(tǒng)更廣泛的安全措施保護(hù)下,惡意軟件依然難以對(duì)漏洞加以利用,像從Android 4.0 Lollipop開始出現(xiàn)的沙盒等功能,限制了惡意程序訪問(wèn)設(shè)備概率。
這就意味著大多數(shù)的黑客如果利用某個(gè)所謂的“漏洞”來(lái)獲得Android設(shè)備的控制權(quán),需要利用一系列的漏洞,而不僅僅只是因?yàn)槿笔б粋(gè)補(bǔ)丁而攻擊成功。Nohl表示:“即使錯(cuò)過(guò)了某些補(bǔ)丁,依然可以依靠系統(tǒng)其它的安全特性抵御大部分的攻擊!
因此,Nohl表示,Android設(shè)備更容易被一些比較簡(jiǎn)單的方式破解,比如在Google Play商店中出現(xiàn)的那些惡意應(yīng)用,或者在非官方應(yīng)用商店安裝的App。Nohl說(shuō):“用戶安裝了盜版或惡意軟件,就更容易成為黑客攻擊的目標(biāo)!