SAY討論區

標題: 安卓廠商滿嘴跑火車!你收到的可能是假安全補丁 [打印本頁]

作者: hopakngai    時間: 2018-4-13 23:28:14     標題: 安卓廠商滿嘴跑火車!你收到的可能是假安全補丁

一直以來,安卓系統的碎片化都是Google心中會呼吸的痛。不但系統升級成了老大難,如何推送安全補丁也讓Google撓頭,畢竟數十家制造商、數百家運營商和數千款設備排列組合起來可不是個小數目。
如果你是安卓發燒友,肯定會了解一個殘酷的現實,那就是許多小廠商的安全補丁推送不太及時。
不過這還不是最可怕的,因為一家德國安全公司對數百款安卓手機進行了一番研究後卻發現,一些安卓廠商不但推遲推送安全補丁,還幹脆向用戶撒謊,假裝自己推了安全補丁。
在安全補丁的問題上,弄虛作假居然成了行業潛規則?
tmw00zv3kle14.jpg
周五在阿姆斯特丹舉辦的Hack in the Box安全大會上,來自安全研究實驗室(SRL)的研究者Karsten Nohl和Jakob Lell計劃公佈一個驚人的結果。
據雷鋒網了解,他們倆在過去兩年裡對大量安卓手機的操作系統代碼進行了逆向工程,為的是查證這些設備是否像廠商承諾的一樣打上了安全補丁。這一查不要緊,兩位研究人員居然發現了巨大的“補丁鴻溝”。
舉例來說,許多廠商告訴用戶,它們已經按時間完成了安卓系統的安全更新,但事實上它們隻是嘴上說說來安慰用戶,其實什麼都沒做。
也就是說,用戶隻是吃了安慰劑,一旦被黑客盯上,還是會非死即傷。
“我們發現,現在的廠商們都是嘴炮打得好,真到需要打安全補丁時它們就消失了。”Nohl說道,“有時候這些家夥連補丁描述都懶得改,隻是換了個日期就算完事。也許這是為了市場宣傳?反正它們隻是任意設置個更新日期,怎麼好看怎麼來。”
“補丁鴻溝”
SRL一共測試了1200臺手機的固件,它們來自數十家手機制造商,其中不但有Google的親兒子,還有三星、摩托、HTC等知名巨頭。當然,也有來自中國的中興和TCL。
測試結果顯示,除了Google自家旗艦Pixel和Pixel 2按部就班地更新了安全補丁,其它廠商都學會了偷奸耍滑,而體量較小的小眾廠商,安全更新更是一本讀不下去的爛賬。
Nohl指出,以前大家可能覺得廠商會拋棄自家的老產品,但事實上它們連新產品也不管不顧了,而且謊話一個比一個說的溜,用戶沒享受到服務,隻得到了一個紙糊的安全護盾。
“在研究中我們還真發現了沒進行過一次安全更新的廠商,不過它們改日期的水平可不低,這已經算得上是蓄意欺騙了。”
如果說一些小廠商已經喪心病狂的話,那麼國際大廠們還算良心未泯,類似三星或索尼這樣的廠商隻是會偶然漏掉一兩個小補丁。不過,Nohl也發現了一些前後矛盾的奇怪之處。
舉例來說,2016年的三星J5會一五一十的告訴用戶到底更新了哪些補丁,還有哪些未更新,而同年的三星J3卻補丁全滿,但事實上三星漏推了12個補丁包。
同一家廠商都能出這麼多么蛾子,真是不可思議,對普通用戶來說根本無法分辨。好在這次SRL做了次業界良心,在它們的安卓應用Snoop Snitch上你就能查到自己是不是被廠商忽悠了。
廉價機型是重災區
在完成了全部測試後,SRL專門制作了圖表(下圖),它們將制造商分為三個類別,評判標準就是它們2017年(10月及之後收到至少一個安全推送)修補漏洞的誠實指數。
表現最好的是Google、索尼、三星和WIKO,小米、一加和諾基亞則排在第二梯隊,表現最不好的就是中興和TCL,它們都宣稱完成了4次以上的安全更新,但其實是說了假話。
cj43cwoxrnw15.jpg
先別忙著在自己的購機願望清單上劃掉第三和第四梯隊的品牌啊,因為SRL指出,漏打補丁可能也有芯片供應商的鍋。
它們發現,搭載聯發科芯片的手機平均會漏過9.7個補丁(如下圖),而用了三星芯片的產品則最安全,排在第二和第三的高通和海思也比聯發科安全得多。
其實從這個角度也能得出一個結論,那就是低端手機確實不夠安全,錢沒花到位就會掉進一個年久失修的坑人生態。
rtz3e2jqxgf15.jpg
《連線》專門就這份研究結果聯系了Google,搜索巨頭先是對SRL的工作表示了贊賞,而後話鋒一轉稱它們研究的一些機型其實根本沒得到安卓認證,也就是說它們根本無法達到Google的安全標準。
同時,Google還指出,現代的安卓手機安全功能足夠強大,它們為用戶搭建了很多層防護網,即使不打補丁也很難被黑客攻破。
此外,Google認為一些廠商直接用移除漏洞功能的方式來替代安全更新,而且別忘了,一些低端機可能本來就沒有需要打補丁的功能。
Nohl也對Google的評論做了回應,他認為Google為廠商們找的借口太牽強,那種情況發生的幾率太低了。
想黑掉安卓並不容易
不過,Nohl並沒有對Google窮追猛打,相反他認為借著漏打的補丁黑進安卓系統其實並不容易。即使買到放飛自我廠商的機型,用戶也能受到安卓平臺的庇護。
舉例來說,安卓4.0之後,Google就引入了隨機定位佈局的解決方案,應用在內存上的位置是隨機的,惡意軟件對手機進行完美入侵。此外,別忘了安卓還有強大的沙盒機制,即使遭到入侵,病毒也會被困住而無法擴散。
這就意味著,除非一臺手機漏洞多到不計其數,否則黑客很難完全取得手機的控制權。
Nohl指出,對安卓系統進行正面強攻太難了,因此網絡罪犯門玩起了旁敲側擊。他們把人的心理研究的透透的,隻用一些能占小便宜的免費或盜版軟件,就能輕松在受害者手機中植入惡意軟件。
同時,Nohl也提醒大家,有背景的黑客集團們可不玩小花招,他們大多會直接利用零日漏洞(可攻破且沒有補丁防護的秘密漏洞)發動攻擊。當然,有時他們也會采用混合攻擊方案,零日漏洞和普通漏洞一起用。
在防禦黑客上,Nohl認為戰爭理論中的“縱深防禦”最有效,雖說安卓系統並不容易攻破,但你每少打一個補丁,可能就會少一層防禦,給自己挖坑的事還是不作為好。
恩威並施的“保姆”Google
Google為了安全補丁可謂操碎了心,幾乎就差把飯喂進手機廠商的嘴裡。
不過,因為復雜的市場環境、利益關系以及自身能力,手機廠商們對於Google主動提供的安全補丁反倒情緒復雜,有人無所謂有人很積極,甚至有些幹脆選擇性遺忘。
2017年5月5日德國安全廠商GDATA公佈的報告顯示,2017年第一季度出現了75萬個新的安卓病毒,勢頭略有減緩,但全年下來預計會超過350萬個,再創新高。
DATA指出,Google越來越重視安卓系統的安全,每個月都會推送安全補丁,但最大問題在於各廠商的跟進速度太慢。
也正是如此,Google恩威並施,為推動OEM廠商對安卓安全補丁進行及時更新,開始對安全補丁的更新狀態進行晾曬。在Google的計劃中,2017年會聯合運營商對OEM廠商進行督促施壓。
但顯然,不裝鴕鳥的第三方手機廠商開始出現瞞天過海的勾當。
在知乎“為何許多安卓廠商不重視安全補丁的更新?”問題下,看到了幾個匿名用戶的回答:
實際上,聯想、戴爾、惠普也不會幫你做系統安全更新的;
因為安全更新不是這些公司制造的,所以這些安全更新是否存在問題,他們沒法負責,要麼自己投入人力物力去測試驗證,要麼就跳過。;
你看各安卓廠商推自己的UI更新還是比較積極的,畢竟這是自己做的自己測的,心裡有底啊;
歸根結底,如果廠商給你推更新,出什麼問題都是廠商負責。此時google反而是第三方廠商了,他們提供的更新當然不在首要考慮;
當論壇發佈了安卓版本更新的貼,會有一大群人高潮;
當論壇發佈了UI版本更新的貼,會有一群人炸鍋;
當論壇發佈了安全補丁更新的貼,會有一些人刷積分;
其實很多人都不知道安全補丁有何用,當然不聞不問。
Windows是授權收費的,廠商用Android可沒交錢,不過上遊代碼是有安全Patch的,廠商完全有能力測試發更新,不負責任而已。
2016年底,安卓安全主管Adrian Ludwig曾在O'Reilly安全大會上公開表達,在安全性上,安卓手機和iPhone“幾乎是一模一樣的”。
但如今看來,這句話是有條件的。

附件: [tmw00zv3kle14.jpg] tmw00zv3kle14.jpg (2018-4-13 23:28:14, 0 Bytes) / 下載次數 0
http://forum.go2tutor.com/forum.php?mod=attachment&aid=ODc5MzEzfDQ4ZmZjYjJkfDE3ODM0OTA5ODh8MHww

附件: [cj43cwoxrnw15.jpg] cj43cwoxrnw15.jpg (2018-4-13 23:28:14, 0 Bytes) / 下載次數 0
http://forum.go2tutor.com/forum.php?mod=attachment&aid=ODc5MzE0fDJmYTI5NjRifDE3ODM0OTA5ODh8MHww

附件: [rtz3e2jqxgf15.jpg] rtz3e2jqxgf15.jpg (2018-4-13 23:28:14, 0 Bytes) / 下載次數 0
http://forum.go2tutor.com/forum.php?mod=attachment&aid=ODc5MzE1fGZiNDBiYjY1fDE3ODM0OTA5ODh8MHww
作者: tamyc002    時間: 2018-4-14 03:47:05

加油!樓主,謝謝分享
作者: 傻QQ    時間: 2018-4-14 03:51:12

這是一個好論壇,應該要多多來
作者: hopakngai    時間: 2018-4-14 04:03:05

今天沒事來逛逛,看了一下,感覺相當的不錯。
作者: 我不是傻鴨    時間: 2018-4-14 04:32:05

這一篇看起來不錯,可以頂
作者: cb_reptile    時間: 2018-4-14 04:46:18

沒看過比樓主發的好帖
作者: a_c_e06    時間: 2018-4-14 05:04:03

暈  不信啊
作者: DiorCherie    時間: 2018-4-14 05:09:03

分享一切美好的事物是樓主的責任,回覆是每一位會員的義務
作者: plas_hoz    時間: 2018-4-14 05:42:21

哈哈,看的人少,回一下
作者: 弒殺滅神    時間: 2018-4-14 05:43:15

樓主也是培訓師嗎
作者: maverickhon    時間: 2018-4-14 05:49:47

這年頭,分不好賺啊
作者: ILOVEU5    時間: 2018-4-14 05:52:33

賺點分不容易啊
作者: andykom28    時間: 2018-4-14 06:00:33

呵呵,支持一下哈  
作者: tomato_alex    時間: 2018-4-14 06:13:50

看貼回復是好習慣
作者: tamyc002    時間: 2018-4-14 06:14:08

不錯啊! 一個字牛啊!
作者: Derek_Me    時間: 2018-4-14 06:24:14

第一次來這論壇..
作者: freegold    時間: 2018-4-14 06:26:16

圍觀來了哦
作者: easonchan    時間: 2018-4-14 06:29:58

謝謝分享好帖子,幫你回覆一下
作者: tn52003    時間: 2018-4-14 06:32:39

線上等線上等
作者: 底褲超人    時間: 2018-4-14 06:44:07

哎 怎麼說那~~
作者: 豪鬼AKUMA    時間: 2018-4-14 07:09:50

謝謝分享好帖子,幫你回覆一下
作者: 切雞飯`    時間: 2018-4-14 07:17:33

你加油吧
作者: xiao丸子    時間: 2018-4-14 07:19:39

考慮可以列入精華
作者: frankyhui    時間: 2018-4-14 07:21:00

我起來了 哈哈 剛才迷了會
作者: oh~my~gag    時間: 2018-4-14 07:38:45

自己知道了  
作者: jennyjellyfish    時間: 2018-4-14 07:45:06

終於看完了~~~
作者: ^^SaSabb    時間: 2018-4-14 08:05:33

看來不錯,回覆一下
作者: runrunscooter    時間: 2018-4-14 08:10:40

頂你一下,好貼要頂!
作者: stk190    時間: 2018-4-14 08:17:26

謝謝分享
作者: yan4327    時間: 2018-4-14 08:24:06

又看了一次
作者: xdxd125    時間: 2018-4-14 08:24:52

我好想升級
作者: tamyc002    時間: 2018-4-14 08:31:29

有些帖子,真的不錯
作者: 太陽穴    時間: 2018-4-14 09:04:56

一定要回貼,因為我是文明人哦
作者: ng015856    時間: 2018-4-14 09:05:13

我幫你這一帖頂起來
作者: 牛奶陽光    時間: 2018-4-14 09:11:20

聲明一下:本人看貼和回貼的規則,好貼必看,精華貼必回。
作者: 9394    時間: 2018-4-14 09:37:01

加油啊!偶一定會追隨你左右,偶堅定此貼必然會起到抛磚引玉的作用~
作者: Some1    時間: 2018-4-14 10:15:10

我來看看!謝謝  
作者: jerrygarry    時間: 2018-4-14 11:05:50

認真回覆,賺取潛水值
作者: xdxd125    時間: 2018-4-14 11:30:28

我幫你 喝喝  
作者: Gopper    時間: 2018-4-14 15:38:20

看起來不錯的樣子
作者: hkl515    時間: 2018-4-15 19:25:36

提示: 作者被禁止或刪除 內容自動屏蔽
作者: madbull_zxr750    時間: 2018-4-16 05:29:39

這論壇不錯
作者: 段皇爺    時間: 2018-4-16 11:13:45

頂你一下,好帖要頂!




歡迎光臨 SAY討論區 (http://forum.go2tutor.com/) Powered by Discuz! X2