一直以來，安卓系統(tǒng)的碎片化都是谷歌心中會呼吸的痛。不但系統(tǒng)升級成了老大難，如何推送安全補丁也讓谷歌撓頭，畢竟數(shù)十家制造商、數(shù)百家運營商和數(shù)千款設(shè)備排列組合起來可不是個小數(shù)目。

如果你是安卓發(fā)燒友，肯定會了解一個殘酷的現(xiàn)實，那就是許多小廠商的安全補丁推送不太及時。不過這還不是最可怕的，因為一家德國安全公司對數(shù)百款安卓手機進行了一番研究后卻發(fā)現(xiàn)，一些廠商不但推遲推送安全補丁，還干脆向用戶撒謊，假裝自己推了安全補丁。

在安全補丁的問題上，弄虛作假居然成了行業(yè)潛規(guī)則？

周五在阿姆斯特丹舉辦的 Hack in the Box 安全大會上，來自安全研究實驗室（SRL）的研究者 Karsten Nohl 和 Jakob Lell 計劃公布一個驚人的結(jié)果。

據(jù)雷鋒網(wǎng)了解，他們倆在過去兩年里對大量安卓手機的操作系統(tǒng)代碼進行了逆向工程，為的是查證這些設(shè)備是否像廠商承諾的一樣打上了安全補丁。這一查不要緊，兩位研究人員居然發(fā)現(xiàn)了巨大的“補丁鴻溝”。舉例來說，許多廠商告訴用戶，它們已經(jīng)按時間完成了安卓系統(tǒng)的安全更新，但事實上它們只是嘴上說說來安慰用戶，其實什么都沒做。

也就是說，用戶只是吃了安慰劑，一旦被黑客盯上，還是會非死即傷。

“我們發(fā)現(xiàn)，現(xiàn)在的廠商們都是嘴炮打得好，真到需要打安全補丁時它們就消失了。” Nohl 說道。“有時候這些家伙連補丁描述都懶得改，只是換了個日期就算完事。也許這是為了市場宣傳？反正它們只是任意設(shè)置個更新日期，怎么好看怎么來。”

"補丁鴻溝"

SRL 一共測試了 1200 臺手機的固件，它們來自數(shù)十家手機制造商，其中不但有谷歌的親兒子，還有三星、摩托、HTC等知名巨頭。當(dāng)然，也有來自中國的中興和 TCL。

測試結(jié)果顯示，除了谷歌自家旗艦 Pixel 和 Pixel 2 按部就班的更新了安全補丁，其它廠商都學(xué)會了偷奸耍滑，而體量較小的小眾廠商，安全更新更是一本讀不下去的爛賬。

Nohl 指出，以前大家可能覺得廠商會拋棄自家的老產(chǎn)品，但事實上它們連新產(chǎn)品也不管不顧了，而且謊話一個比一個說的溜，用戶沒享受到服務(wù)，只得到了一個紙糊的安全護盾。“在研究中我們還真發(fā)現(xiàn)了沒進行過一次安全更新的廠商，不過它們改日期的水平可不低，這已經(jīng)算得上是蓄意欺騙了。”

如果說一些小廠商已經(jīng)喪心病狂的話，那么國際大廠們還算良心未泯，類似三星或索尼這樣的廠商只是會偶然漏掉一兩個小補丁。不過，Nohl 也發(fā)現(xiàn)了一些前后矛盾的奇怪之處。舉例來說，2016 年的三星 J5 會一五一十的告訴用戶到底更新了哪些補丁，還有哪些未更新，而同年的三星 J3 卻補丁全滿，但事實上三星漏推了 12 個補丁包。

同一家廠商都能出這么多幺蛾子，真是不可思議，對普通用戶來說根本無法分辨。好在這次 SRL 做了次業(yè)界良心，在它們的安卓應(yīng)用 SnoopSnitch 上你就能查到自己是不是被廠商忽悠了。

廉價機型是重災(zāi)區(qū)

在完成了全部測試后，SRL 專門制作了圖表（下圖），它們將制造商分為三個類別，評判標(biāo)準(zhǔn)就是它們 2017 年（10 月及之后收到至少一個安全推送）修補漏洞的誠實指數(shù)。表現(xiàn)最好的是谷歌、索尼、三星和 WIKO，小米、一加和諾基亞則排在第二梯隊，表現(xiàn)最不好的就是中興和 TCL，它們都宣稱完成了 4 次以上的安全更新，但其實是說了假話。

先別忙著在自己的購機愿望清單上劃掉第三和第四梯隊的品牌啊，因為 SRL 指出，漏打補丁可能也有芯片供應(yīng)商的鍋。它們發(fā)現(xiàn)，搭載聯(lián)發(fā)科芯片的手機平均會漏過 9.7 個補?。ㄈ缦聢D），而用了三星芯片的產(chǎn)品則最安全，排在第二和第三的高通和海思也比聯(lián)發(fā)科安全得多。

其實從這個角度也能得出一個結(jié)論，那就是低端手機確實不夠安全，錢沒花到位就會掉進一個年久失修的坑人生態(tài)。

《連線》專門就這份研究結(jié)果聯(lián)系了谷歌，搜索巨頭先是對 SRL 的工作表示了贊賞，而后話鋒一轉(zhuǎn)稱它們研究的一些機型其實根本沒得到安卓認證，也就是說它們根本無法達到谷歌的安全標(biāo)準(zhǔn)。

同時，谷歌還指出，現(xiàn)代的安卓手機安全功能足夠強大，它們?yōu)橛脩舸罱撕芏鄬臃雷o網(wǎng)，即使不打補丁也很難被黑客攻破。此外，谷歌認為一些廠商直接用移除漏洞功能的方式來替代安全更新，而且別忘了，一些低端機可能本來就沒有需要打補丁的功能。

Nohl 也對谷歌的評論做了回應(yīng)，他認為谷歌為廠商們找的借口太牽強，那種情況發(fā)生的幾率太低了。

想黑掉安卓并不容易

不過，Nohl 并沒有對谷歌窮追猛打，相反他認為借著漏打的補丁黑進安卓系統(tǒng)其實并不容易。即使買到放飛自我廠商的機型，用戶也能受到安卓平臺的庇護。舉例來說，安卓 4.0 之后，谷歌就引入了隨機定位布局的解決方案，應(yīng)用在內(nèi)存上的位置是隨機的，惡意軟件對手機進行完美入侵。此外，別忘了安卓還有強大的沙盒機制，即使遭到入侵，病毒也會被困住而無法擴散。

這就意味著，除非一臺手機漏洞多到不計其數(shù)，否則黑客很難完全取得手機的控制權(quán)。

Nohl 指出，對安卓系統(tǒng)進行正面強攻太難了，因此網(wǎng)絡(luò)罪犯門玩起了旁敲側(cè)擊。他們把人的心理研究的透透的，只用一些能占小便宜的免費或盜版軟件，就能輕松在受害者手機中植入惡意軟件。

同時，Nohl 也提醒大家，有背景的黑客集團們可不玩小花招，他們大多會直接利用零日漏洞（可攻破且沒有補丁防護的秘密漏洞）發(fā)動攻擊。當(dāng)然，有時他們也會采用混合攻擊方案，零日漏洞和普通漏洞一起用。

在防御黑客上，Nohl 認為戰(zhàn)爭理論中的“縱深防御”最有效，雖說安卓系統(tǒng)并不容易攻破，但你每少打一個補丁，可能就會少一層防御，給自己挖坑的事還是不作為好。

恩威并施的“保姆”谷歌

谷歌為了安全補丁可謂操碎了心，幾乎就差把飯喂進手機廠商的嘴里。

不過，因為復(fù)雜的市場環(huán)境、利益關(guān)系以及自身能力，手機廠商們對于谷歌主動提供的安全補丁反倒情緒復(fù)雜，有人無所謂有人很積極，甚至有些干脆選擇性遺忘。

據(jù)微信公眾號深幾度報道，2017年5月5日德國安全廠商G DATA公布的報告顯示，2017年第一季度出現(xiàn)了75萬個新的安卓病毒，勢頭略有減緩，但全年下來預(yù)計會超過350萬個，再創(chuàng)新高。DATA指出，谷歌越來越重視安卓系統(tǒng)的安全，每個月都會推送安全補丁，但最大問題在于各廠商的跟進速度太慢。

也正是如此，谷歌恩威并施，為推動OEM廠商對安卓安全補丁進行及時更新，開始對安全補丁的更新狀態(tài)進行晾曬。在谷歌的計劃中，2017年會聯(lián)合運營商對OEM廠商進行督促施壓。

但顯然，不裝鴕鳥的第三方手機廠商開始出現(xiàn)瞞天過海的勾當(dāng)。

在知乎“為何許多安卓廠商不重視安全補丁的更新？”問題下，雷鋒網(wǎng)編輯看到幾個匿名用戶的回答：

實際上，聯(lián)想，戴爾，HP，也不會幫你做系統(tǒng)安全更新的。

因為安全更新不是這些公司制造的，所以這些安全更新是否存在問題，他們沒法負責(zé)，要么自己投入人力物力去測試驗證，要么就跳過。

你看各安卓廠商推自己的UI更新還是比較積極的，畢竟這是自己做的自己測的，心里有底啊。

歸根結(jié)底，如果廠商給你推更新，出什么問題都是廠商負責(zé)。此時google反而是第三方廠商了，他們提供的更新當(dāng)然不在首要考慮。

當(dāng)論壇發(fā)布了安卓版本更新的貼，會有一大群人高潮；

當(dāng)論壇發(fā)布了UI版本更新的貼，會有一群人炸鍋；

當(dāng)論壇發(fā)布了安全補丁更新的貼，會有一些人刷積分；

其實很多人都不知道安全補丁有何用，當(dāng)然不聞不問。

windows是授權(quán)收費的，廠商用android可沒交錢，不過上游代碼是有安全patch的，廠商完全有能力測試發(fā)更新，不負責(zé)任而已。

2016年底，安卓安全主管Adrian Ludwig 曾在 O'Reilly安全大會上公開表達，在安全性上，安卓手機和iPhone“幾乎是一模一樣的”。

但如今看來，這句話是有條件的。

參考來源： Wired，知乎

雷鋒網(wǎng)宅客頻道（微信公眾號：letshome），專注先鋒科技領(lǐng)域，講述黑客背后的故事。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。