4月13日據(jù)國外媒體報道,一直以來,谷歌都在努力推進市面上數(shù)十家智能手機制造商以及數(shù)百家運營商定期發(fā)布修復安全問題的軟件更新。但最近一家德國安全公司針對數(shù)百臺Android智能手機進行分析后發(fā)現(xiàn)了一個讓人不安的新問題:不僅很多Android手機廠商不能或延遲多個月向用戶發(fā)布補丁,甚至還會偷偷跳過某些補丁而欺騙用戶固件已經(jīng)完全更新。
在阿姆斯特丹舉辦的Hack in the Box安全會議上,Security Research公司的研究人員Karsten Nohl和Jakob Lell介紹,他們針對最近兩年上市的數(shù)百臺Android智能手機的操作系統(tǒng)代碼進行了逆向分析,詳細的對每臺設(shè)備實際安裝的安全補丁進行了研究。他們發(fā)現(xiàn)所謂的“補丁門”:在一些情況下部分廠商會通知用戶已經(jīng)安裝了所有特定日期發(fā)布的安全補丁,但實際上并未提供這項服務(wù),只是虛假的通知,因此這些設(shè)備非常容易受到黑客的攻擊。
“我們發(fā)現(xiàn),實際修補和廠商聲稱已經(jīng)完成修復之間的漏洞數(shù)量存在差別!敝踩芯咳藛T、SRL創(chuàng)始人Nohl表示。他說,最糟糕的情況下,Android手機制造商會故意篡改設(shè)備上次修復漏洞的時間!坝行⿵S商會在未安裝補丁的情況下更改系統(tǒng)更新日期。出于營銷的原因,他們只是將補丁的安裝日期設(shè)置為特定時間,只是追求看起來很安全而已!
選擇性忽略
SRL在2017年統(tǒng)計了Android系統(tǒng)的每一次安全更新,測試了來自于十幾家智能手機廠商超過1200部手機的固件,這些設(shè)備來自于谷歌、三星、摩托羅拉、HTC等主流Android手機廠商以及中興、TCL等新興制造商。他們發(fā)現(xiàn),除了谷歌自己的Pixel和Pixel 2等機型之外,就算是國際頂級廠商有時也會謊稱自己為產(chǎn)品安裝了實際上并未發(fā)布的補丁更新。而二三線廠商的記錄則更加糟糕。
Nohl指出,這是一種比放棄更新后果更嚴重的行為,并且已經(jīng)成為了智能手機領(lǐng)域中常見的現(xiàn)象。在其實并未采取任何行動的情況下告訴用戶修復了漏洞,為用戶營造出了一種“虛假”的安全感。Nohl說:“我們發(fā)現(xiàn)有幾家廠商并未安裝某些補丁,但卻修改系統(tǒng)最后更新的日期,這是一種故意欺騙的行為,但并不普遍!
Nohl認為,更常見的情況是像索尼或三星這樣的頂級廠商,會因為某些意外錯過一兩個補丁更新。但在不同的機型身上,卻出現(xiàn)了不同的情況:比如三星的2016款Galaxy J5機型,就會非常清晰的告訴用戶已經(jīng)安裝了哪些補丁、哪些補丁沒有更新。但在2016款Galaxy J3的身上,三星聲稱所有補丁都已經(jīng)發(fā)布,但經(jīng)過調(diào)查發(fā)現(xiàn)依然缺少了12個非常關(guān)鍵的更新。
“考慮到這是一種隱性機型差異,用戶幾乎不可能了解自己實際上究竟安裝了哪些更新,”Nohl說。為了解決這種補丁更新缺乏透明度的情況,SRL Labs還發(fā)布了一項針對旗下Android平臺SnoopSnitch應(yīng)用的更新,用戶可以輸入自己的手機代碼,隨時查看安全更新的真實狀況。
不同廠商情況不同
在對每個供應(yīng)商的產(chǎn)品進行評估之后,SRL Labs制作了下面這組圖表,將智能手機廠商分成了三個類別,分類的依據(jù)為各自在2017年對外宣和實際安裝補丁數(shù)的匹配程度,包括在2017年10月或之后至少收到一次更新的機型。包括小米、諾基亞在內(nèi)的主要安卓廠商,平均有1到3個補丁“丟失”,而HTC、摩托羅拉、LG和華為有3到4個補丁“丟失”,TCL和中興排名最后,丟失的補丁數(shù)超過4個。而谷歌、索尼、三星等錯過的補丁更新數(shù)量小于等于1。
SRL還指出,芯片供應(yīng)商是補丁缺失的一個原因。比如使用三星芯片的機型很少會出現(xiàn)悄悄忽略更新的問題,而使用聯(lián)發(fā)科芯片的設(shè)備,平均補丁缺失高達9.7個。在某些情況下,很有可能就是因為由于使用了更廉價的芯片,補丁缺失的概率就更高。還有一種情況就是因為漏洞出現(xiàn)在芯片層面而并非系統(tǒng)層面,因此手機制造商要依賴芯片廠商才會完成進一步更新。結(jié)果是從低端供應(yīng)商那里采購芯片的廉價智能手機也延續(xù)了“補丁缺失”的問題!敖(jīng)過我們的驗證,如果你選擇了一款比較便宜的產(chǎn)品,那么在安卓生態(tài)系統(tǒng)中,就會處于一個比較不受重視的地位!盢ohl表示。
在《連線》雜志聯(lián)系谷歌后,谷歌對SRL的研究表示贊賞,但同時回應(yīng)指出,SRL分析的部分設(shè)備可能并沒有經(jīng)過安卓系統(tǒng)認證,這意味著它們并不受谷歌安全標準的限制。谷歌表示,安卓智能手機有安全功能,就算在沒有補丁的情況下,安全漏洞也很難被破解。在某些情況下,之所以會出現(xiàn)“補丁丟失”的問題,是因為手機廠商只是將某種易受攻擊的功能簡單的移除而不是修復,或者某些手機在一開始就沒有這項功能。
谷歌表示將與SRL Labs合作,進一步進行深入調(diào)查。“安全更新是保護Android設(shè)備和用戶的眾多層級之一,”Android產(chǎn)品安全主管Scott Roberts在《連線》雜志上發(fā)表聲明!跋到y(tǒng)內(nèi)置的平臺保護系統(tǒng),比如應(yīng)用程序沙盒和Google Play Protect安全服務(wù)也同樣重要。這些多層次的安全手段,再加上Android生態(tài)系統(tǒng)的多樣性,讓研究人員得出了這樣的結(jié)論,即Android設(shè)備的遠程開發(fā)仍然充滿了挑戰(zhàn)性。”
為了回應(yīng)谷歌針對廠商由于移除了易受攻擊的功能而導致補丁缺失的結(jié)論,Nohl反駁稱,這種情況并不常見,發(fā)生的概率并不大。
補丁缺失影響有限
不過讓人意外的是,Nohl對谷歌的另一個說法表示同意:通過利用缺失的補丁對Android手機進行攻擊,其實并不是一件容易的事情。甚至一些沒有更新補丁的Android手機在系統(tǒng)更廣泛的安全措施保護下,惡意軟件依然難以對漏洞加以利用,像從Android 4.0 Lollipop開始出現(xiàn)的沙盒等功能,限制了惡意程序訪問設(shè)備概率。
這就意味著大多數(shù)的黑客如果利用某個所謂的“漏洞”來獲得Android設(shè)備的控制權(quán),需要利用一系列的漏洞,而不僅僅只是因為缺失一個補丁而攻擊成功。Nohl表示:“即使錯過了某些補丁,依然可以依靠系統(tǒng)其它的安全特性抵御大部分的攻擊。”
因此,Nohl表示,Android設(shè)備更容易被一些比較簡單的方式破解,比如在Google Play商店中出現(xiàn)的那些惡意應(yīng)用,或者在非官方應(yīng)用商店安裝的App。Nohl說:“用戶安裝了盜版或惡意軟件,就更容易成為黑客攻擊的目標。”