一部分安卓廠商在更新安全補丁上對使用者撒了謊

類別: 新奇
Dkphhh@ 2018.04.15 , 08:02
13

一部分安卓廠商在更新安全補丁上對使用者撒了謊

安卓手機更新不及時都是老生常談了——谷歌最新版本在2月份更新,而現在只有 1.1% 的安卓使用者能夠得到最新版本的硬體——而且,安卓手機的更新問題不僅於此。據安全研究實驗室(Security Research Labs )稱,許多安卓廠商在安全補丁的問題上對使用者撒謊了。

一部分安卓廠商在更新安全補丁上對使用者撒了謊
credit:123RF

SRL的研究員Karsten Nohl 和 Jakob Lell 花了兩年時間研究安卓裝置,主要檢查手機是否像軟體顯示的那樣安裝了安全補丁。這兩個人發現,許多裝置都有所謂的“patch gap”,就是說你看著軟體上說安全補丁是最新的,實際上,手機真正的補丁版本和顯示的補丁版本差了十幾個版本。

補丁缺失不是一個孤例,據《連線》雜誌報導,SRL 測試了來自谷歌、三星、HTC、摩托羅拉、中興、TCL 的 1200 部手機,去年一年每一個韌體版本都進行過測試。他們發現,即便是三星索尼的旗艦機型,都有補丁缺失的問題。

顯而易見,這不是什麼好事。不管是不是故意的,消費者都不應該因為安全補丁不及時而暴露在危險之中。他們也不應該有一種錯誤的安全感,覺得自己處在保護中,這樣只會讓導致更多災難發生。為了改變局面,SRL 在 Play Store 裡上架了一個 SnoopSnitch,可以分析你手機的韌體有沒有打上最新的安全補丁,不過事情一開始就不應該是這樣。

谷歌方面已經對《連線》雜誌回覆到:「我們已經對該問題和每一個 OEM 啟動了調查,保證認證的裝置符合要求。」並表示,未來會有進一步的調查。同時解釋說,SRL 發現的部分案例是因為一個已經被去除的特性導致的,另外還有一部分手機一開始就沒有官方的安卓安全認證。但一件事是肯定的——我們需要做的還有很多。

如果一個安卓廠商不能及時更新手機,最起碼他應該對消費者保持誠實。

附一則谷歌發表是宣告:

我們感謝 Karsten Nohl 和 Jakob Kell 為安卓生態的安全做出的不懈努力。我們目前正在進行合作以探明現在安全補丁不及時的情況有多嚴重。安全更新是眾多保護安卓裝置和使用者的手段之一。內建的保護機制,如應用沙盒、安全服務、還有 Google Play 保護都很重要。安全層級的多樣性和安卓生態的多樣性共同促成了安全補丁的問題。

本文譯自theverge,由譯者Dkphhh基於創作共用協議(BY-NC)釋出。

一部分安卓廠商在更新安全補丁上對使用者撒了謊原文請看這裡