部分Android厂商隐瞒事实 更新时未部署完整的完全补丁

2018年04月13日 09:52 次阅读 稿源:cnBeta.COM 条评论

德国 Security Research Lab 的安全研究人员们,刚刚有一项惊人的发现。在对 1200 款 Android 设备的操作系统代码进行逆向工程之后,Karsten Nohl 和 Jakob Lell 发现某些智能手机制造商未能诚实地给设备打上安全补丁。两人的工作,主要是检查代码,以确认手机设置中引用的安全补丁,是否已经真的被应用。

Android Security Update.jpg

新闻配图(via:Android.com)

然而在许多情况下,他们都发现了一个“真空地带”—— 某些厂商其实没有完整地打上补丁。

Wired 报道称,SRL 研究人员揪出了多家不诚实的厂商,就算是小米、一加、诺基亚之类的大牌,平均也有不慎疏漏的 1~3 个安全补丁。

此外,与厂商所宣称的相比,来自 HTC、摩托罗拉、以及 LG 的设备,缺失的补丁数量也有 3~4 个。而中兴和 TCL 手机的平均缺失补丁数量超过了 4 个。

patches_table-02.jpg

(Security Research Labs / Wired)

SRL 还指出了缺失补丁和手机采用的芯片组之间的关联数据,那些采用了廉价处理器的低端机,更有可能跳过一些补丁。

比如在采用联发科机型的设备上,平均缺失的补丁数量为 9.7 个。相比之下,采用三星处理器的设备,被跳过的数量就要少很多。

Google 对 SRL 的研究表示赞赏,但指出其分析的部分设备可能并未得到 Android 认证、或者没有遵从该公司的安全标准。

patches_table-03.jpg

更重要的是,Google 指出,现代 Android 手机的安全功能已经到位,即便包含了未修补的漏洞,也很难被破解。

此外,在某些情况下,厂商可能会从设备中移除一个易受攻击的功能,而不是修复它,这也可能是某些漏洞缺失的一个客观原因。

最后,Google 表示会与 SRL 深入调查合作,Nohl 也认同了该公司关于“某些未打补丁的设备仍然难以被破解”的观点,这得益于 Google 部署的许多安全措施。

[编译自:TechSpot 1 , 2]

活动入口:

天翼云 - 0元体验数十款云产品

阿里云技术变现推广大使招募中

对文章打分

部分Android厂商隐瞒事实 更新时未部署完整的完全补丁

5 (26%)
已有 条意见

    最新资讯

    加载中...

    今日最热

    加载中...

    热门评论

      招聘


      Advertisment ad adsense googles cpro.baidu.com
      created by ceallan