研究人員指出原始設(shè)備制造商(OEM)缺乏系統(tǒng)更新或?yàn)榘沧康牟话踩饕?評(píng)分顯示Nexus為最安全的手機(jī)，盡管只得到了10分中的5.5分。

[[152249]]

安卓安全現(xiàn)狀堪憂

安卓的碎片化一直是個(gè)大問(wèn)題，而近期來(lái)自劍橋大學(xué)的研究人員利用收集的數(shù)據(jù)，創(chuàng)建了一種評(píng)分體系，用于衡量主要手機(jī)廠商為其產(chǎn)品發(fā)布安全更新包的速度，量化了安卓的安全現(xiàn)狀。結(jié)果發(fā)現(xiàn)“平均87.7%的安卓設(shè)備至少存在一個(gè)已知的高危漏洞”。報(bào)告原文

上圖是劍橋大學(xué)研究團(tuán)隊(duì)對(duì)過(guò)去數(shù)年來(lái)不安全、可能安全和安全版本的安卓設(shè)備的比例的估計(jì)，可以看到不安全的安卓設(shè)備(紅色部分)是絕對(duì)的主流。

用于研究的數(shù)據(jù)來(lái)源于該組織的一個(gè)應(yīng)用程序Device Analyzer，這是一個(gè)自2011年5月開(kāi)始在谷歌商店上線的免費(fèi)程序。 研究調(diào)查了20400部設(shè)備的版本信息，然后比較了已知的13種高危漏洞，根據(jù)運(yùn)行的版本是否已經(jīng)打上補(bǔ)丁將其標(biāo)記為安全或不安全。每臺(tái)被標(biāo)記為“安全”或“不安全”的設(shè)備，是基于其操作系統(tǒng)版本是否針對(duì)這些漏洞進(jìn)行了修復(fù);而“可能安全”的設(shè)備是由于它本來(lái)可以得到一個(gè)專門(mén)的補(bǔ)丁進(jìn)行修復(fù)的。

安卓為什么如此不安全?

研究認(rèn)為，大部分歸咎于與之合作的OEM。市面上大部分安卓設(shè)備都無(wú)法及時(shí)得到系統(tǒng)更新，這令許多系統(tǒng)漏洞都沒(méi)法及時(shí)得到修復(fù)。為了進(jìn)行這個(gè)研究，劍橋大學(xué)發(fā)起了一個(gè)網(wǎng)站——AndroidVulnerabilities.org，這些OEM廠商評(píng)分就是來(lái)源于這個(gè)網(wǎng)站保存的安全記錄數(shù)據(jù)。

研究者從1-10為OEM廠商安全創(chuàng)建了“FUM”評(píng)分，比較不同手機(jī)的安全性。結(jié)果發(fā)現(xiàn)谷歌Nexus手機(jī)獲得了***分，安全性堪稱***。在第三方廠商中，LG的表現(xiàn)則最出色，其次是摩托羅拉、三星、索尼和HTC。

Nexus斬獲***，難掩分低尷尬

盡管Nexus程序的得分僅為5.2，但是仍然力壓所有其他廠商設(shè)備，或許是因?yàn)檫@是谷歌親自維護(hù)的。

事實(shí)上，谷歌Nexus設(shè)備更新發(fā)布得非常緩慢。及時(shí)在更新開(kāi)發(fā)以及發(fā)布之后，通過(guò)OTA向用戶推送更新也需要兩周之久。另外一個(gè)問(wèn)題是，谷歌與OEM廠商達(dá)成的“兩年更新”策略與現(xiàn)在這個(gè)飛速發(fā)展的時(shí)代已經(jīng)不相匹配了。調(diào)查中的許多Nexus設(shè)備已經(jīng)不被Google支持。

華為、小米、聯(lián)想未列入評(píng)分

這項(xiàng)研究有個(gè)非常奇怪的地方，那便是針對(duì)安卓OEM廠商的選擇。根據(jù)IDC研究機(jī)構(gòu)發(fā)現(xiàn)，全球排名前四的安卓OEM分別是三星、華為、小米以及聯(lián)想。而只有三星的成績(jī)出現(xiàn)在研究當(dāng)中，其他三個(gè)安卓OEM廠商被忽略掉了?？v觀研究名單，映入眼簾的竟是Symphony與Walton這般相對(duì)無(wú)名的品牌。

原因其實(shí)很簡(jiǎn)單，測(cè)試程序是通過(guò)谷歌商店下載的，這樣一來(lái)像中國(guó)這樣的地區(qū)便無(wú)法參與其中。

安全建議：正規(guī)途徑下載應(yīng)用

安全研究員Daniel Wagner表示，谷歌在減輕風(fēng)險(xiǎn)方面做了大量工作，建議用戶只從谷歌商店中獲取應(yīng)用，因?yàn)檫@些應(yīng)用谷歌進(jìn)行了額外的安全審查。

這項(xiàng)研究揭示了安卓生態(tài)系統(tǒng)保護(hù)用戶的道路還有很長(zhǎng)，谷歌與一些OEM廠商致力于程序每月進(jìn)行安全更新，但通常僅僅是不滿兩年的年輕設(shè)備，并且只針對(duì)旗艦設(shè)備。然而市場(chǎng)上充斥著數(shù)量更為龐大的非旗艦安卓設(shè)備，或許要等到谷歌重新架構(gòu)安卓系統(tǒng)以支持其集中化、不限設(shè)備的更新時(shí)，我們才能看到安卓安全的一線曙光。