一直以來，安卓系統(tǒng)的碎片化都是Google心中會呼吸的痛。不但系統(tǒng)升級成了老大難，如何推送安全補(bǔ)丁也讓Google撓頭，畢竟數(shù)十家制造商、數(shù)百家運(yùn)營商和數(shù)千款設(shè)備排列組合起來可不是個(gè)小數(shù)目。

如果你是安卓發(fā)燒友，肯定會了解一個(gè)殘酷的現(xiàn)實(shí)，那就是許多小廠商的安全補(bǔ)丁推送不太及時(shí)。

不過這還不是最可怕的，因?yàn)橐患业聡踩緦?shù)百款安卓手機(jī)進(jìn)行了一番研究后卻發(fā)現(xiàn)，一些安卓廠商不但推遲推送安全補(bǔ)丁，還干脆向用戶撒謊，假裝自己推了安全補(bǔ)丁。

在安全補(bǔ)丁的問題上，弄虛作假居然成了行業(yè)潛規(guī)則?

周五在阿姆斯特丹舉辦的Hack in the Box安全大會上，來自安全研究實(shí)驗(yàn)室(SRL)的研究者Karsten Nohl和Jakob Lell計(jì)劃公布一個(gè)驚人的結(jié)果。

據(jù)雷鋒網(wǎng)了解，他們倆在過去兩年里對大量安卓手機(jī)的操作系統(tǒng)代碼進(jìn)行了逆向工程，為的是查證這些設(shè)備是否像廠商承諾的一樣打上了安全補(bǔ)丁。這一查不要緊，兩位研究人員居然發(fā)現(xiàn)了巨大的“補(bǔ)丁鴻溝”。

舉例來說，許多廠商告訴用戶，它們已經(jīng)按時(shí)間完成了安卓系統(tǒng)的安全更新，但事實(shí)上它們只是嘴上說說來安慰用戶，其實(shí)什么都沒做。

也就是說，用戶只是吃了安慰劑，一旦被黑客盯上，還是會非死即傷。

“我們發(fā)現(xiàn)，現(xiàn)在的廠商們都是嘴炮打得好，真到需要打安全補(bǔ)丁時(shí)它們就消失了。”Nohl說道，“有時(shí)候這些家伙連補(bǔ)丁描述都懶得改，只是換了個(gè)日期就算完事。也許這是為了市場宣傳?反正它們只是任意設(shè)置個(gè)更新日期，怎么好看怎么來。”

“補(bǔ)丁鴻溝”

SRL一共測試了1200臺手機(jī)的固件，它們來自數(shù)十家手機(jī)制造商，其中不但有Google的親兒子，還有三星、摩托、HTC等知名巨頭。當(dāng)然，也有來自中國的中興和TCL。

測試結(jié)果顯示，除了Google自家旗艦Pixel和Pixel 2按部就班地更新了安全補(bǔ)丁，其它廠商都學(xué)會了偷奸?；w量較小的小眾廠商，安全更新更是一本讀不下去的爛賬。

Nohl指出，以前大家可能覺得廠商會拋棄自家的老產(chǎn)品，但事實(shí)上它們連新產(chǎn)品也不管不顧了，而且謊話一個(gè)比一個(gè)說的溜，用戶沒享受到服務(wù)，只得到了一個(gè)紙糊的安全護(hù)盾。

“在研究中我們還真發(fā)現(xiàn)了沒進(jìn)行過一次安全更新的廠商，不過它們改日期的水平可不低，這已經(jīng)算得上是蓄意欺騙了。”

如果說一些小廠商已經(jīng)喪心病狂的話，那么國際大廠們還算良心未泯，類似三星或索尼這樣的廠商只是會偶然漏掉一兩個(gè)小補(bǔ)丁。不過，Nohl也發(fā)現(xiàn)了一些前后矛盾的奇怪之處。

舉例來說，2016年的三星J5會一五一十的告訴用戶到底更新了哪些補(bǔ)丁，還有哪些未更新，而同年的三星J3卻補(bǔ)丁全滿，但事實(shí)上三星漏推了12個(gè)補(bǔ)丁包。

同一家廠商都能出這么多幺蛾子，真是不可思議，對普通用戶來說根本無法分辨。好在這次SRL做了次業(yè)界良心，在它們的安卓應(yīng)用Snoop Snitch上你就能查到自己是不是被廠商忽悠了。

廉價(jià)機(jī)型是重災(zāi)區(qū)

在完成了全部測試后，SRL專門制作了圖表(下圖)，它們將制造商分為三個(gè)類別，評判標(biāo)準(zhǔn)就是它們2017年(10月及之后收到至少一個(gè)安全推送)修補(bǔ)漏洞的誠實(shí)指數(shù)。

表現(xiàn)最好的是Google、索尼、三星和WIKO，小米、一加和諾基亞則排在第二梯隊(duì)，表現(xiàn)最不好的就是中興和TCL，它們都宣稱完成了4次以上的安全更新，但其實(shí)是說了假話。

先別忙著在自己的購機(jī)愿望清單上劃掉第三和第四梯隊(duì)的品牌啊，因?yàn)镾RL指出，漏打補(bǔ)丁可能也有芯片供應(yīng)商的鍋。

它們發(fā)現(xiàn)，搭載聯(lián)發(fā)科芯片的手機(jī)平均會漏過9.7個(gè)補(bǔ)丁(如下圖)，而用了三星芯片的產(chǎn)品則最安全，排在第二和第三的高通和海思也比聯(lián)發(fā)科安全得多。

其實(shí)從這個(gè)角度也能得出一個(gè)結(jié)論，那就是低端手機(jī)確實(shí)不夠安全，錢沒花到位就會掉進(jìn)一個(gè)年久失修的坑人生態(tài)。

《連線》專門就這份研究結(jié)果聯(lián)系了Google，搜索巨頭先是對SRL的工作表示了贊賞，而后話鋒一轉(zhuǎn)稱它們研究的一些機(jī)型其實(shí)根本沒得到安卓認(rèn)證，也就是說它們根本無法達(dá)到Google的安全標(biāo)準(zhǔn)。

同時(shí)，Google還指出，現(xiàn)代的安卓手機(jī)安全功能足夠強(qiáng)大，它們?yōu)橛脩舸罱撕芏鄬臃雷o(hù)網(wǎng)，即使不打補(bǔ)丁也很難被黑客攻破。

此外，Google認(rèn)為一些廠商直接用移除漏洞功能的方式來替代安全更新，而且別忘了，一些低端機(jī)可能本來就沒有需要打補(bǔ)丁的功能。

Nohl也對Google的評論做了回應(yīng)，他認(rèn)為Google為廠商們找的借口太牽強(qiáng)，那種情況發(fā)生的幾率太低了。

想黑掉安卓并不容易

不過，Nohl并沒有對Google窮追猛打，相反他認(rèn)為借著漏打的補(bǔ)丁黑進(jìn)安卓系統(tǒng)其實(shí)并不容易。即使買到放飛自我廠商的機(jī)型，用戶也能受到安卓平臺的庇護(hù)。

舉例來說，安卓4.0之后，Google就引入了隨機(jī)定位布局的解決方案，應(yīng)用在內(nèi)存上的位置是隨機(jī)的，惡意軟件對手機(jī)進(jìn)行完美入侵。此外，別忘了安卓還有強(qiáng)大的沙盒機(jī)制，即使遭到入侵，病毒也會被困住而無法擴(kuò)散。

這就意味著，除非一臺手機(jī)漏洞多到不計(jì)其數(shù)，否則黑客很難完全取得手機(jī)的控制權(quán)。

Nohl指出，對安卓系統(tǒng)進(jìn)行正面強(qiáng)攻太難了，因此網(wǎng)絡(luò)罪犯門玩起了旁敲側(cè)擊。他們把人的心理研究的透透的，只用一些能占小便宜的免費(fèi)或盜版軟件，就能輕松在受害者手機(jī)中植入惡意軟件。

同時(shí)，Nohl也提醒大家，有背景的黑客集團(tuán)們可不玩小花招，他們大多會直接利用零日漏洞(可攻破且沒有補(bǔ)丁防護(hù)的秘密漏洞)發(fā)動攻擊。當(dāng)然，有時(shí)他們也會采用混合攻擊方案，零日漏洞和普通漏洞一起用。

在防御黑客上，Nohl認(rèn)為戰(zhàn)爭理論中的“縱深防御”最有效，雖說安卓系統(tǒng)并不容易攻破，但你每少打一個(gè)補(bǔ)丁，可能就會少一層防御，給自己挖坑的事還是不作為好。

恩威并施的“保姆”Google

Google為了安全補(bǔ)丁可謂操碎了心，幾乎就差把飯喂進(jìn)手機(jī)廠商的嘴里。

不過，因?yàn)閺?fù)雜的市場環(huán)境、利益關(guān)系以及自身能力，手機(jī)廠商們對于Google主動提供的安全補(bǔ)丁反倒情緒復(fù)雜，有人無所謂有人很積極，甚至有些干脆選擇性遺忘。

2017年5月5日德國安全廠商GDATA公布的報(bào)告顯示，2017年第一季度出現(xiàn)了75萬個(gè)新的安卓病毒，勢頭略有減緩，但全年下來預(yù)計(jì)會超過350萬個(gè)，再創(chuàng)新高。

DATA指出，Google越來越重視安卓系統(tǒng)的安全，每個(gè)月都會推送安全補(bǔ)丁，但最大問題在于各廠商的跟進(jìn)速度太慢。

也正是如此，Google恩威并施，為推動OEM廠商對安卓安全補(bǔ)丁進(jìn)行及時(shí)更新，開始對安全補(bǔ)丁的更新狀態(tài)進(jìn)行晾曬。在Google的計(jì)劃中，2017年會聯(lián)合運(yùn)營商對OEM廠商進(jìn)行督促施壓。

但顯然，不裝鴕鳥的第三方手機(jī)廠商開始出現(xiàn)瞞天過海的勾當(dāng)。

在知乎“為何許多安卓廠商不重視安全補(bǔ)丁的更新?”問題下，看到了幾個(gè)匿名用戶的回答：

• 實(shí)際上，聯(lián)想、戴爾、惠普也不會幫你做系統(tǒng)安全更新的;
• 因?yàn)榘踩虏皇沁@些公司制造的，所以這些安全更新是否存在問題，他們沒法負(fù)責(zé)，要么自己投入人力物力去測試驗(yàn)證，要么就跳過。;
• 你看各安卓廠商推自己的UI更新還是比較積極的，畢竟這是自己做的自己測的，心里有底啊;
• 歸根結(jié)底，如果廠商給你推更新，出什么問題都是廠商負(fù)責(zé)。此時(shí)google反而是第三方廠商了，他們提供的更新當(dāng)然不在首要考慮;
• 當(dāng)論壇發(fā)布了安卓版本更新的貼，會有一大群人高潮;
• 當(dāng)論壇發(fā)布了UI版本更新的貼，會有一群人炸鍋;
• 當(dāng)論壇發(fā)布了安全補(bǔ)丁更新的貼，會有一些人刷積分;

其實(shí)很多人都不知道安全補(bǔ)丁有何用，當(dāng)然不聞不問。

Windows是授權(quán)收費(fèi)的，廠商用Android可沒交錢，不過上游代碼是有安全Patch的，廠商完全有能力測試發(fā)更新，不負(fù)責(zé)任而已。

2016年底，安卓安全主管Adrian Ludwig曾在O'Reilly安全大會上公開表達(dá)，在安全性上，安卓手機(jī)和iPhone“幾乎是一模一樣的”。

但如今看來，這句話是有條件的。