[新聞] Android 設備製造商在安全補丁更新上撒謊

看板MobileComm作者 (hakugetsu)時間6年前 (2018/04/13 13:21), 6年前編輯推噓15(17257)
留言76則, 24人參與, 6年前最新討論串1/1
https://www.solidot.org/story?sid=56145 Android 設備製造商在安全補丁更新上撒謊 智慧型手機已經是現代生活的一部分,其安全性也變得日益重要,因為手機儲存了敏感的個人訊息。 Android 是目前市場占有率最高的移動操作系統,但其碎片化和安全性一直飽受詬病,很大一部分 Android 手機在出售之後就得不到安全更新了,而即使那些號稱提供安全更新的,研究發現廠商其實在撒謊。Security Research Labs 測試了不同廠商的 1200 多部 Android 手機。這些手機來自 Google、三星、摩托羅拉、, LG、HTC、小米、一加、諾基亞、TCL、華為和中興等公司。研究人員檢查了 2017 年釋出的每一個安全補丁, 發現除了 Google 和它的 Pixel手機外,幾乎所有廠商都漏掉了更新,一些廠商沒有安裝任何更新而只是修改了補丁日期。研究發現,三星和索尼平均每部設備漏掉了 0 到 1 個補丁,小米、一加、諾基亞、TCL 漏掉了 1 到 3 個補丁,HTC、華為、LG 和摩托羅拉漏掉了 3 到 4 個補丁,TCL 和中興漏掉了 4 個以上。 文章使用 zhconvert.org 台灣化部份用語 原文連結: https://srlabs.de/bites/android_patch_gap/ 安卓的安全補丁更新日期印象裡是可以隨便改的 看來真的有廠商只改日期但實際上沒有把 patch 打上 也有廠商不是什麼 patch 都套上去 也有可能是系統本身改動太大 patch沒辦法套上等等的原因? 另外 我記得MIUI曾經就發生過 明明還沒到那個月份 ROM顯示的安全更新補丁日期就已經是下個月的事情了.. ----- Sent from JPTT on my Xiaomi Mi Note 2. -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 27.242.167.96 ※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1523596873.A.AEE.html ※ 編輯: hakugetsu (27.242.167.96), 04/13/2018 13:23:20
04/13 13:23, 6年前 , 1F
這報告準嗎? 所以TCL到底漏幾個?
04/13 13:23, 1F
04/13 13:24, 6年前 , 2F
..靠北怎麼編輯完有一大段不見了
04/13 13:24, 2F
※ 編輯: hakugetsu (27.242.167.96), 04/13/2018 13:25:12
04/13 13:24, 6年前 , 3F
咦?為啥刪內容
04/13 13:24, 3F
04/13 13:25, 6年前 , 4F
JPTT的bug 編輯完直接消失 應該好了
04/13 13:25, 4F
04/13 13:26, 6年前 , 5F
為什麼你越編輯排版越亂
04/13 13:26, 5F
04/13 13:30, 6年前 , 6F
等等用電腦修一下好了 剛剛本來只是要修標題亂碼
04/13 13:30, 6F
04/13 13:30, 6年前 , 7F
Android有人會在意嗎?
04/13 13:30, 7F
04/13 13:41, 6年前 , 8F
我先噓樓上
04/13 13:41, 8F
04/13 13:43, 6年前 , 9F
阿速死安全!?
04/13 13:43, 9F
04/13 13:47, 6年前 , 10F
0到1個…?
04/13 13:47, 10F
04/13 13:48, 6年前 , 11F
很多只是放生了吧,統計沒有參考價值
04/13 13:48, 11F
04/13 13:49, 6年前 , 12F
安全更新又不重要,更新會影響速度,這比較重要。
04/13 13:49, 12F
04/13 13:50, 6年前 , 13F
570KL表示安定,反正不需要漏洞bug就已經多到修不完
04/13 13:50, 13F
04/13 13:51, 6年前 , 14F
補丁打不打無所謂了
04/13 13:51, 14F
04/13 14:17, 6年前 , 15F
一般大眾無感
04/13 14:17, 15F
※ 編輯: hakugetsu (106.104.165.227), 04/13/2018 14:44:28
04/13 14:54, 6年前 , 16F
● 修正安全性修補程式日期過舊的問題
04/13 14:54, 16F
04/13 15:09, 6年前 , 17F
安全性跟 android 版本都可以自己更改,應該說字要
04/13 15:09, 17F
04/13 15:09, 6年前 , 18F
改都可以
04/13 15:09, 18F
04/13 15:14, 6年前 , 19F
慘,反而是第三方的ROM老實一點
04/13 15:14, 19F
04/13 15:22, 6年前 , 20F
這與放生是兩回事
04/13 15:22, 20F
04/13 15:23, 6年前 , 21F
三方並不會比較好 有些vendor patches它們也不一定
04/13 15:23, 21F
04/13 15:23, 6年前 , 22F
拿得到
04/13 15:23, 22F
04/13 15:25, 6年前 , 23F
簡單說 綜觀來看就 TCL與中興漏得多可視為故意的 其
04/13 15:25, 23F
04/13 15:25, 6年前 , 24F
他的多為純失誤或被PM逼出貨
04/13 15:25, 24F
04/13 15:26, 6年前 , 25F
被翻譯省掉部分 問題最大的是MTK的機子
04/13 15:26, 25F
04/13 15:31, 6年前 , 26F
發哥身為vendor 它若掉隊 OEM自己也無解 所以下游只
04/13 15:31, 26F
04/13 15:31, 6年前 , 27F
要用發哥SoC通通難逃 那些機子的記錄是平均漏9個 三
04/13 15:31, 27F
04/13 15:31, 6年前 , 28F
星用它也變慘 更別提那些用發哥的貼牌中低階根本不c
04/13 15:31, 28F
04/13 15:31, 6年前 , 29F
are
04/13 15:31, 29F
04/13 15:55, 6年前 , 30F
要安全 安卓只剩親兒子 索尼 三星能買 慘
04/13 15:55, 30F
04/13 15:56, 6年前 , 31F
原來如此
04/13 15:56, 31F
04/13 16:08, 6年前 , 32F
Nokia8今天收到4/1安全性更新 還被酸貼牌 貼牌都
04/13 16:08, 32F
04/13 16:08, 6年前 , 33F
比你們這些大廠積極
04/13 16:08, 33F
04/13 16:21, 6年前 , 34F
標1日補丁 其實等同vendor補丁不完整
04/13 16:21, 34F
04/13 16:22, 6年前 , 35F
積極的貼牌 那是什麼?
04/13 16:22, 35F
04/13 16:23, 6年前 , 36F
vendor服務容易導致掉隊 所以一開始沒多久就分1日或
04/13 16:23, 36F
04/13 16:23, 6年前 , 37F
5日來變項解套吧
04/13 16:23, 37F
04/13 16:27, 6年前 , 38F
整體安全上其實也沒那麼慘 谷歌官方回應是說 這些是
04/13 16:27, 38F
04/13 16:27, 6年前 , 39F
個別漏洞 系統自體安全設計上個別漏洞通常是做不了
04/13 16:27, 39F
04/13 16:27, 6年前 , 40F
事的 這是正確的 不過自然還是要待在最新的補丁為佳
04/13 16:27, 40F
04/13 18:57, 6年前 , 41F
所以asus沒漏補丁?
04/13 18:57, 41F
04/13 20:03, 6年前 , 42F
三星Note4更誇張,更新內容寫安全性更新,結果安全
04/13 20:03, 42F
04/13 20:03, 6年前 , 43F
性更新日期根本沒變,跟上一版一模一樣
04/13 20:03, 43F
04/13 20:35, 6年前 , 44F
可是核心版本是2018的
04/13 20:35, 44F
04/13 20:36, 6年前 , 45F
會不會是處理器太舊 有些東西可能已經無法受到支援
04/13 20:36, 45F
04/13 20:36, 6年前 , 46F
?安全性版本只好停住
04/13 20:36, 46F
04/13 20:37, 6年前 , 47F
小米的也是 有些舊機雖然有持續更新,但是安全性也
04/13 20:37, 47F
04/13 20:37, 6年前 , 48F
是卡在特定時間點
04/13 20:37, 48F
04/13 21:22, 6年前 , 49F
安全性更新比版本更新來的重要
04/13 21:22, 49F
04/13 21:25, 6年前 , 50F
04/13 21:25, 50F
04/13 21:25, 6年前 , 51F
至少不能輸2011年的手機吧
04/13 21:25, 51F
04/13 23:52, 6年前 , 52F
難怪三星更新那麼慢原來是有認真打布丁,反觀
04/13 23:52, 52F
04/13 23:52, 6年前 , 53F
補丁
04/13 23:52, 53F
04/14 00:20, 6年前 , 54F
Note4那個安全更新應該是打kernel的 安卓6.0本身應
04/14 00:20, 54F
04/14 00:20, 6年前 , 55F
該EOL了吧
04/14 00:20, 55F
04/14 01:46, 6年前 , 56F
怎麼續我上一個留言後 還出現怪怪的說法 本來都想神
04/14 01:46, 56F
04/14 01:46, 6年前 , 57F
隱了說
04/14 01:46, 57F
04/14 01:50, 6年前 , 58F
核心哪有按年份的 見到的是核心compile生成時間罷了
04/14 01:50, 58F
04/14 01:52, 6年前 , 59F
安全性補丁是往前維護3版本的 安卓6的還沒EOL
04/14 01:52, 59F
04/14 02:14, 6年前 , 60F
Linux每70天推新版 隔版會有LTS長期維護版本 維護時
04/14 02:14, 60F
04/14 02:14, 6年前 , 61F
間兩年 Android使用的新晶片 谷歌與SoC廠會基於LTS
04/14 02:14, 61F
04/14 02:14, 6年前 , 62F
拿來改造給安卓使用 待新手機完成上市一段時期 在安
04/14 02:14, 62F
04/14 02:14, 6年前 , 63F
卓一般自發性的兩年維護期結束前 Linux官方就已結束
04/14 02:14, 63F
04/14 02:14, 6年前 , 64F
維護了 Linux上遊有相關補丁後 谷歌就自行backport
04/14 02:14, 64F
04/14 02:14, 6年前 , 65F
移植來維護的 然後還有SoC各部件的安全漏洞則是由ve
04/14 02:14, 65F
04/14 02:14, 6年前 , 66F
ndor廠提供補丁 這是底層的部分 至於上層架構都由谷
04/14 02:14, 66F
04/14 02:14, 6年前 , 67F
歌掌控維護不是問題
04/14 02:14, 67F
04/14 02:16, 6年前 , 68F
好消息是谷歌與Linux維護者談好了 4.4LTS起會提供6
04/14 02:16, 68F
04/14 02:16, 6年前 , 69F
年支援
04/14 02:16, 69F
04/14 02:24, 6年前 , 70F
至於上圖galaxy nexus的核心 怎麼可能打完 那版本Li
04/14 02:24, 70F
04/14 02:24, 6年前 , 71F
nux連谷歌都沒backport好久了 vendor組件出的漏洞 v
04/14 02:24, 71F
04/14 02:24, 6年前 , 72F
endor廠也不補啦 這部分可是大多沒源碼 只有bin檔
04/14 02:24, 72F
04/14 02:24, 6年前 , 73F
也沒設計圖 外人根本無法法補 這手機三方ROM能補的
04/14 02:24, 73F
04/14 02:24, 6年前 , 74F
只有安卓上層架構的漏洞而已 結尾放1日 非5日就說明
04/14 02:24, 74F
04/14 02:24, 6年前 , 75F
底層的補丁不完整
04/14 02:24, 75F
04/14 08:13, 6年前 , 76F
自己backport是有多難
04/14 08:13, 76F
更多 hakugetsu 的文章
文章代碼(AID): #1Qq3v9hk (MobileComm)