[新聞] 你以為裝完所有手機安全更新,其實沒有,
你以為裝完所有手機安全更新,其實沒有,
研究發現:多款Android手機的安全更新資訊不實
Android手機的安全更新一直遠不如iPhone有效率,因此Google一直力促手機廠商提供安
全更新。但研究人員發現,包括從大廠三星、Sony到HTC及中國手機等Android手機提供用
戶的安全更新資訊,皆或多或少有誇大不實的問題,導致用戶曝露於安全風險之中。
Wired周四報導,安全公司Security Research Labs研究人員Karsten Nohl及Jakob Lell
測試了來自Google、三星、Sony、HTC、Nokia、Motorola、及中國的ZTE、TCL等1200款手
機的韌體,以測試是否真的如手機訊息顯示下載了安全更新。結果出現研究人員稱為「修
補程式鴻溝」(patch gap)的情形,即手機真實下載的更新都或多或少有所遺漏。研究
人員也在荷蘭阿姆斯特丹舉行的Hack in the Box安全會議上公佈這項研究。
研究顯示,偶爾情況下Sony、或三星手機會遺漏1、2項修補程式。但同一家廠商的手機的
表現差異也很大,例如2016年Samsung J5是完全真實顯示安裝了哪些,以及尚有哪些修補
程式未安裝。但2016年J3手機卻遺漏了12項,包括2項重大修補程式。
研究人員提供各家手機廠商的遺漏修補程式平均數。其中Google、Sony、Samsung及法國
廠商Wiko平均在1個以下,小米、Nokia及OnePlus為1-3項,HTC、LG、華為及Motorola則
在3-4項。而中國手機品牌TCL及ZTE遺漏數量為4個以上。
這項研究還探討了晶片組和手機遺漏修補程式的關係。其中三星產品平均不到0.5表現最
佳,高通(Qualcomm)為1.1項,中國的海思半導體(Hisilicon)為1.9項。聯發科則高
達9.7項。研究人員表示,有些情形下,可能純粹是因為便宜的手機較容易遺漏修補程式
,剛好又使用了便宜的晶片組。但其他情形下是因為漏洞出在晶片本身,而手機廠商又仰
賴晶片商提供修補程式,使得手機出現修補不足的情形。
研究人員指出,如果消費者買的是便宜手機,可能就會身處在維護不良的生態體系中。
Google對此回應,研究測試的手機,有些並未符合Google現在正在力推的Android安全認
證,同時現在的Android手機有更多安全防護,像是應用程式沙盒、手機防毒等等,因此
即使少安裝了修補程式也不容易被駭。該公司也指出,有些情況下Android手機移除了有
問題的功能,或一開始就沒有這些功能,因此一些修補程式是不重要的。
研究人員Nohl並不認同Google關於手機廠商移除有問題功能的論點,但同意現代Android
的設計,像是Android 4.0以上將記憶體中程式位置隨機化之後,使得更不容易為惡
意程式攻擊。
這也意謂著,大部份Android手機攻擊是起於駭客利用多個軟體或app弱點,而非只是沒有
安裝修補程式。因此除了國家贊助的攻擊行為是攻擊未修補漏洞,大部份攻擊是來自使用
者從Google Play Store或第三方軟體商店下載了有害的app這種簡單行為。
不過即使如此,研究人員仍然強調「深度防禦」的重要性,每少一安裝一項修補程式,就
多一分被攻擊者得手的風險。
https://www.ithome.com.tw/news/122398
心得:
Security Research Labs提供了一款app
SnoopSnitch
可以用來測試你的手機有多少missing patches
https://play.google.com/store/apps/details?id=de.srlabs.snoopsnitch
原始研究成果在這邊
https://srlabs.de/bites/android_patch_gap/
pdf slides:
https://bit.ly/2qB9gOD
OPPO是墊底的
另外也幫聯發科QQ
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.136.230.99
※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1523686180.A.F06.html
推
04/14 14:16,
7年前
, 1F
04/14 14:16, 1F
推
04/14 14:17,
7年前
, 2F
04/14 14:17, 2F
→
04/14 14:20,
7年前
, 3F
04/14 14:20, 3F
推
04/14 14:30,
7年前
, 4F
04/14 14:30, 4F
→
04/14 14:30,
7年前
, 5F
04/14 14:30, 5F
→
04/14 14:30,
7年前
, 6F
04/14 14:30, 6F
→
04/14 14:31,
7年前
, 7F
04/14 14:31, 7F
※ 編輯: Rattle (223.136.4.223), 04/14/2018 14:48:05
推
04/14 14:57,
7年前
, 8F
04/14 14:57, 8F
推
04/14 15:06,
7年前
, 9F
04/14 15:06, 9F
推
04/14 15:12,
7年前
, 10F
04/14 15:12, 10F
推
04/14 15:17,
7年前
, 11F
04/14 15:17, 11F
推
04/14 15:31,
7年前
, 12F
04/14 15:31, 12F
推
04/14 15:37,
7年前
, 13F
04/14 15:37, 13F
推
04/14 15:56,
7年前
, 14F
04/14 15:56, 14F
推
04/14 16:11,
7年前
, 15F
04/14 16:11, 15F
推
04/14 16:12,
7年前
, 16F
04/14 16:12, 16F
→
04/14 16:12,
7年前
, 17F
04/14 16:12, 17F
推
04/14 17:00,
7年前
, 18F
04/14 17:00, 18F
推
04/14 17:23,
7年前
, 19F
04/14 17:23, 19F
推
04/14 17:28,
7年前
, 20F
04/14 17:28, 20F
推
04/14 18:32,
7年前
, 21F
04/14 18:32, 21F
→
04/14 18:33,
7年前
, 22F
04/14 18:33, 22F
推
04/14 18:47,
7年前
, 23F
04/14 18:47, 23F
→
04/14 18:48,
7年前
, 24F
04/14 18:48, 24F
推
04/14 19:03,
7年前
, 25F
04/14 19:03, 25F
→
04/14 19:03,
7年前
, 26F
04/14 19:03, 26F
→
04/14 19:03,
7年前
, 27F
04/14 19:03, 27F
推
04/14 19:06,
7年前
, 28F
04/14 19:06, 28F
推
04/14 19:18,
7年前
, 29F
04/14 19:18, 29F
推
04/14 21:34,
7年前
, 30F
04/14 21:34, 30F
→
04/14 21:34,
7年前
, 31F
04/14 21:34, 31F
推
04/14 21:36,
7年前
, 32F
04/14 21:36, 32F
推
04/14 22:04,
7年前
, 33F
04/14 22:04, 33F
推
04/14 22:56,
7年前
, 34F
04/14 22:56, 34F
→
04/14 22:56,
7年前
, 35F
04/14 22:56, 35F
→
04/15 01:27,
7年前
, 36F
04/15 01:27, 36F
→
04/15 01:27,
7年前
, 37F
04/15 01:27, 37F
→
04/15 01:27,
7年前
, 38F
04/15 01:27, 38F
→
04/15 01:27,
7年前
, 39F
04/15 01:27, 39F
推
04/15 01:51,
7年前
, 40F
04/15 01:51, 40F
推
04/15 08:16,
7年前
, 41F
04/15 08:16, 41F
推
04/15 11:33,
7年前
, 42F
04/15 11:33, 42F
→
04/15 11:33,
7年前
, 43F
04/15 11:33, 43F
→
04/15 11:34,
7年前
, 44F
04/15 11:34, 44F
推
04/15 12:08,
7年前
, 45F
04/15 12:08, 45F
推
04/15 12:44,
7年前
, 46F
04/15 12:44, 46F
→
04/15 12:45,
7年前
, 47F
04/15 12:45, 47F
推
04/15 13:00,
7年前
, 48F
04/15 13:00, 48F
→
04/15 13:00,
7年前
, 49F
04/15 13:00, 49F
→
04/15 13:00,
7年前
, 50F
04/15 13:00, 50F
推
04/15 15:58,
7年前
, 51F
04/15 15:58, 51F
→
04/15 15:58,
7年前
, 52F
04/15 15:58, 52F
