4月13日據國外媒體報道,一直以來,谷歌都在努力推進市面上數十家智能手機制造商以及數百家運營商定期發布修復安全問題的軟件更新。但最近一家德國安全公司針對數百臺Android智能手機進行分析后發現了一個讓人不安的新問題:不僅很多Android手機廠商不能或延遲多個月向用戶發布補丁,甚至還會偷偷跳過某些補丁而欺騙用戶固件已經完全更新。
在阿姆斯特丹舉辦的Hack in the Box安全會議上,Security Research公司的研究人員Karsten Nohl和Jakob Lell介紹,他們針對最近兩年上市的數百臺Android智能手機的操作系統代碼進行了逆向分析,詳細的對每臺設備實際安裝的安全補丁進行了研究。他們發現所謂的“補丁門”:在一些情況下部分廠商會通知用戶已經安裝了所有特定日期發布的安全補丁,但實際上并未提供這項服務,只是虛假的通知,因此這些設備非常容易受到黑客的攻擊。
“我們發現,實際修補和廠商聲稱已經完成修復之間的漏洞數量存在差別。”著名安全研究人員、SRL創始人Nohl表示。他說,最糟糕的情況下,Android手機制造商會故意篡改設備上次修復漏洞的時間。“有些廠商會在未安裝補丁的情況下更改系統更新日期。出于營銷的原因,他們只是將補丁的安裝日期設置為特定時間,只是追求看起來很安全而已。”
選擇性忽略
SRL在2017年統計了Android系統的每一次安全更新,測試了來自于十幾家智能手機廠商超過1200部手機的固件,這些設備來自于谷歌、三星、摩托羅拉、HTC等主流Android手機廠商以及中興、TCL等新興制造商。他們發現,除了谷歌自己的Pixel和Pixel 2等機型之外,就算是國際頂級廠商有時也會謊稱自己為產品安裝了實際上并未發布的補丁更新。而二三線廠商的記錄則更加糟糕。
Nohl指出,這是一種比放棄更新后果更嚴重的行為,并且已經成為了智能手機領域中常見的現象。在其實并未采取任何行動的情況下告訴用戶修復了漏洞,為用戶營造出了一種“虛假”的安全感。Nohl說:“我們發現有幾家廠商并未安裝某些補丁,但卻修改系統最后更新的日期,這是一種故意欺騙的行為,但并不普遍。”
Nohl認為,更常見的情況是像索尼或三星這樣的頂級廠商,會因為某些意外錯過一兩個補丁更新。但在不同的機型身上,卻出現了不同的情況:比如三星的2016款Galaxy J5機型,就會非常清晰的告訴用戶已經安裝了哪些補丁、哪些補丁沒有更新。但在2016款Galaxy J3的身上,三星聲稱所有補丁都已經發布,但經過調查發現依然缺少了12個非常關鍵的更新。
“考慮到這是一種隱性機型差異,用戶幾乎不可能了解自己實際上究竟安裝了哪些更新,”Nohl說。為了解決這種補丁更新缺乏透明度的情況,SRL Labs還發布了一項針對旗下Android平臺SnoopSnitch應用的更新,用戶可以輸入自己的手機代碼,隨時查看安全更新的真實狀況。
不同廠商情況不同
在對每個供應商的產品進行評估之后,SRL Labs制作了下面這組圖表,將智能手機廠商分成了三個類別,分類的依據為各自在2017年對外宣和實際安裝補丁數的匹配程度,包括在2017年10月或之后至少收到一次更新的機型。包括小米、諾基亞在內的主要安卓廠商,平均有1到3個補丁“丟失”,而HTC、摩托羅拉、LG和華為有3到4個補丁“丟失”,TCL和中興排名最后,丟失的補丁數超過4個。而谷歌、索尼、三星等錯過的補丁更新數量小于等于1。
SRL還指出,芯片供應商是補丁缺失的一個原因。比如使用三星芯片的機型很少會出現悄悄忽略更新的問題,而使用聯發科芯片的設備,平均補丁缺失高達9.7個。在某些情況下,很有可能就是因為由于使用了更廉價的芯片,補丁缺失的概率就更高。還有一種情況就是因為漏洞出現在芯片層面而并非系統層面,因此手機制造商要依賴芯片廠商才會完成進一步更新。結果是從低端供應商那里采購芯片的廉價智能手機也延續了“補丁缺失”的問題。“經過我們的驗證,如果你選擇了一款比較便宜的產品,那么在安卓生態系統中,就會處于一個比較不受重視的地位。”Nohl表示。
在《連線》雜志聯系谷歌后,谷歌對SRL的研究表示贊賞,但同時回應指出,SRL分析的部分設備可能并沒有經過安卓系統認證,這意味著它們并不受谷歌安全標準的限制。谷歌表示,安卓智能手機有安全功能,就算在沒有補丁的情況下,安全漏洞也很難被破解。在某些情況下,之所以會出現“補丁丟失”的問題,是因為手機廠商只是將某種易受攻擊的功能簡單的移除而不是修復,或者某些手機在一開始就沒有這項功能。
谷歌表示將與SRL Labs合作,進一步進行深入調查。“安全更新是保護Android設備和用戶的眾多層級之一,”Android產品安全主管Scott Roberts在《連線》雜志上發表聲明。“系統內置的平臺保護系統,比如應用程序沙盒和Google Play Protect安全服務也同樣重要。這些多層次的安全手段,再加上Android生態系統的多樣性,讓研究人員得出了這樣的結論,即Android設備的遠程開發仍然充滿了挑戰性。”
為了回應谷歌針對廠商由于移除了易受攻擊的功能而導致補丁缺失的結論,Nohl反駁稱,這種情況并不常見,發生的概率并不大。
補丁缺失影響有限
不過讓人意外的是,Nohl對谷歌的另一個說法表示同意:通過利用缺失的補丁對Android手機進行攻擊,其實并不是一件容易的事情。甚至一些沒有更新補丁的Android手機在系統更廣泛的安全措施保護下,惡意軟件依然難以對漏洞加以利用,像從Android 4.0 Lollipop開始出現的沙盒等功能,限制了惡意程序訪問設備概率。
這就意味著大多數的黑客如果利用某個所謂的“漏洞”來獲得Android設備的控制權,需要利用一系列的漏洞,而不僅僅只是因為缺失一個補丁而攻擊成功。Nohl表示:“即使錯過了某些補丁,依然可以依靠系統其它的安全特性抵御大部分的攻擊。”
因此,Nohl表示,Android設備更容易被一些比較簡單的方式破解,比如在Google Play商店中出現的那些惡意應用,或者在非官方應用商店安裝的App。Nohl說:“用戶安裝了盜版或惡意軟件,就更容易成為黑客攻擊的目標。”
