長(zhǎng)期以來(lái)，谷歌始終在努力推動(dòng)數(shù)十家Android智能手機(jī)制造商以及數(shù)百家運(yùn)營(yíng)商定期推出以安全為重點(diǎn)的軟件更新。但是，當(dāng)?shù)聡?guó)安全公司——安全研究實(shí)驗(yàn)室（Security Research Labs）對(duì)數(shù)百部Android手機(jī)進(jìn)行調(diào)查時(shí)，發(fā)現(xiàn)了一個(gè)令人極為不安的新問(wèn)題：許多Android手機(jī)供應(yīng)商不僅沒(méi)有為用戶提供安全補(bǔ)丁，或者延遲數(shù)月發(fā)布補(bǔ)丁，有時(shí)還會(huì)向用戶撒謊，告訴他們手機(jī)固件是最新的，即使他們偷偷地跳過(guò)了安全更新。

圖：最新研究發(fā)現(xiàn)，Android手機(jī)制造商不只是安全更新緩慢，有時(shí)候甚至還會(huì)謊稱打了補(bǔ)丁

在阿姆斯特丹舉行的Hack in the Box安全會(huì)議上，安全研究實(shí)驗(yàn)室的研究人員卡爾斯滕·諾爾（Karsten Nohl）和雅各布·萊爾（Jakob Lell）計(jì)劃介紹最新研究結(jié)果，這是他們歷時(shí)兩年、對(duì)數(shù)以百計(jì)的Android手機(jī)操作系統(tǒng)代碼進(jìn)行的逆向工程，他們煞費(fèi)苦心地檢查每部設(shè)備是否都包含了安全補(bǔ)丁。他們發(fā)現(xiàn)了所謂的“補(bǔ)丁缺口”：在許多情況下，某些廠商的手機(jī)會(huì)告訴用戶他們所有安卓系統(tǒng)都安裝了迄今最新的安全補(bǔ)丁，而實(shí)際上卻缺少數(shù)十個(gè)補(bǔ)丁，導(dǎo)致手機(jī)非常容易受到廣泛的已知黑客技術(shù)攻擊。

諾爾是著名安全研究員、安全研究實(shí)驗(yàn)室創(chuàng)始人，他說(shuō)：“在補(bǔ)丁發(fā)布和設(shè)備上實(shí)際安裝的補(bǔ)丁之間存在著巨大差距。有些設(shè)備差距較小，而其他設(shè)備則相當(dāng)大。在最糟糕的情況下，Android手機(jī)制造商在設(shè)備最后被打補(bǔ)丁時(shí)故意歪曲事實(shí)。有時(shí)候，這些廠商在未安裝更新補(bǔ)丁的情況下更改日期?？赡苁怯捎谑袌?chǎng)原因，他們可將補(bǔ)丁更新設(shè)置為幾乎任意日期?！?/p>

在2017年發(fā)布的每個(gè)Android補(bǔ)丁中，安全研究實(shí)驗(yàn)室測(cè)試了來(lái)自數(shù)十家手機(jī)制造商的1200部手機(jī)固件，包括谷歌自身的手機(jī)，三星、摩托羅拉、HTC等主要Android手機(jī)制造商，以及中興和TCL等不太知名的中國(guó)公司。他們的測(cè)試發(fā)現(xiàn)，除了谷歌自己的旗艦手機(jī)，如Pixel和Pixel 2，即使是頂級(jí)手機(jī)供應(yīng)商有時(shí)也慌稱自己安裝了補(bǔ)丁，而更低層次的制造商則有更混亂的記錄。

諾爾指出，這一問(wèn)題比廠商僅僅忽視為舊設(shè)備打補(bǔ)丁更糟糕，后者已經(jīng)是一種常見(jiàn)現(xiàn)象。相反，他們告訴用戶自己已經(jīng)安裝了最新安全補(bǔ)丁，盡管實(shí)際上并沒(méi)有安裝，從而創(chuàng)造出一種虛假的安全感。諾爾說(shuō):“我們發(fā)現(xiàn)幾家供應(yīng)商沒(méi)有安裝任何補(bǔ)丁，只是將補(bǔ)丁日期推后了幾個(gè)月。這是一種故意欺騙，幸好并不常見(jiàn)。”

諾爾認(rèn)為，更常見(jiàn)的情況是，像索尼或三星這樣的公司可能偶爾會(huì)錯(cuò)過(guò)一兩個(gè)補(bǔ)丁。但是在其他情況下，結(jié)果卻難以解釋?zhuān)喊踩芯繉?shí)驗(yàn)室發(fā)現(xiàn)三星手機(jī)2016 J5，非常坦誠(chéng)告訴用戶哪些補(bǔ)丁已經(jīng)安裝，哪些仍然缺乏。而三星2016 J3聲稱，它已經(jīng)安裝了2017年發(fā)布的所有Android補(bǔ)丁，但實(shí)際上缺少12個(gè)，其中2個(gè)被視為手機(jī)安全的“關(guān)鍵”。

鑒于這種隱藏的不一致性，諾爾說(shuō)：“用戶幾乎不可能知道實(shí)際安裝了哪些補(bǔ)丁?！睘榱私鉀Q這個(gè)補(bǔ)丁丟失的問(wèn)題，安全研究實(shí)驗(yàn)室還發(fā)布了一個(gè)Android應(yīng)用SnoopSnitch更新，它將允許用戶查看手機(jī)代碼，以了解其安全更新的實(shí)際狀態(tài)。

在對(duì)每家供應(yīng)商的幾乎所有手機(jī)進(jìn)行測(cè)試后，安全研究實(shí)驗(yàn)室制作了以下圖表，根據(jù)供應(yīng)商宣稱的補(bǔ)丁安裝情況與事實(shí)是否相符將它們分成三類(lèi)。包括小米和諾基亞在內(nèi)的主要Android廠商，手機(jī)平均有1到3個(gè)丟失的補(bǔ)丁，而像HTC、摩托羅拉和LG這樣的主要供應(yīng)商，丟失有3到4個(gè)補(bǔ)丁。但榜單上表現(xiàn)最差的公司是中國(guó)的TCL和中興，這些公司的手機(jī)平均丟失的補(bǔ)丁在4個(gè)以上。

圖注：wiko是深圳天瓏移動(dòng)控股，在法國(guó)注冊(cè)的手機(jī)品牌，份額在法國(guó)名列第二。

安全研究實(shí)驗(yàn)室還指出，芯片供應(yīng)商可能也是廠商錯(cuò)過(guò)安全補(bǔ)丁的推手：雖然使用三星處理器的手機(jī)很少會(huì)悄無(wú)聲息地跳過(guò)安全更新，但使用臺(tái)灣聯(lián)發(fā)科(MediaTek)芯片的手機(jī)平均卻缺少9.7個(gè)補(bǔ)丁。在某些情況下，這可能是因?yàn)楦阋说氖謾C(jī)更容易跳過(guò)補(bǔ)丁，而且它們更傾向于使用便宜的芯片。

但在其他情況下，這是因?yàn)樵谑謾C(jī)芯片中發(fā)現(xiàn)了缺陷，而不是在其操作系統(tǒng)中，而手機(jī)制造商則依賴芯片制造商提供補(bǔ)丁。因此，從低端供應(yīng)商那里獲得芯片的廉價(jià)手機(jī)，會(huì)繼承這些供應(yīng)商錯(cuò)過(guò)的安全更新。諾爾說(shuō)：“我們的經(jīng)驗(yàn)是，如果你選擇更便宜的設(shè)備，你最終在這個(gè)生態(tài)系統(tǒng)中得到的服務(wù)可能也不會(huì)太好?！?/p>

當(dāng)《連線》雜志與谷歌聯(lián)系時(shí)，該公司表示感謝安全研究實(shí)驗(yàn)室的研究，但其回應(yīng)指出，安全研究實(shí)驗(yàn)室分析的部分設(shè)備可能不是Android認(rèn)證的設(shè)備，這意味著它們沒(méi)有被谷歌的安全標(biāo)準(zhǔn)所控制。他們指出，現(xiàn)代Android手機(jī)有安全功能，即使它們有未修補(bǔ)的安全漏洞，也很難破解。谷歌認(rèn)為，在某些情況下，設(shè)備可能會(huì)丟失一些補(bǔ)丁，因?yàn)槭謾C(jī)廠商只是簡(jiǎn)單地從手機(jī)上移除一個(gè)易受攻擊的功能，而不是修補(bǔ)它，或者手機(jī)根本就沒(méi)有這個(gè)功能。

谷歌還表示，他們正在與安全研究實(shí)驗(yàn)室合作，進(jìn)一步調(diào)查研究結(jié)果。安卓產(chǎn)品安全主管斯科特·羅伯茨(Scott Roberts)補(bǔ)充說(shuō)：“安全更新只是保護(hù)Android設(shè)備和用戶的眾多層面之一，內(nèi)置的平臺(tái)保護(hù)（如應(yīng)用程序沙箱）和安全服務(wù)（如Google Play Protect）同樣重要。這些安全層結(jié)合了Android生態(tài)系統(tǒng)的巨大多樣性，使得研究者們得出結(jié)論，Android設(shè)備的遠(yuǎn)程開(kāi)發(fā)仍然具有挑戰(zhàn)性?！?/p>

對(duì)于谷歌斷言“有些補(bǔ)丁可能是不必要的，因?yàn)榇伺e幫助手機(jī)移除了易受攻擊的特性，或者為了響應(yīng)某個(gè)漏洞而被刪除”，諾爾反駁說(shuō)：“這些情況非常罕見(jiàn)，這絕對(duì)不是常態(tài)?！?/p>

更令人驚訝的是，諾爾同意谷歌的另一個(gè)主要觀點(diǎn)：利用他們丟失的補(bǔ)丁來(lái)破解Android手機(jī)遠(yuǎn)比聽(tīng)起來(lái)難。即使Android手機(jī)沒(méi)有堅(jiān)實(shí)的補(bǔ)丁記錄，但它們?nèi)匀皇芤嬗贏ndroid更廣泛的安全措施，如地址空間布局隨機(jī)化（ASLR，即通過(guò)隨機(jī)化軟件加載特定代碼的內(nèi)存地址防止攻擊者利用軟件漏洞悄悄安裝惡意程序）和沙盒（限制惡意程序訪問(wèn)設(shè)備其他空間）。

這意味著，需要利用手機(jī)軟件中一系列漏洞來(lái)完全控制目標(biāo)Android手機(jī)的大多數(shù)黑客技術(shù)，也就是所謂的“攻擊”可能會(huì)無(wú)效。諾爾說(shuō)：“即使你錯(cuò)過(guò)了某些補(bǔ)丁，很有可能它們并不是按照某種方式排列的，這樣黑客就無(wú)法利用它們。結(jié)果，Android手機(jī)反而更容易被更簡(jiǎn)單的方式所攻擊，即那些在谷歌Google Play中找到或者誘使用戶從應(yīng)用店外其他來(lái)源安裝它們的流氓軟件。只要人類(lèi)繼續(xù)容易上當(dāng)，安裝免費(fèi)或盜版軟件，罪犯就可能會(huì)堅(jiān)持下去?！?/p>

然而，由國(guó)家資助的黑客在Android設(shè)備上進(jìn)行更有針對(duì)性的攻擊可能是另一回事。在大多數(shù)情況下，諾爾認(rèn)為他們可能使用的是“零日漏洞”（即被秘密破解的漏洞，尚沒(méi)有補(bǔ)丁存在），而不是已知但未被修補(bǔ)的漏洞。不過(guò)在許多情況下，他們也可能會(huì)使用已知的、尚未修補(bǔ)的手機(jī)漏洞，并將其與“零日漏洞”相結(jié)合。諾爾舉了一個(gè)例子，間諜軟件FinFisher利用了已知的Android漏洞Dirty COW以及其發(fā)現(xiàn)的“零日漏洞”。

諾爾引用了“深度防御”的安全原則，即在多層中最有效地部署安全。每個(gè)錯(cuò)過(guò)的補(bǔ)丁都意味著少了一層潛在保護(hù)。他說(shuō)：“你永遠(yuǎn)不應(yīng)該留下公開(kāi)漏洞讓攻擊者有機(jī)可乘，深度防御意味著安裝所有補(bǔ)丁?！?/p>