一些 Android OEM 厂商在安全更新方面对用户撒了谎

  • 佐嗣晏
  • 发表   2018-4-13 10:50
  • 查看: 2528| 评论 |原作者: 佐嗣晏
Android 平台的安全更新一直是一团糟,尽管谷歌已经在努力提高安全性并为 OEM 厂商和用户提供更便利的更新方式,但大部分 OEM 厂商就是跟不上谷歌的进度。现在还有更糟的消息,根据媒体报道,一部分 OEM 厂商的安全 ...
pixel_2_xl_update_screen_1.jpg




Android 平台的安全更新一直是一团糟,尽管谷歌已经在努力提高安全性并为 OEM 厂商和用户提供更便利的更新方式,但大部分 OEM 厂商就是跟不上谷歌的进度。现在还有更糟的消息,根据媒体报道,一部分 OEM 厂商的安全更新只是假装自己是最新的,实际上并没有增加对应的更新内容。

WIRED 在一篇报道中引用了一个安全实验室的研究结果:他们花了两年时间跟踪 Android 的安全更新,并准备在阿姆斯特丹的某个活动中提交他们的调查结果。

谷歌一直在改进 Android 操作系统的每月安全补丁,为了方便用户们检查他们的安全级别,Android 在设置中添加了一个方便的功能,可以让用户看到安全补丁的更新日期。而研究人员则花时间逐一查证这些应用于设备的补丁是否和谷歌推出的更新相吻合。

简而言之,各个 Android OEM 的做法让人们非常失望。研究人员在各 OEM 厂商推送的不定中找到了大量的“间隙”,更新了 OEM 厂商推送的安全更新的设备的确会显示安全更新的日期是最新的,但更新的内容却可以缺少很多。


security_patch_srl_1.jpg

在这一点上,OEM厂商无疑欺骗了自己的用户;甚至有极少数 OEM 厂商实际上没有给用户的手机里安装任何更新,只是单纯地把安全补丁的日期修改成了最新。

研究人员简单地认为,绝大部分情况下,这些缺失的补丁只是偶然被遗漏了,这可以理解,因为有的更新中会有非常多的补丁。另一个原因则可能和设备的芯片有关,研究人员发现使用联发科芯片的设备平均缺少 9.7 个补丁,而使用高通芯片的只缺少 1.1 个补丁。

但不论原因为何,这仍然是一个相当严重的问题,这意味着我们手机里现在显示的安全更新级别无法反映手机的实际安全级别。谷歌已经就这个问题做出回应,指出研究人员可能用了未经认证的设备进行测试,而这些设备的安全程度较;谷歌认为缺少特定的补丁是因为某些设备并没有受威胁,又或者这些设备选择直接删除有安全隐患的功能。



Source: 9to5Google


加pixel中文网官方微信公众账号,扫描下图或者搜索"pixel中文网"关注!

最新评论

返回顶部