更新不完全?研究发现Android手机安全补丁常有遗漏
▲研究发现 Android 手机安全补丁常有遗漏。(图/翻摄 engadget)
安装完更新后,手机显示「已更新至最新版本」,但你知道吗?手机可能有几个档案没有被安装。《Wired》研究发现,Android 手机有暗自忽略安全补丁的倾向,纵使是三星、Sony 等手机大厂,偶尔也会漏掉部分安全性更新,少了 Google 提供的软体更新,使使用者深陷安全危机。
安全研究实验室(SRL)实际测试 Google、三星、Sony、华为、Motorola、LG 等各大手机品牌 1200 支手机,结果发现手机宣称安全更新与实际安装的有所落差,中国的 TCL、ZTE 每次更新都会漏掉 4 个档案以上,HTC、华为、LG、Motorola 则是平均 4 个,既使是 Sony、三星等大品牌偶尔也会漏掉,例如 2016 年推出的 J5 与 J 3 尽管都安装相同的安全性更新,实际上只有 J5 如实安装,J3 却有 12 个档案没有安装。
▲SRL 列出每次更新各厂牌平均的遗漏档案数量。(图/翻摄 WIRED)
SRL 团队认为,关键可能在于手机使用的芯片品牌,三星制的很少漏掉,但若是联发科芯片每次更新几乎会遗失 10 个补丁,研究人员 Karsten Nohl 表示「这给我们的教训就是,如果购买便宜的设备,系统的维护可能就会不够好。」
Google 对此则回应,SRL 所分析的设备有些可能没有通过 Android 认证,不符合 Google 的安全标准,此外现在的 Android 手机具有许多安全功能,既使真的有未安装的补丁,同样难破解,且在某些情况下,手机设备本身没有该项更新功能,所以厂商会删除容易遭到攻击的档案。
Nohl 表示,他认同 Google 的回应,接受《Wired》采访时说明,要针对遗失的安全补丁进行骇客攻击并不容易,Android 有很多安全措施,要想取得手机的操控权,透过手机软体的漏洞可能比补丁还要快速,最简单的方式就是在 App 中植入恶意程式,并放上 Google Play 供用户下载。