軟體更新速度太慢,一直是過去Android手機被人詬病的問題,安全研究實驗室(SRL)花了兩年的時間、研究了1200部手機後,意外發現了Android系統安全補丁(修補程式)的亂象,許多手機製造商不僅沒有即時推送Google發布的安全補丁,甚至還有部分廠商說謊,告訴用戶軟體已經更新,事實上卻遺漏了關鍵的安全補丁。
部分手機廠商未完整推送安全補丁
手機的安全絕對是所有體驗最重要的關鍵,過去Google一直都呼籲市面上的Android手機製造商,可以定期向用戶推送安全補丁更新。
但安全研究實驗室(SRL)花了兩年的時間研究1200台,包括Google、三星、HTC、摩托羅拉(Motorola)、中興通訊、TCL等品牌的手機,發現像Google、三星、Sony這類品牌的旗艦手機,偶爾會出現遺漏少數安全補丁的狀況,小米、Nokia、華為、HTC、LG、摩托羅拉等其他品牌,則缺少2~4個不等的安全補丁。
研究中也提到,許多公司對於更新的內容並不坦承,除了推送補丁有延遲的狀況,甚至有時會告訴用戶軟體已經更新到最新版本,實際上卻偷偷遺漏關鍵的安全補丁。研究人員表示:「 雖然補丁占軟體的份額很小,但對手機安全卻是至關重要,許多Android手機廠商只不過在推送軟體時更改了日期,但實際上根本不包括補丁。 」
不論遺漏安全補丁是否為有意的,研究人員認為假裝安裝補丁的情況非常不可取,會因此讓顧客陷入以為自己得到充分保護的虛假感,甚至可能會引發災難性的安全後果。 為了杜絕類似情況,SRL推出一款叫「SnoopSnitch」的工具,透過查看手機代碼,來檢測Android硬體是否有遺漏安全補丁。
Google認為本身保護機制已完備
Google表示,他們正與SRL實驗室針對個案進行調查,認為部分遺漏安全補丁的手機,可能不是Android認證的裝置,才會沒受到Google安全機制的管控。
同時也談到,透過安全更新保護Android設備只是眾多層面之一,Android手機還有像是應用程式沙盒、手機防毒等保護機制,都能阻擋惡意軟體入侵,因此就算少安裝了一兩個安全補丁,對安全防護也不會構成過大威脅,認為Android手機並沒有那麼容易被破解。
但研究人員仍呼籲,其實每款補丁都是一層潛在保護,用戶仍必須安裝所有補丁,不要讓駭客有機會入侵,而手機製造商就算沒能即時推播所有可更新的補釘,也應該誠實而不是欺騙用戶。
資料來源:The Verge、TechCrunch、Wired
