HITB2018 | 安卓厂商隐藏的事实:安全补丁的更新部署并不真实完整

HITB AMS 2018 安全会议 4 月 12 日至 4 月 13 日在荷兰阿姆斯特丹举办。来自德国安全研究实验室的的研究员,在议题分享环节会公开一项让人惊讶的发现——他们逆向分析了数百款安卓手机,发现许多安卓手机厂商并不会向用户提供补丁程序,或者会推迟补丁的发布时间。部分厂商深知会在跳过安全补丁的事实之下,告诉用户“现在的固件已经是最新状态”。

阿姆斯特丹举行的 Hack in the Box 安全会议上,研究人员 Karsten Nohl 和 Jakob Lell 详细展示了他们在过去两年中对数千部 Android 手机操作系统代码进行逆向工程的结果。

他们精心检查每个设备在设置中显示的安全补丁,并分析厂商声称的情况与实际的差距(“补丁差距”):显然,存在大补丁差距的手机很容易受到众多已知黑客技术的攻击。

我们发现漏洞修复版本声明与设备上安装的实际修补程序之间存在差距。 在最糟糕的情况下,我们认为一些 Android 手机制造商有意歪曲了设备修补的最新时间。 他们只是在没有安装任何补丁的情况下更改修复日期,也许是出于营销的原因。

手机厂商故意的欺骗行为

SRL 针对 2017 年发布的 Android 补丁,对来自十多家手机制造商的 1200 部手机固件进行了测试。

他们在测试发现,除了像 Pixel 和 Pixel 2 设备之外,顶级厂商的设备有时也会存在声称“补丁差距”,而较低级别的制造商的记录却非常混乱。

Nohl 表示,厂商的“补丁差距”的欺诈问题比供应商忽视修补更为严重。 厂商通过修改补丁日期,带给用户的只是虚拟的安全感。普通用户几乎不可能了解自己的设备上究竟真实安装了哪些补丁。

为了解决补丁透明度缺失的问题,SRL Labs 还发布了一款名为 Android SnoopSnitch 的应用更新版本,可以检查手机固件代码获取安全更新的实际情况。

四个梯队:厂商在安全补丁上的诚实度

在为每个手机厂商进行测试之后,SRL 实验室按照 2017 年安全补丁的 厂商诚实度 将其分为三类。

主要的安卓厂商品牌如小米、诺基亚 处在第二梯队,仅平均缺少 1 至 3 个补丁; 而像 HTC 、华为、摩托罗拉和 LG 等主要厂商缺失补丁约为 3 至 4 个; 而名单上表现最差的则是 TCL 和中兴,厂商声称已经安装了,而实际没有的补丁超过 4 个。

同时,SRL也指出这个问题发生的原因也可能在于芯片供应商方面未能提供补丁。

在三星的手机上,自带处理器的手机很少发生补丁跳过的情况,而使用联发科芯片的手机则平均缺少 9.7 个补丁。

Google 对 SRL 的研究表示赞赏,但指出其分析的部分设备可能并未得到 Android 安全认证、或者没有遵从该公司的安全标准。但由于 Google 部署了众多安全措施,他们认为某些未打补丁的设备仍然难以被破解。他们表示自己会与 SRL 展开深入调查合作。

本文分享自微信公众号 - FreeBuf(freebuf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-04-13

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏区块链

为什么我用胶布贴住了所有电子产品的摄像头和麦克风

看过英剧《黑镜》的人,应该都知道,它专门探讨科技“黑”的那一面。 比如第三季第三集《Shut Up and Dance》,讲的就是关于“摄像头”的故事。关于剧本...

38380
来自专栏开源项目

码云高校版全新上线,多种教学场景全面升级!

21630
来自专栏企鹅号快讯

微信上线小游戏:对流量基础入口应用商店革命

游戏开发者可以在微信公众平台上查阅小游戏开发文档,下载最新版的开发者工具。 文|张淇 “小程序游戏以及后续其他大流量平台推出的H5类游戏,将会是所有游戏的必然配...

22950
来自专栏带你撸出一手好代码

信息碎片的收集与整理

智能手机大行其道, 我们平时通过手机和网络接触到大量的信息, 但是这类信息很难对我们起到实际的帮助,人的大脑记忆力是有限的, 信息量越多越杂, 在我们大脑之中停...

416110
来自专栏区块链

如何保护自己的网络信息安全

近年来,在智能生活概念兴起的同时,关于网络信息安全的违法案例也是屡见不鲜。中南大的仙女特别多,那么保护自己的隐私安全无疑是重中之重。君不见:女生女生请学长帮忙修...

39280
来自专栏腾讯数据中心

Google,Intel正推动服务器向48V发展

2016年的DesignCon大会上Google和Intel的代表以及他们电源供应商在小组讨论上透露出,Google公司一直在呼吁业界采用48V输入的服务器主板...

37230
来自专栏CSDN技术头条

实习申请被Apple Music拒了之后,我重新设计它

Jason Yuan,美国西北大学一名大学生,今年早些时候申请了Apple Music平面设计实习生。被拒后,花费了近3个月时间,重新设计了Apple Musi...

29360
来自专栏机器人网

模仿“肠蠕动”,日本新型机器人更安全地制造火箭燃料

据外媒报道,现在常用的火箭燃料要体积小,重量轻,但发出的热量要大,这样才能减轻火箭的重量 , 使卫星(飞船)快速地送上轨道。在固体燃料的制造过程中,由于需要混合...

38460
来自专栏程序员宝库

法国政府搞的一个软件项目,坑出新境界

【编者按】:很多软件项目开发时间大大超出了规划的时间,投入大量资金和人力,都没有实在的结果。如果你讨厌你的编程工作,请认真阅读这篇 2008 年的文章吧。法国科...

16530
来自专栏我就是马云飞

移动开发死亡潮来了!!!

我预计在接下来的3-7年中,大多数的移动应用都会消亡。在这个过程中,我们将目睹数十亿投入到移动创业板块的风险投资将惨遭损失。这些资金都会化为灰烬,不剩下任何东西...

10520

扫码关注云+社区

领取腾讯云代金券