前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >HITB2018 | 安卓厂商隐藏的事实:安全补丁的更新部署并不真实完整

HITB2018 | 安卓厂商隐藏的事实:安全补丁的更新部署并不真实完整

作者头像
FB客服
发布2018-04-17 17:20:36
7910
发布2018-04-17 17:20:36
举报
文章被收录于专栏:FreeBuf

HITB AMS 2018 安全会议 4 月 12 日至 4 月 13 日在荷兰阿姆斯特丹举办。来自德国安全研究实验室的的研究员,在议题分享环节会公开一项让人惊讶的发现——他们逆向分析了数百款安卓手机,发现许多安卓手机厂商并不会向用户提供补丁程序,或者会推迟补丁的发布时间。部分厂商深知会在跳过安全补丁的事实之下,告诉用户“现在的固件已经是最新状态”。

阿姆斯特丹举行的 Hack in the Box 安全会议上,研究人员 Karsten Nohl 和 Jakob Lell 详细展示了他们在过去两年中对数千部 Android 手机操作系统代码进行逆向工程的结果。

他们精心检查每个设备在设置中显示的安全补丁,并分析厂商声称的情况与实际的差距(“补丁差距”):显然,存在大补丁差距的手机很容易受到众多已知黑客技术的攻击。

我们发现漏洞修复版本声明与设备上安装的实际修补程序之间存在差距。 在最糟糕的情况下,我们认为一些 Android 手机制造商有意歪曲了设备修补的最新时间。 他们只是在没有安装任何补丁的情况下更改修复日期,也许是出于营销的原因。

手机厂商故意的欺骗行为

SRL 针对 2017 年发布的 Android 补丁,对来自十多家手机制造商的 1200 部手机固件进行了测试。

他们在测试发现,除了像 Pixel 和 Pixel 2 设备之外,顶级厂商的设备有时也会存在声称“补丁差距”,而较低级别的制造商的记录却非常混乱。

Nohl 表示,厂商的“补丁差距”的欺诈问题比供应商忽视修补更为严重。 厂商通过修改补丁日期,带给用户的只是虚拟的安全感。普通用户几乎不可能了解自己的设备上究竟真实安装了哪些补丁。

为了解决补丁透明度缺失的问题,SRL Labs 还发布了一款名为 Android SnoopSnitch 的应用更新版本,可以检查手机固件代码获取安全更新的实际情况。

四个梯队:厂商在安全补丁上的诚实度

在为每个手机厂商进行测试之后,SRL 实验室按照 2017 年安全补丁的 厂商诚实度 将其分为三类。

主要的安卓厂商品牌如小米、诺基亚 处在第二梯队,仅平均缺少 1 至 3 个补丁; 而像 HTC 、华为、摩托罗拉和 LG 等主要厂商缺失补丁约为 3 至 4 个; 而名单上表现最差的则是 TCL 和中兴,厂商声称已经安装了,而实际没有的补丁超过 4 个。

同时,SRL也指出这个问题发生的原因也可能在于芯片供应商方面未能提供补丁。

在三星的手机上,自带处理器的手机很少发生补丁跳过的情况,而使用联发科芯片的手机则平均缺少 9.7 个补丁。

Google 对 SRL 的研究表示赞赏,但指出其分析的部分设备可能并未得到 Android 安全认证、或者没有遵从该公司的安全标准。但由于 Google 部署了众多安全措施,他们认为某些未打补丁的设备仍然难以被破解。他们表示自己会与 SRL 展开深入调查合作。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2018-04-13,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 手机厂商故意的欺骗行为
  • 四个梯队:厂商在安全补丁上的诚实度
相关产品与服务
脆弱性检测服务
脆弱性检测服务(Vulnerability detection Service,VDS)在理解客户实际需求的情况下,制定符合企业规模的漏洞扫描方案。通过漏洞扫描器对客户指定的计算机系统、网络组件、应用程序进行全面的漏洞检测服务,由腾讯云安全专家对扫描结果进行解读,为您提供专业的漏洞修复建议和指导服务,有效地降低企业资产安全风险。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档