Android
一部分安卓厂商在更新安全补丁上对用户撒了谎
安卓手机更新不及时都是老生常谈了——谷歌最新版本在2月份更新,而现在只有 1.1% 的安卓用户能够得到最新版本的硬件——而且,安卓手机的更新问题不仅于此。据安全研究实验室(Security Research Labs )称,许多安卓厂商在安全补丁的问题上对用户撒谎了。
credit:123RF
SRL的研究员Karsten Nohl 和 Jakob Lell 花了两年时间研究安卓设备,主要检查手机是否像软件显示的那样安装了安全补丁。这两个人发现,许多设备都有所谓的“patch gap”,就是说你看着软件上说安全补丁是最新的,实际上,手机真正的补丁版本和显示的补丁版本差了十几个版本。
补丁缺失不是一个孤例,据《连线》杂志报道,SRL 测试了来自谷歌、三星、HTC、摩托罗拉、中兴、TCL 的 1200 部手机,去年一年每一个固件版本都进行过测试。他们发现,即便是三星索尼的旗舰机型,都有补丁缺失的问题。
显而易见,这不是什么好事。不管是不是故意的,消费者都不应该因为安全补丁不及时而暴露在危险之中。他们也不应该有一种错误的安全感,觉得自己处在保护中,这样只会让导致更多灾难发生。为了改变局面,SRL 在 Play Store 里上架了一个 SnoopSnitch,可以分析你手机的固件有没有打上最新的安全补丁,不过事情一开始就不应该是这样。
谷歌方面已经对《连线》杂志回复到:「我们已经对该问题和每一个 OEM 启动了调查,保证认证的设备符合要求。」并表示,未来会有进一步的调查。同时解释说,SRL 发现的部分案例是因为一个已经被去除的特性导致的,另外还有一部分手机一开始就没有官方的安卓安全认证。但一件事是肯定的——我们需要做的还有很多。
如果一个安卓厂商不能及时更新手机,最起码他应该对消费者保持诚实。
附一则谷歌发表是声明:
我们感谢 Karsten Nohl 和 Jakob Kell 为安卓生态的安全做出的不懈努力。我们目前正在进行合作以探明现在安全补丁不及时的情况有多严重。安全更新是众多保护安卓设备和用户的手段之一。内建的保护机制,如应用沙盒、安全服务、还有 Google Play 保护都很重要。安全层级的多样性和安卓生态的多样性共同促成了安全补丁的问题。
