手机上每过一段时间都会收到系统更新的提示,新版本的系统是在原先系统上做出改进从而让手机更好的工作,而近期的一项调查却将矛头指向了安卓:Android 手机厂商在安全更新推送这件事情上或许只是在「改版本号」,除了变变数字,实质的安全漏洞修补工作并没有做到位。那我们平时做的系统更新是白更了?
国内用户对 Android 系统的安全更新可能比较陌生,相比之下,我们更加在意厂商为系统带来的功能更新和稳定性提升,因此厂商也鲜有在更新日志中提及安全更新的。
但只要我们打开 Android 手机的系统设置,能看到这项名为「Android 安全补丁程序级别」的系统信息。它以日期的形式显示,距离当前日期越近则安全更新补丁程序版本越新。
安全更新补丁程序版本
这些安全更新补丁主要来源于 Android 开放源代码项目(AOSP)、上游 Linux 内核和系统芯片(SOC) 制造商,可以从硬件和软件层面保证 Android 设备不受最新安全漏洞的影响。因此,Google 在向自家设备推送安全更新的时也会公布对应的 安全更新公告,方便用户获知具体的修复内容同时方便其他厂商进行跟进。
Google 安全更新公告截图
部分厂商甚至能够提前一个月从 Google 那里获知这些安全漏洞,根据 AOSP 源码以及安全更新公告中给出的补丁程序链接,他们可以结合实际情况及时合并这些安全更新来保证自己的用户不受漏洞影响。
显然,安全更新的跟进越及时越好。
Android 的安全更新和 Android 系统版本并无必然关联。
以 Google 为例,Nexus 和一代 Pixel 设备的 Android 版本更新周期为两年,但他们自首次在 Google 商店上架的三年内或从 Google 商店下架后的至少 18 个月里,都会收到安全更新(以时间较长者为准)。这些安全更新的推送频率为每月一次,一般在每个月的第一个星期一向用户分发。
也就是说,即便在系统版本停止更新的前提下,厂商也能够甚至应该向用户提供安全更新补丁来保证用户设备的安全性。
这也是此次事件受到外媒和 Google 关注的原因所在,从某种程度上来说,第一时间为自家 Android 设备提供安全更新体现的是厂商对用户的责任感。
但受到软件开发实力和市场策略等因素影响,并非所有厂商都能像 Google 这般「勤快」。一些小公司、小团队甚至连跟上 Android 系统的大版本更新都有些吃力,要实现 Google 这样的月度例行安全更新自然是难上加难。
最近,一家名为 SRL 安全研究实验室的德国公司就针对 Android 系统的安全更新做了一项调查来核实厂商所推送的安全更新的真实性。他们对数十种品牌的 1200 部 Android 设备进行了调查研究,考查范围为 2017 年 10 月至今年 4 月这段时间里至少向用户宣称或标榜进行过一次安全更新推送的手机。
需要注意的是:一次安全更新中往往包含多个安全漏洞补丁,而 SRL 考察的是被 Google 安全更新公告标记为「严重」或「高」的安全更新补丁遗漏数量,这两个等级的安全漏洞如果没有得到及时修补也许会为用户带来相当严重的后果,它们的影响可参考下方由 Google 制作的表格:
高危漏洞被利用的后果
而 SRL 的调查结果显示,Google、三星、索尼、Wiko(法国手机品牌,主要股东为深圳公司)四家厂商在这些安全更新推送中没有遗漏或仅漏掉了一个高危漏洞补丁;小米、一加、诺基亚在这些安全更新推送中漏掉了 1~3 个高危漏洞补丁;HTC、华为、摩托罗拉、LG 漏掉了 3~4 个高危漏洞补丁;TCL 和中兴没有修复的高危安全漏洞则超过 4 个。
SRL 的调查结果
向用户推送安全更新却遗漏掉关键的高危漏洞?这件事本身就有些可疑。SRL 更指出,他们认为部分手机厂商在安全更新推送这件事上可能存在欺诈行为。这种「欺诈」体现在两个方面:
后者则被部分外媒认为是向用户营造「厂商很负责,我的手机很安全」假象的市场销售手段。
这着实很难让人相信,难道安卓程序员都是白吃馒头的吗?有了这个事情,大家最好还是不要随意下载无可靠来源的软件,毕竟谁知道自己的手机系统到底安不安全呢。
