你以為裝完所有手機安全更新，其實沒有， 研究發現：多款Android手機的安全更新資訊不實 Android手機的安全更新一直遠不如iPhone有效率，因此Google一直力促手機廠商提供安 全更新。但研究人員發現，包括從大廠三星、Sony到HTC及中國手機等Android手機提供用 戶的安全更新資訊，皆或多或少有誇大不實的問題，導致用戶曝露於安全風險之中。 Wired周四報導，安全公司Security Research Labs研究人員Karsten Nohl及Jakob Lell 測試了來自Google、三星、Sony、HTC、Nokia、Motorola、及中國的ZTE、TCL等1200款手 機的韌體，以測試是否真的如手機訊息顯示下載了安全更新。結果出現研究人員稱為「修 補程式鴻溝」（patch gap）的情形，即手機真實下載的更新都或多或少有所遺漏。研究 人員也在荷蘭阿姆斯特丹舉行的Hack in the Box安全會議上公佈這項研究。 研究顯示，偶爾情況下Sony、或三星手機會遺漏1、2項修補程式。但同一家廠商的手機的 表現差異也很大，例如2016年Samsung J5是完全真實顯示安裝了哪些，以及尚有哪些修補 程式未安裝。但2016年J3手機卻遺漏了12項，包括2項重大修補程式。 研究人員提供各家手機廠商的遺漏修補程式平均數。其中Google、Sony、Samsung及法國 廠商Wiko平均在1個以下，小米、Nokia及OnePlus為1-3項，HTC、LG、華為及Motorola則 在3-4項。而中國手機品牌TCL及ZTE遺漏數量為4個以上。 這項研究還探討了晶片組和手機遺漏修補程式的關係。其中三星產品平均不到0.5表現最 佳，高通（Qualcomm）為1.1項，中國的海思半導體（Hisilicon）為1.9項。聯發科則高 達9.7項。研究人員表示，有些情形下，可能純粹是因為便宜的手機較容易遺漏修補程式 ，剛好又使用了便宜的晶片組。但其他情形下是因為漏洞出在晶片本身，而手機廠商又仰 賴晶片商提供修補程式，使得手機出現修補不足的情形。 研究人員指出，如果消費者買的是便宜手機，可能就會身處在維護不良的生態體系中。 Google對此回應，研究測試的手機，有些並未符合Google現在正在力推的Android安全認 證，同時現在的Android手機有更多安全防護，像是應用程式沙盒、手機防毒等等，因此 即使少安裝了修補程式也不容易被駭。該公司也指出，有些情況下Android手機移除了有 問題的功能，或一開始就沒有這些功能，因此一些修補程式是不重要的。 研究人員Nohl並不認同Google關於手機廠商移除有問題功能的論點，但同意現代Android 的設計，像是Android 4.0以上將記憶體中程式位置隨機化之後，使得更不容易為惡 意程式攻擊。 這也意謂著，大部份Android手機攻擊是起於駭客利用多個軟體或app弱點，而非只是沒有 安裝修補程式。因此除了國家贊助的攻擊行為是攻擊未修補漏洞，大部份攻擊是來自使用 者從Google Play Store或第三方軟體商店下載了有害的app這種簡單行為。 不過即使如此，研究人員仍然強調「深度防禦」的重要性，每少一安裝一項修補程式，就 多一分被攻擊者得手的風險。 https://www.ithome.com.tw/news/122398 心得: Security Research Labs提供了一款app SnoopSnitch 可以用來測試你的手機有多少missing patches https://play.google.com/store/apps/details?id=de.srlabs.snoopsnitch 原始研究成果在這邊 https://srlabs.de/bites/android_patch_gap/ pdf slides: https://bit.ly/2qB9gOD OPPO是墊底的 另外也幫聯發科QQ -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.136.230.99 ※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1523686180.A.F06.html ※ 編輯: Rattle (223.136.4.223), 04/14/2018 14:48:05