Android 厂商给你推送的安全更新或许只是改改版本号,但 Google 说「问题不大」

不管是电脑上的 Windows、macOS 还是手机的 iOS 和 Android,几乎所有操作系统都会在提供功能和稳定性改进的系统更新同时,向用户提供保证设备安全性的安全更新。

但一项最新的调查却指出,Android 手机厂商在安全更新推送这件事情上或许只是在「改版本号」,除了变变数字,实质的安全漏洞修补工作并没有做到位。

被忽视的安全更新

国内用户对 Android 系统的安全更新可能比较陌生,相比之下,我们更加在意厂商为系统带来的功能更新和稳定性提升,因此厂商也鲜有在更新日志中提及安全更新的。

但只要我们打开 Android 手机的系统设置,能看到这项名为「Android 安全补丁程序级别」的系统信息。它以日期的形式显示,距离当前日期越近则安全更新补丁程序版本越新

安全更新补丁程序版本

这些安全更新补丁主要来源于 Android 开放源代码项目(AOSP)、上游 Linux 内核和系统芯片(SOC) 制造商,可以从硬件和软件层面保证 Android 设备不受最新安全漏洞的影响。因此,Google 在向自家设备推送安全更新的时也会公布对应的 安全更新公告,方便用户获知具体的修复内容同时方便其他厂商进行跟进。

Google 安全更新公告截图

部分厂商甚至能够提前一个月从 Google 那里获知这些安全漏洞,根据 AOSP 源码以及安全更新公告中给出的补丁程序链接,他们可以结合实际情况及时合并这些安全更新来保证自己的用户不受漏洞影响。

显然,安全更新的跟进越及时越好。

为什么你需要关注安全更新

Android 的安全更新和 Android 系统版本并无必然关联

以 Google 为例,Nexus 和一代 Pixel 设备的 Android 版本更新周期为两年,但他们自首次在 Google 商店上架的三年内或从 Google 商店下架后的至少 18 个月里,都会收到安全更新(以时间较长者为准)。这些安全更新的推送频率为每月一次,一般在每个月的第一个星期一向用户分发。

也就是说,即便在系统版本停止更新的前提下,厂商也能够甚至应该向用户提供安全更新补丁来保证用户设备的安全性。

这也是此次事件受到外媒和 Google 关注的原因所在,从某种程度上来说,第一时间为自家 Android 设备提供安全更新体现的是厂商对用户的责任感

Pixel 设备的更新时间表

但受到软件开发实力和市场策略等因素影响,并非所有厂商都能像 Google 这般「勤快」。一些小公司、小团队甚至连跟上 Android 系统的大版本更新都有些吃力,要实现 Google 这样的月度例行安全更新自然是难上加难。

最近,一家名为 SRL 安全研究实验室的德国公司就针对 Android 系统的安全更新做了一项调查来核实厂商所推送的安全更新的真实性。他们对数十种品牌的 1200 部 Android 设备进行了调查研究,考查范围为 2017 年 10 月至今年 4 月这段时间里至少向用户宣称或标榜进行过一次安全更新推送的手机。

需要注意的是:一次安全更新中往往包含多个安全漏洞补丁,而 SRL 考察的是被 Google 安全更新公告标记为「严重」「高」的安全更新补丁遗漏数量,这两个等级的安全漏洞如果没有得到及时修补也许会为用户带来相当严重的后果,它们的影响可参考下方由 Google 制作的表格:

高危漏洞被利用的后果

而 SRL 的调查结果显示,Google、三星、索尼、Wiko(法国手机品牌,主要股东为深圳公司)四家厂商在这些安全更新推送中没有遗漏或仅漏掉了一个高危漏洞补丁;小米、一加、诺基亚在这些安全更新推送中漏掉了 1~3 个高危漏洞补丁;HTC、华为、摩托罗拉、LG 漏掉了 3~4 个高危漏洞补丁;TCL 和中兴没有修复的高危安全漏洞则超过 4 个。

SRL 的调查结果

向用户推送安全更新却遗漏掉关键的高危漏洞?这件事本身就有些可疑。SRL 更指出,他们认为部分手机厂商在安全更新推送这件事上可能存在欺诈行为。这种「欺诈」体现在两个方面:

  1. 有意或无意忽略对高危安全漏洞的修复;
  2. 修改「安全更新补丁级别」信息但实际修复效果未达标。

后者则被部分外媒认为是向用户营造「厂商很负责,我的手机很安全」假象的市场销售手段。

这件事对用户有什么影响?

根据 Google 说法:调查结果有待商榷,漏掉补丁影响不大

一方面,Google 认为 SRL 的调查忽略了一个关键因素:Android 设备是具有多样性的。一些高危安全更新补丁的适用范围其实有限,它可能适合 A 厂商的手机,但由于 B 厂商的手机并没有配备对应的硬件或软件,也就无需针对这个漏洞进行修补。

因此,Google 将在接下来的时间与 SRL 展开合作,进一步就部分厂商可能存在的欺诈式「表面更新」进行深入调查。

另一方面,Google 特别指出,即便部分高危漏洞补丁没有被及时修复,Android 操作系统自身的安全机制也能够很好地抵御针对这些高危漏洞的攻击,比如自 Android Lollipop 就引入的针对缓冲区溢出的安全保护技术 ASLR(地址空间随机分布)和限制恶意应用影响范围的沙盒机制等等;同时,利用这些漏洞进行攻击这件事本身就相当困难。

虽然听上去有些让人难以置信,但 SRL 调查小组的负责人也对这个说法表示了认可。

如果你想知道自己所使用的 Android 设备有没有漏掉高危漏洞安全补丁的「表面更新」,可以下载 SRL 推出的 SnoopSnitch 应用进行检测,同时,尽量保证从安全可靠的来源获取 Android 应用(比如 Play 应用商店),不要安装来历不明的盗版、修改版应用。

(题图来自:SRL

> 关注 少数派公众号,访问专栏 Android 玩法,了解更多 Android 实用技巧