HITB AMS 2018 安全会议 4 月 12 日至 4 月 13 日在荷兰阿姆斯特丹举办。来自德国安全研究实验室的的研究员,在议题分享环节会公开一项让人惊讶的发现——他们逆向分析了数百款安卓手机,发现许多安卓手机厂商并不会向用户提供补丁程序,或者会推迟补丁的发布时间。部分厂商深知会在跳过安全补丁的事实之下,告诉用户“现在的固件已经是最新状态”。
阿姆斯特丹举行的 Hack in the Box 安全会议上,研究人员 Karsten Nohl 和 Jakob Lell 详细展示了他们在过去两年中对数千部 Android 手机操作系统代码进行逆向工程的结果。
他们精心检查每个设备在设置中显示的安全补丁,并分析厂商声称的情况与实际的差距(“补丁差距”):显然,存在大补丁差距的手机很容易受到众多已知黑客技术的攻击。
我们发现漏洞修复版本声明与设备上安装的实际修补程序之间存在差距。
在最糟糕的情况下,我们认为一些 Android 手机制造商有意歪曲了设备修补的最新时间。
他们只是在没有安装任何补丁的情况下更改修复日期,也许是出于营销的原因。
手机厂商故意的欺骗行为
SRL 针对 2017 年发布的 Android 补丁,对来自十多家手机制造商的 1200 部手机固件进行了测试。
他们在测试发现,除了像 Pixel 和 Pixel 2 设备之外,顶级厂商的设备有时也会存在声称“补丁差距”,而较低级别的制造商的记录却非常混乱。
Nohl 表示,厂商的“补丁差距”的欺诈问题比供应商忽视修补更为严重。 厂商通过修改补丁日期,带给用户的只是虚拟的安全感。普通用户几乎不可能了解自己的设备上究竟真实安装了哪些补丁。
为了解决补丁透明度缺失的问题,SRL Labs 还发布了一款名为 Android SnoopSnitch 的应用更新版本,可以检查手机固件代码获取安全更新的实际情况。
四个梯队:厂商在安全补丁上的诚实度
在为每个手机厂商进行测试之后,SRL 实验室按照 2017 年安全补丁的 厂商诚实度 将其分为三类。
主要的安卓厂商品牌如小米、诺基亚 处在第二梯队,仅平均缺少 1 至 3 个补丁;
而像 HTC 、华为、摩托罗拉和 LG 等主要厂商缺失补丁约为 3 至 4 个;
而名单上表现最差的则是 TCL 和中兴,厂商声称已经安装了,而实际没有的补丁超过 4 个。
同时,SRL也指出这个问题发生的原因也可能在于芯片供应商方面未能提供补丁。
在三星的手机上,自带处理器的手机很少发生补丁跳过的情况,而使用联发科芯片的手机则平均缺少 9.7 个补丁。
Google 对 SRL 的研究表示赞赏,但指出其分析的部分设备可能并未得到 Android 安全认证、或者没有遵从该公司的安全标准。但由于 Google 部署了众多安全措施,他们认为某些未打补丁的设备仍然难以被破解。他们表示自己会与 SRL 展开深入调查合作。