ROM廠商更新不及時 88%安卓設(shè)備存有高危漏洞

責(zé)任編輯:editor004

作者:晨曦

2015-10-14 11:00:45

摘自:騰訊科技

安卓生態(tài)惡意軟件泛濫,安全性低已經(jīng)是人所共知。研究團隊指出,谷歌公司對于安卓的最新系統(tǒng)更新,沒有能夠迅速傳遞到用戶的安卓手機中,這當(dāng)中的瓶頸存在于智能手機制造商的環(huán)節(jié)。

ROM廠商更新不及時 88%安卓設(shè)備存有高危漏洞

安卓生態(tài)惡意軟件泛濫,安全性低已經(jīng)是人所共知。而最近英國劍橋大學(xué)的一個研究發(fā)現(xiàn),由于安卓手機廠商更新系統(tǒng)不及時,導(dǎo)致大約87.7%的安卓設(shè)備處于不安全的狀態(tài)中,包含11種安卓高危漏洞中的至少一種。

據(jù)國外科技媒體報道,劍橋大學(xué)的研究團隊通過一個名為“設(shè)備分析器”(Device Analyzer)的軟件進行了樣本數(shù)據(jù)采集。該軟件從2011年5月在谷歌官方軟件商店免費提供下載,至今已經(jīng)積累了一定的樣本數(shù)據(jù)。

研究團隊稱,他們從兩萬多個安卓設(shè)備上采集了所安裝安卓系統(tǒng)的各種版本號信息,并且將版本號和目前已經(jīng)知道的10余種安卓高危漏洞的分布情況進行了對比(其中包括Stagefright漏洞),這些漏洞最早的發(fā)現(xiàn)時間是2013年。

根據(jù)這些安卓設(shè)備的漏洞修補情況,研究團隊將設(shè)備歸類于安全、不安全等多種類別中。最終結(jié)果顯示,87.8%的設(shè)備至少仍存在一種高危漏洞。

為何如此大規(guī)模的安卓手機和平板仍然存在高危漏洞呢?英國劍橋大學(xué)的研究團隊發(fā)現(xiàn),最重要的原因是安卓設(shè)備廠商對系統(tǒng)更新不及時。

研究團隊指出,谷歌公司對于安卓的最新系統(tǒng)更新,沒有能夠迅速傳遞到用戶的安卓手機中,這當(dāng)中的瓶頸存在于智能手機制造商的環(huán)節(jié)。

伴隨著研究結(jié)果的發(fā)布,劍橋大學(xué)團隊也推出了一個新網(wǎng)站(AndroidVulnerabilities.org)。網(wǎng)站介紹了這一研究的結(jié)果,同時能夠?qū)Σ煌瑥S商定制修改的安卓系統(tǒng)(俗稱“ROM”)進行安全打分。

安全打分從一分到十分不等,打分的算法主要考慮了這些因素:安卓升級到最新版本的狀態(tài),系統(tǒng)中存在漏洞數(shù)量等等,以及一家安卓手機廠商銷售的所有手機中未修補漏洞的平均數(shù)量等。

從安全打分上看,谷歌自有品牌Nexus設(shè)備搭載的官方版安卓系統(tǒng)最為安全,得分為5.2分。韓國LG電子排名第二,得分為4.0,摩托羅拉移動、三星電子、索尼、HTC的安全得分依次降低。

谷歌官方的Nexus設(shè)備安全得分只有5分左右,令外界有些不解。因為谷歌官方版的安卓可以第一時間獲得安全補丁,安全得分應(yīng)該較高。不過據(jù)媒體分析,谷歌對一些Nexus設(shè)備升級系統(tǒng)的頻率較低,這可能導(dǎo)致一些漏洞較長時間存在,影響了得分。

不過需要指出的是,劍橋大學(xué)的安卓安全性研究仍有不足之處。比如根據(jù)美國科技市場研究公司IDC的報告,根據(jù)用戶規(guī)模,全世界最大的定制版安卓系統(tǒng)依次是三星電子、華為、小米和聯(lián)想。

不過在劍橋大學(xué)的安全打分中,只出現(xiàn)了三星電子,忽略了中國的三家一線智能手機廠商。

據(jù)媒體分析,劍橋大學(xué)的數(shù)據(jù)采樣軟件通過谷歌的Play軟件商店提供下載,但是在中國內(nèi)地,這一商店運行不正常,這可能研究團隊未能獲得中國安卓設(shè)備的足夠信息,導(dǎo)致中國的定制版安卓沒有進行安全打分。

媒體指出,將近九成的安卓設(shè)備“帶病運行”,這顯示了安卓生態(tài)的安全性難以令人滿意。之前,谷歌和一些手機制造商開始推出月度補丁包發(fā)行制度,但是也僅僅針對一些兩年內(nèi)銷售的較新手機,舊手機的安全則無人過問。

在中國市場,幾乎所有廠商都在深度修改和定制谷歌公司開發(fā)安卓系統(tǒng),并且甚至以“OS”(操作系統(tǒng))的噱頭名號推廣自家的ROM。這些廠商刪除了谷歌的應(yīng)用軟件和服務(wù),代之以自家的軟件商店和內(nèi)容服務(wù)。他們往往根據(jù)自家ROM的版本號升級系統(tǒng),導(dǎo)致ROM所源自的安卓版本和谷歌最新發(fā)行的安卓版本差距越來越大。

對于安卓手機廠商對安卓生態(tài)的“閹割”和“碎片化”,谷歌已經(jīng)開始亡羊補牢,即通過“Nexus”品牌和“安卓One”品牌,推出谷歌親自掌控軟件系統(tǒng)的智能手機(Nexus為高端,安卓One為面向發(fā)展中國家的低于一百美元的廉價手機),谷歌可以確保自家軟件不被刪除,也能夠第一時間升級到最新安卓版本。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號