一些Android供應商發(fā)現故意使用假冒的安全補丁欺騙客戶

及時的安全補丁程序和無縫的iOS軟件更新是許多Android客戶切換到iPhone的主要原因之一。但是，一項新的調查發(fā)現了一些潛在的干擾。

《連線》今天引述德國安全公司Security Research Lab的發(fā)現，發(fā)現許多Android供應商通過更改設備上的安全更新日期而未實際安裝任何補丁來向客戶撒謊重要的操作系統(tǒng)安全補丁。

眾所周知，谷歌長期以來一直在努力爭取OEM和運營商定期發(fā)布Android的安全補丁。

在花費了兩年的時間分析Android更新之后，該公司發(fā)現許多Android OEM無法為用戶提供補丁程序，或者將其發(fā)布推遲了幾個月。

在某些情況下，供應商會告訴用戶他們的手機固件是最新的，即使他們偷偷跳過了補丁程序。研究人員Karsten Nohl說：“我們找到了幾家未安裝單個補丁程序但將補丁程序日期更改了幾個月的供應商。”

“這是故意欺騙，而且不是很常見。”

通過安全研究實驗室和Wired的Android安全補丁

聯發(fā)科和高通可以將某些缺失的補丁歸咎于帶有芯片的手機，前者平均缺少9.7個補丁，而后者平均缺少1.1個補丁。如果在這些芯片中發(fā)現了錯誤，而不是在Android本身中發(fā)現了錯誤，那么手機制造商將依靠芯片制造商來提供補丁。

Nohl補充說：“教訓是，如果您購買更便宜的設備，則最終會導致該生態(tài)系統(tǒng)維護得不太好。”

谷歌回應說，安全研究實驗室分析的某些智能手機可能不是經過Android認證的設備，但強調它正在與研究人員合作以進一步調查他們的發(fā)現。

根據Android產品安全負責人Scott Roberts的說法：

安全更新是用于保護Android設備和用戶的許多層之一。同樣重要的是內置平臺保護(例如應用程序沙箱)和安全服務(例如Google Play Protect)。這些安全層-結合Android生態(tài)系統(tǒng)的巨大多樣性-為研究人員做出了貢獻

Google聲稱，經過Android認證的現代設備具有安全功能，即使它們確實具有未修補的安全漏洞，也使它們難以被黑客入侵。

根據這家搜索巨頭的說法，在某些情況下，設備上可能缺少安全補丁，因為他們的供應商可能已從手機中刪除了一個易受攻擊的功能，而不是對其進行了補丁，或者手機最初沒有該功能。

安全研究實驗室將在阿姆斯特丹的一次活動中介紹他們的全部發(fā)現。