劍橋大學(xué)研究發(fā)現(xiàn)87%的安卓設(shè)備不安全
責(zé)編:mhshi |2015-10-16 11:13:01安卓的碎片化一直是個(gè)大問(wèn)題,而近期來(lái)自劍橋大學(xué)的研究人員利用收集的數(shù)據(jù),創(chuàng)建了一種評(píng)分體系,用于衡量主要手機(jī)廠商為其產(chǎn)品發(fā)布安全更新包的速度,量化了安卓的安全現(xiàn)狀。結(jié)果發(fā)現(xiàn)“平均87.7%的安卓設(shè)備至少存在一個(gè)已知的高危漏洞”。
報(bào)告原文:https://www.cl.cam.ac.uk/~drt24/papers/spsm-scoring.pdf
上圖是劍橋大學(xué)研究團(tuán)隊(duì)對(duì)過(guò)去數(shù)年來(lái)不安全、可能安全和安全版本的安卓設(shè)備的比例的估計(jì),可以看到不安全的安卓設(shè)備(紅色部分)是絕對(duì)的主流。
用于研究的數(shù)據(jù)來(lái)源于該組織的一個(gè)應(yīng)用程序Device Analyzer,這是一個(gè)自2011年5月開始在谷歌商店上線的免費(fèi)程序。?研究調(diào)查了20400部設(shè)備的版本信息,然后比較了已知的13種高危漏洞,根據(jù)運(yùn)行的版本是否已經(jīng)打上補(bǔ)丁將其標(biāo)記為安全或不安全。每臺(tái)被標(biāo)記為“安全”或“不安全”的設(shè)備,是基于其操作系統(tǒng)版本是否針對(duì)這些漏洞進(jìn)行了修復(fù);而“可能安全”的設(shè)備是由于它本來(lái)可以得到一個(gè)專門的補(bǔ)丁進(jìn)行修復(fù)的。
研究認(rèn)為,大部分歸咎于與之合作的OEM。市面上大部分安卓設(shè)備都無(wú)法及時(shí)得到系統(tǒng)更新,這令許多系統(tǒng)漏洞都沒法及時(shí)得到修復(fù)。為了進(jìn)行這個(gè)研究,劍橋大學(xué)發(fā)起了一個(gè)網(wǎng)站——AndroidVulnerabilities.org,這些OEM廠商評(píng)分就是來(lái)源于這個(gè)網(wǎng)站保存的安全記錄數(shù)據(jù)。
研究者從1-10為OEM廠商安全創(chuàng)建了“FUM”評(píng)分,比較不同手機(jī)的安全性。結(jié)果發(fā)現(xiàn)谷歌Nexus手機(jī)獲得了最高分,安全性堪稱最佳。在第三方廠商中,LG的表現(xiàn)則最出色,其次是摩托羅拉、三星、索尼和HTC。
盡管Nexus程序的得分僅為5.2,但是仍然力壓所有其他廠商設(shè)備,或許是因?yàn)檫@是谷歌親自維護(hù)的。
事實(shí)上,谷歌Nexus設(shè)備更新發(fā)布得非常緩慢。及時(shí)在更新開發(fā)以及發(fā)布之后,通過(guò)OTA向用戶推送更新也需要兩周之久。另外一個(gè)問(wèn)題是,谷歌與OEM廠商達(dá)成的“兩年更新”策略與現(xiàn)在這個(gè)飛速發(fā)展的時(shí)代已經(jīng)不相匹配了。調(diào)查中的許多Nexus設(shè)備已經(jīng)不被Google支持。
這項(xiàng)研究有個(gè)非常奇怪的地方,那便是針對(duì)安卓OEM廠商的選擇。根據(jù)IDC研究機(jī)構(gòu)發(fā)現(xiàn),全球排名前四的安卓OEM分別是三星、華為、小米以及聯(lián)想。而只有三星的成績(jī)出現(xiàn)在研究當(dāng)中,其他三個(gè)安卓OEM廠商被忽略掉了。縱觀研究名單,映入眼簾的竟是Symphony與Walton這般相對(duì)無(wú)名的品牌。
原因其實(shí)很簡(jiǎn)單,測(cè)試程序是通過(guò)谷歌商店下載的,這樣一來(lái)像中國(guó)這樣的地區(qū)便無(wú)法參與其中。
安全研究員Daniel Wagner表示,谷歌在減輕風(fēng)險(xiǎn)方面做了大量工作,建議用戶只從谷歌商店中獲取應(yīng)用,因?yàn)檫@些應(yīng)用谷歌進(jìn)行了額外的安全審查。
這項(xiàng)研究揭示了安卓生態(tài)系統(tǒng)保護(hù)用戶的道路還有很長(zhǎng),谷歌與一些OEM廠商致力于程序每月進(jìn)行安全更新,但通常僅僅是不滿兩年的年輕設(shè)備,并且只針對(duì)旗艦設(shè)備。然而市場(chǎng)上充斥著數(shù)量更為龐大的非旗艦安卓設(shè)備,或許要等到谷歌重新架構(gòu)安卓系統(tǒng)以支持其集中化、不限設(shè)備的更新時(shí),我們才能看到安卓安全的一線曙光。
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來(lái)
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬(wàn)人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬(wàn)元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬(wàn)元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧