註冊 登入



打印

[新資訊或文章轉帖] 你以為裝完所有手機安全更新,其實沒有,研究發現:多款Android手機的安全更新資訊不實

你以為裝完所有手機安全更新,其實沒有,研究發現:多款Android手機的安全更新資訊不實 E-mail 此主題給朋友

[隱藏]
Android手機安全問題來自本身已經漏洞極多,手機廠商沒有提供修補程式,再加上Google Play Store或第三方軟體商店下載了有害的app這種簡單行為。

https://www.ithome.com.tw/news/122398

從大廠三星、Sony到HTC及中國手機等Android手機提供用戶的安全更新資訊,皆或多或少有誇大不實的問題,導致用戶以為自己完成更新,但其實沒有完成,而曝露於安全風險之中。

Android手機的安全更新一直遠不如iPhone有效率,因此Google一直力促手機廠商提供安全更新。但研究人員發現,包括從大廠三星、Sony到HTC及中國手機等Android手機提供用戶的安全更新資訊,皆或多或少有誇大不實的問題,導致用戶曝露於安全風險之中。

Wired周四報導,安全公司Security Research Labs研究人員Karsten Nohl及Jakob Lell測試了來自Google、三星、Sony、HTC、Nokia、Motorola、及中國的ZTE、TCL等1200款手機的韌體,以測試是否真的如手機訊息顯示下載了安全更新。結果出現研究人員稱為「修補程式鴻溝」(patch gap)的情形,即手機真實下載的更新都或多或少有所遺漏。研究人員也在荷蘭阿姆斯特丹舉行的Hack in the Box安全會議上公佈這項研究。

研究顯示,偶爾情況下Sony、或三星手機會遺漏1、2項修補程式。但同一家廠商的手機的表現差異也很大,例如2016年Samsung J5是完全真實顯示安裝了哪些,以及尚有哪些修補程式未安裝。但2016年J3手機卻遺漏了12項,包括2項重大修補程式。

研究人員提供各家手機廠商的遺漏修補程式平均數。其中Google、Sony、Samsung及法國廠商Wiko平均在1個以下,小米、Nokia及OnePlus為1-3項,HTC、LG、華為及Motorola則在3-4項。而中國手機品牌TCL及ZTE遺漏數量為4個以上。

這項研究還探討了晶片組和手機遺漏修補程式的關係。其中三星產品平均不到0.5表現最佳,高通(Qualcomm)為1.1項,中國的海思半導體(Hisilicon)為1.9項。聯發科則高達9.7項。研究人員表示,有些情形下,可能純粹是因為便宜的手機較容易遺漏修補程式,剛好又使用了便宜的晶片組。但其他情形下是因為漏洞出在晶片本身,而手機廠商又仰賴晶片商提供修補程式,使得手機出現修補不足的情形。

研究人員指出,如果消費者買的是便宜手機,可能就會身處在維護不良的生態體系中。

Google對此回應,研究測試的手機,有些並未符合Google現在正在力推的Android安全認證,同時現在的Android手機有更多安全防護,像是應用程式沙盒、手機防毒等等,因此即使少安裝了修補程式也不容易被駭。該公司也指出,有些情況下Android手機移除了有問題的功能,或一開始就沒有這些功能,因此一些修補程式是不重要的。

研究人員Nohl並不認同Google關於手機廠商移除有問題功能的論點,但同意現代Android的設計,像是Lollipop(4.0)以上將記憶體中程式位置隨機化之後,使得更不容易為惡意程式攻擊。

這也意謂著,大部份Android手機攻擊是起於駭客利用多個軟體或app弱點,而非只是沒有安裝修補程式。因此除了國家贊助的攻擊行為是攻擊未修補漏洞,大部份攻擊是來自使用者從Google Play Store或第三方軟體商店下載了有害的app這種簡單行為。

不過即使如此,研究人員仍然強調「深度防禦」的重要性,每少一安裝一項修補程式,就多一分被攻擊者得手的風險。



回覆 引用 TOP

精選樓盤
基本上Android無安全問題,因為根本唔安全。


引用:
原帖由 BlueLeg 於 2019-2-10 09:13 AM 發表

基本上Android無安全問題,因為根本唔安全。
無錯,須然我知道外面很危險,但我係唔會留係温室嘅!💪🏻



回覆 引用 TOP

Android太易比人破解


回覆 引用 TOP

[按此隱藏 Google 建議的相符內容]




重要聲明:本討論區是以即時上載留言的方式運作,香港討論區對所有留言的真實性、完整性及立場等,不負任何法律責任。而一切留言之言論只代表留言者個人意 見,並非本網站之立場,讀者及用戶不應信賴內容,並應自行判斷內容之真實性。於有關情形下,讀者及用戶應尋求專業意見(如涉及醫療、法律或投資等問題)。 由於本討論區受到「即時上載留言」運作方式所規限,故不能完全監察所有留言,若讀者及用戶發現有留言出現問題,請聯絡我們。香港討論區有權刪除任何留言及拒絕任何人士上載留言 (刪除前或不會作事先警告及通知 ), 同時亦有不刪除留言的權利,如有任何爭議,管理員擁有最終的詮釋權 。用戶切勿撰寫粗言穢語、誹謗、渲染色情暴力或人身攻擊的言論,敬請自律。本網站保留一切法律權利。


Copyright©2003- Discuss.com.hk Limited. All Right Reserved.
版權所有,不得轉載。