▲研究發現 Android 手機安全補丁常有遺漏。(圖/翻攝 engadget)
記者黃肇祥/綜合報導
安裝完更新後,手機顯示「已更新至最新版本」,但你知道嗎?手機可能有幾個檔案沒有被安裝。《Wired》研究發現,Android 手機有暗自忽略安全補丁的傾向,縱使是三星、Sony 等手機大廠,偶爾也會漏掉部分安全性更新,少了 Google 提供的軟體更新,使使用者深陷安全危機。
安全研究實驗室(SRL)實際測試 Google、三星、Sony、華為、Motorola、LG 等各大手機品牌 1200 支手機,結果發現手機宣稱安全更新與實際安裝的有所落差,中國的 TCL、ZTE 每次更新都會漏掉 4 個檔案以上,HTC、華為、LG、Motorola 則是平均 4 個,既使是 Sony、三星等大品牌偶爾也會漏掉,例如 2016 年推出的 J5 與 J 3 儘管都安裝相同的安全性更新,實際上只有 J5 如實安裝,J3 卻有 12 個檔案沒有安裝。
▲SRL 列出每次更新各廠牌平均的遺漏檔案數量。(圖/翻攝 WIRED)
SRL 團隊認為,關鍵可能在於手機使用的芯片品牌,三星製的很少漏掉,但若是聯發科芯片每次更新幾乎會遺失 10 個補丁,研究人員 Karsten Nohl 表示「這給我們的教訓就是,如果購買便宜的設備,系統的維護可能就會不夠好。」
Google 對此則回應,SRL 所分析的設備有些可能沒有通過 Android 認證,不符合 Google 的安全標準,此外現在的 Android 手機具有許多安全功能,既使真的有未安裝的補丁,同樣難破解,且在某些情況下,手機設備本身沒有該項更新功能,所以廠商會刪除容易遭到攻擊的檔案。
Nohl 表示,他認同 Google 的回應,接受《Wired》採訪時說明,要針對遺失的安全補丁進行駭客攻擊並不容易,Android 有很多安全措施,要想取得手機的操控權,透過手機軟體的漏洞可能比補丁還要快速,最簡單的方式就是在 App 中植入惡意程式,並放上 Google Play 供用戶下載。
讀者迴響