安卓生態(tài)惡意軟件泛濫,安全性低已經(jīng)是人所共知。而最近英國劍橋大學(xué)的一個(gè)研究發(fā)現(xiàn),由于安卓手機(jī)廠商更新系統(tǒng)不及時(shí),導(dǎo)致大約87.7%的安卓設(shè)備處于不安全的狀態(tài)中,包含11種安卓高危漏洞中的至少一種。
據(jù)國外科技媒體報(bào)道,劍橋大學(xué)的研究團(tuán)隊(duì)通過一個(gè)名為“設(shè)備分析器”(Device Analyzer)的軟件進(jìn)行了樣本數(shù)據(jù)采集。該軟件從2011年5月在谷歌官方軟件商店免費(fèi)提供下載,至今已經(jīng)積累了一定的樣本數(shù)據(jù)。
研究團(tuán)隊(duì)稱,他們從兩萬多個(gè)安卓設(shè)備上采集了所安裝安卓系統(tǒng)的各種版本號信息,并且將版本號和目前已經(jīng)知道的10余種安卓高危漏洞的分布情況進(jìn)行了對比(其中包括Stagefright漏洞),這些漏洞最早的發(fā)現(xiàn)時(shí)間是2013年。
根據(jù)這些安卓設(shè)備的漏洞修補(bǔ)情況,研究團(tuán)隊(duì)將設(shè)備歸類于安全、不安全等多種類別中。最終結(jié)果顯示,87.8%的設(shè)備至少仍存在一種高危漏洞。
為何如此大規(guī)模的安卓手機(jī)和平板仍然存在高危漏洞呢?英國劍橋大學(xué)的研究團(tuán)隊(duì)發(fā)現(xiàn),最重要的原因是安卓設(shè)備廠商對系統(tǒng)更新不及時(shí)。
研究團(tuán)隊(duì)指出,谷歌公司對于安卓的最新系統(tǒng)更新,沒有能夠迅速傳遞到用戶的安卓手機(jī)中,這當(dāng)中的瓶頸存在于智能手機(jī)制造商的環(huán)節(jié)。
伴隨著研究結(jié)果的發(fā)布,劍橋大學(xué)團(tuán)隊(duì)也推出了一個(gè)新網(wǎng)站(AndroidVulnerabilities.org)。網(wǎng)站介紹了這一研究的結(jié)果,同時(shí)能夠?qū)Σ煌瑥S商定制修改的安卓系統(tǒng)(俗稱“ROM”)進(jìn)行安全打分。
安全打分從一分到十分不等,打分的算法主要考慮了這些因素:安卓升級到最新版本的狀態(tài),系統(tǒng)中存在漏洞數(shù)量等等,以及一家安卓手機(jī)廠商銷售的所有手機(jī)中未修補(bǔ)漏洞的平均數(shù)量等。
從安全打分上看,谷歌自有品牌Nexus設(shè)備搭載的官方版安卓系統(tǒng)最為安全,得分為5.2分。韓國LG電子排名第二,得分為4.0,摩托羅拉移動(dòng)、三星電子、索尼、HTC的安全得分依次降低。
谷歌官方的Nexus設(shè)備安全得分只有5分左右,令外界有些不解。因?yàn)楣雀韫俜桨娴陌沧靠梢缘谝粫r(shí)間獲得安全補(bǔ)丁,安全得分應(yīng)該較高。不過據(jù)媒體分析,谷歌對一些Nexus設(shè)備升級系統(tǒng)的頻率較低,這可能導(dǎo)致一些漏洞較長時(shí)間存在,影響了得分。
不過需要指出的是,劍橋大學(xué)的安卓安全性研究仍有不足之處。比如根據(jù)美國科技市場研究公司IDC的報(bào)告,根據(jù)用戶規(guī)模,全世界最大的定制版安卓系統(tǒng)依次是三星電子、華為、小米和聯(lián)想。
不過在劍橋大學(xué)的安全打分中,只出現(xiàn)了三星電子,忽略了中國的三家一線智能手機(jī)廠商。
據(jù)媒體分析,劍橋大學(xué)的數(shù)據(jù)采樣軟件通過谷歌的Play軟件商店提供下載,但是在中國內(nèi)地,這一商店運(yùn)行不正常,這可能研究團(tuán)隊(duì)未能獲得中國安卓設(shè)備的足夠信息,導(dǎo)致中國的定制版安卓沒有進(jìn)行安全打分。
媒體指出,將近九成的安卓設(shè)備“帶病運(yùn)行”,這顯示了安卓生態(tài)的安全性難以令人滿意。之前,谷歌和一些手機(jī)制造商開始推出月度補(bǔ)丁包發(fā)行制度,但是也僅僅針對一些兩年內(nèi)銷售的較新手機(jī),舊手機(jī)的安全則無人過問。
在中國市場,幾乎所有廠商都在深度修改和定制谷歌公司開發(fā)安卓系統(tǒng),并且甚至以“OS”(操作系統(tǒng))的噱頭名號推廣自家的ROM。這些廠商刪除了谷歌的應(yīng)用軟件和服務(wù),代之以自家的軟件商店和內(nèi)容服務(wù)。他們往往根據(jù)自家ROM的版本號升級系統(tǒng),導(dǎo)致ROM所源自的安卓版本和谷歌最新發(fā)行的安卓版本差距越來越大。
對于安卓手機(jī)廠商對安卓生態(tài)的“閹割”和“碎片化”,谷歌已經(jīng)開始亡羊補(bǔ)牢,即通過“Nexus”品牌和“安卓One”品牌,推出谷歌親自掌控軟件系統(tǒng)的智能手機(jī)(Nexus為高端,安卓One為面向發(fā)展中國家的低于一百美元的廉價(jià)手機(jī)),谷歌可以確保自家軟件不被刪除,也能夠第一時(shí)間升級到最新安卓版本。
京公網(wǎng)安備 11010502049343號