劍橋大學研究發(fā)現(xiàn)87%的安卓設備不安全
研究人員指出原始設備制造商(OEM)缺乏系統(tǒng)更新或為安卓的不安全主要原因;評分顯示Nexus為最安全的手機,盡管只得到了10分中的5.5分。
安卓安全現(xiàn)狀堪憂
安卓的碎片化一直是個大問題,而近期來自劍橋大學的研究人員利用收集的數(shù)據(jù),創(chuàng)建了一種評分體系,用于衡量主要手機廠商為其產(chǎn)品發(fā)布安全更新包的速度,量化了安卓的安全現(xiàn)狀。結(jié)果發(fā)現(xiàn)“平均87.7%的安卓設備至少存在一個已知的高危漏洞”。報告原文
上圖是劍橋大學研究團隊對過去數(shù)年來不安全、可能安全和安全版本的安卓設備的比例的估計,可以看到不安全的安卓設備(紅色部分)是絕對的主流。
用于研究的數(shù)據(jù)來源于該組織的一個應用程序Device Analyzer,這是一個自2011年5月開始在谷歌商店上線的免費程序。 研究調(diào)查了20400部設備的版本信息,然后比較了已知的13種高危漏洞,根據(jù)運行的版本是否已經(jīng)打上補丁將其標記為安全或不安全。每臺被標記為“安全”或“不安全”的設備,是基于其操作系統(tǒng)版本是否針對這些漏洞進行了修復;而“可能安全”的設備是由于它本來可以得到一個專門的補丁進行修復的。
安卓為什么如此不安全?
研究認為,大部分歸咎于與之合作的OEM。市面上大部分安卓設備都無法及時得到系統(tǒng)更新,這令許多系統(tǒng)漏洞都沒法及時得到修復。為了進行這個研究,劍橋大學發(fā)起了一個網(wǎng)站——AndroidVulnerabilities.org,這些OEM廠商評分就是來源于這個網(wǎng)站保存的安全記錄數(shù)據(jù)。
研究者從1-10為OEM廠商安全創(chuàng)建了“FUM”評分,比較不同手機的安全性。結(jié)果發(fā)現(xiàn)谷歌Nexus手機獲得了***分,安全性堪稱***。在第三方廠商中,LG的表現(xiàn)則最出色,其次是摩托羅拉、三星、索尼和HTC。
Nexus斬獲***,難掩分低尷尬
盡管Nexus程序的得分僅為5.2,但是仍然力壓所有其他廠商設備,或許是因為這是谷歌親自維護的。
事實上,谷歌Nexus設備更新發(fā)布得非常緩慢。及時在更新開發(fā)以及發(fā)布之后,通過OTA向用戶推送更新也需要兩周之久。另外一個問題是,谷歌與OEM廠商達成的“兩年更新”策略與現(xiàn)在這個飛速發(fā)展的時代已經(jīng)不相匹配了。調(diào)查中的許多Nexus設備已經(jīng)不被Google支持。
華為、小米、聯(lián)想未列入評分
這項研究有個非常奇怪的地方,那便是針對安卓OEM廠商的選擇。根據(jù)IDC研究機構(gòu)發(fā)現(xiàn),全球排名前四的安卓OEM分別是三星、華為、小米以及聯(lián)想。而只有三星的成績出現(xiàn)在研究當中,其他三個安卓OEM廠商被忽略掉了。縱觀研究名單,映入眼簾的竟是Symphony與Walton這般相對無名的品牌。
原因其實很簡單,測試程序是通過谷歌商店下載的,這樣一來像中國這樣的地區(qū)便無法參與其中。
安全建議:正規(guī)途徑下載應用
安全研究員Daniel Wagner表示,谷歌在減輕風險方面做了大量工作,建議用戶只從谷歌商店中獲取應用,因為這些應用谷歌進行了額外的安全審查。
這項研究揭示了安卓生態(tài)系統(tǒng)保護用戶的道路還有很長,谷歌與一些OEM廠商致力于程序每月進行安全更新,但通常僅僅是不滿兩年的年輕設備,并且只針對旗艦設備。然而市場上充斥著數(shù)量更為龐大的非旗艦安卓設備,或許要等到谷歌重新架構(gòu)安卓系統(tǒng)以支持其集中化、不限設備的更新時,我們才能看到安卓安全的一線曙光。
