據科技網站PCWorld報導,Android手機廠商沒有及時釋出安全更新包,使幾乎所有人都面臨受到攻擊的可能。這是劍橋大學試圖量化Android安全現狀的一項研究的結論之一。谷歌為這項研究提供了部分經費。研究人員利用收集的資料,建立了一種評分體系,衡量主要手機廠商為它們的裝置釋出最新安全更新包的速度,結果顯示Android安全狀況不妙。
上圖顯示了劍橋大學研究團隊對過去數年執行不安全、可能安全和安全版本Android裝置比例的估計
黑客可以利用安卓手機的Stagefright缺陷,通過傳送特製的彩信傳播惡意程式,同時該缺陷還允許黑客遠端執行惡意程式碼。Stagefright缺陷表明一個安全問題會迅速危及大量裝置,原因就在於Android更新過程存在瓶頸。谷歌釋出新版安全補丁後,手機廠商必須把它整合在自己的Android版本中,然後才會釋出到使用者的裝置。運營商品牌的手機更糟糕,因為運營商還必須對安全更新包進行測試,然後才會釋出給使用者。這與蘋果釋出iOS更新包的過程形成了鮮明對比,蘋果可以直接向使用者的iPhone釋出更新包。
Nexus表現最好,但所有手機都“仍須努力”
劍橋大學研究團隊建立了FUM評分體系,比較不同手機的安全性。結果顯示,Nexus手機得分最高,LG在第三方手機廠商中拔得頭籌。
廠商安全表現排名
儘管廠商表態稱會按月釋出安全更新包,但除Nexus外其他手機的得分均不超過5分(滿分為10分)。隨著時間推移,這種情況會發生改變,但是,要了解按月釋出的補丁的效果,以及廠商能否長期堅持按月釋出更新包還為時過早。另外,按月釋出更新包並未消除Android更新包釋出過程中的瓶頸。除裸機外,手機何時獲得更新包仍然由運營商說了算。
研究人員丹尼爾·瓦格納(Daniel Wagner)簡要概括了問題的要害,“谷歌在減輕風險方面做了大量工作,我們建議使用者只安裝來自谷歌Play Store的應用,因為谷歌會對應用進行額外的安全審查。令人遺憾的是,谷歌也只做了這麼多,最近爆發的Android安全問題表明,這不足以保護使用者的安全。手機需要廠商釋出更新包,但大部分手機卻無法獲得更新包。”
令人感到欣慰的是,如果堅持從Play Store下載應用,不下載外部應用,使用者應當是安全的。但在釋出安全更新包的時間方面,使用者在購買手機時應當考慮劍橋大學研究團隊的結論。
自 鳳凰網科技