新闻链接：http://www.seehand.com/news/1065.html
新闻时间：2015.10.21
新闻正文：
研究人员称，大约有85%的安卓设备暴露于13个关键漏洞中的一个，这些漏洞一直困扰该操作系统——而且，运营商长期未发布补丁，许多漏洞长期以来远未得到修复。

尤其是，紧随Stagefright漏洞而来，运营商应用安卓补丁的差距已有据可循——某些设备数月以来仍易受攻击，其他的则存在数年。现在，研究人员向每个公司分配了数字，来确认哪家可更好地保护用户，期望以此作为驱动它们发布紧急修复补丁的激励。

剑桥大学的三位研究人员提出为安卓设备分配记分卡的想法，他们称之为FUM分数。该分数为0至10之间的数字，反映制造商和网络运营商修复设备的频率。

三位研究人员Daniel Thomas、Alastair Beresford和Andrew Rice在周一于科罗拉多州丹佛市举行的关于智能手机和移动设备安全与隐私的2015年ACM CCS研讨会上演示了他们的工作。

审视整个生态系统，这些研究人员称安卓制造商可以完全做得更好。在他们研究附带的一篇文章《安卓生态系统的安全指标》中，他们平均给出了10分中的2.87分。

这三位研究人员通过一项APP从21713台设备中收集了研究中的信息，该APP为“Device Analyzer”（设备分析器），自2011年登录Google Play市场。

Thomas称，该APP没有扫描漏洞，但它会收集关于设备及其使用有关的信息。通过查看OS版本和编译号，研究人员可以将OS版本与设备运行该版本系统之日具有的已知漏洞匹配起来。

“我们可以使用编译号确定该安卓的特定编译版本所制作的时间（通过记录我们第一次观察到该编译号的时间），因而检测可能修复漏洞的补丁，”Thomas说道。

尽管研究人员迄今已累计收集32个重要漏洞，但他们仅使用了13个——影响所有安卓设备的漏洞。据Thomas称，平均来说，这些研究人员发现监测的设备中85%至少因一项重要漏洞易受到攻击。

Google公司在8月份宣布它会向Nexus机主每月发送OTA更新来更好地针对不断出现的漏洞和攻击保护用户。尽管研究人员的研究结束于7月份，Nexus设备的分数仍然比其他的要高，获得了5.17分FUM分数。其他声称会更加频繁地推送安全补丁的制造商，例如LG和三星，分别获得了3.97分和2.75分。

研究人员的FUM分数考虑如下因素：一段时间内免受关键漏洞影响的设备比例（F），运行制造商提供的最新版本安卓系统的设备比例（U），制造商销售的重要漏洞影响而未修复的设备的平均数量（M）。研究人员希望，他们四年以来从事的工作，即该度量标准，最终可在更广范围水平与安卓设备的安全性相关起来。

研究人员提示严重缺乏更新的安卓设备平均每年只获得1.26次更新，这驱使他们更深入地审视环境。但是，他们希望，通过将问题量化，最终对消费者在选择设备时有所帮助，并向制造商和运营商施加压力，使他们更加持续地发布更新。

“制造商和消费者之间的信息存在不对称，制造商知道设备是否安全而且会收到安全更新，而消费者却不会，”这些研究人员写道。

考虑到最近的Stagefright新闻，Thomas希望该团队的研究会发布时，制造商对安全新闻会越来越敏感。但是，尽管研究人员与某些设备制造商的管理人员进行了对话——并计划更进一步的会议——Thomas相信，目前考虑研究的确切影响为时尚早。

“我们希望，本项工作通过经济上的激励能够改善安卓的生态系统，但只有时间能够检验。”

[课程]Android-CTF解题方法汇总！