-
-
研究证实:85%安卓设备不安全
-
发表于:
2015-10-29 16:05
2982
-
新闻链接:http://www.seehand.com/news/1077.html
新闻时间:2015年10月27日
新闻正文:
接近85%的安卓设备遭受着操作系统中13个致命漏洞的威胁,而它们全部是因为运营开发商长期未能及时提供补丁。很多设备不得不需要很长时间才能等来它们的更新。
最近发现的Stagefright漏洞清楚地暴露了各家运营商在安卓更新上的不均衡性。一些手机改良增强版长达数月或数年暴露在安全隐患中。研究人员根据各家公司对发布关键性更新的负责任程度来制作了排名榜单。这可以使用户清楚看到各家公司保护其用户的程度如何,同时,研究人员希望好的榜样可以起到带动和感染作用。
剑桥大学的三名研究人员已经开发出一种基于上述指标的安卓设备“记分卡”,他们称之为FUM。每一单元评估档分为1到10,用于人们评估运营商和厂商提供补丁的情况。
Daniel Thomas,Alastair Beresford和Andrew Rice在于科罗拉多州丹佛举行的移动设备安全和隐私大会上展示了这一成果。
三名研究人员报告称,将整个生态系统看作一个整体,安卓设备制造商酒会改善他们的行动。在这项研究的作者所提出的“安卓生态系统安全评估”概念中,他们平均得到10分中的2.87分。
为了收集样本信息,作者适用一种特殊应用“设备分析者”分析了21,713部设备,该应用自2011年起即可从google Play中下载。Thomas表示,这个应用不会扫描设备中的漏洞,但会收集关于设备本身以及设备使用情况的信息。收集到有关安卓操作系统版本及版本号的信息以后,研究人员将这些信息与现有活跃中的所有该设备所用操作系统的已知漏洞进行了比对。
“我们可以通过版本号来确定设备的面世日期,也就是说可以确定我们第一次遇到这一版本号的时间,这样就能够找出这个版本的操作系统有没有被backport。”Thomas说道。Backport是将一个软件的补丁应用到比此补丁所对应的版本更老的版本的行为,其也是软件开发过程中维护步骤的一部分。
收集了截止目前现行的32个严重漏洞信息以后,研究人员仅使用了其中13个(这13个漏洞均能够影响全部安卓改装机),如下图所示。Thomas同时也强调,研究人员发现,85%的安卓设备不只有一个致命漏洞。
今年八月,google宣布Nexus手机将收到OTA每月更新,以更好地保护其用户免受日益增长的漏洞和攻击。尽管剑桥大学的这项研究在7月就截止了,Nexus机型仍然在FUM评分体系中得到了更高的分数——5.17分。而其他声称会提供更加频繁更新的厂商,如LG和三星,则分别只得到3.97和2.75分。
FUM评估考虑到了在一定时期不受这些致命漏洞影响的设备评分(f),使用厂商发布的最新安卓版本的设备评分(u),以及开发商未提供补丁的现有漏洞的平均值(m)。研究人员希望,他们为之奋斗了四年多的这一评估系统,能够精确确定安卓设备的安全等级,即使在实验室外也能进行。
研究人员指出,安卓设备收到的更新太少了——平均每年1.26个更新。这也是促使专家们更加深入探寻安卓生态系统的原因。他们相信,通过数据能够得知安全问题,用户就能自主选择更加安全的设备,进而对生产商和开发商施加压力,促使他们对补丁采取更负责任的态度。
“开发商知道某款手机是否处于保护中或者是否很快能得到更新,但是你永远也不知道。”研究人员如是担忧道。
鉴于最近关于Stagefright的新闻,Thomas希望这项研究能够及时发布:这些生产商终于能够更加密切地关注世界上的信息安全新闻了。然而,尽管这项研究的作者们已经与一些生产厂家代表交流过,并准备进行一系列会面,Thomas知道,想要他们的研究真正被应用到产业中却不是那么简单的。
“我们希望我们的工作将对安卓生态系统的改善做出贡献,这样手机厂商将更有动力更多关注他们设备的安全性。时间会证明一切。”他说。
[招生]系统0day安全班,企业级设备固件漏洞挖掘,Linux平台漏洞挖掘!