大部分Android 手机厂商在打安全补丁上都撒谎

过去 2 年时间，Google 和 Android 手机厂商已经改善了安全补丁的更新速度。从 2016 年开始，Google 保持着每月更新 Android 安全补丁的进度，面对漏洞的反应速度比以往要快不少。

这批安全补丁何时到达 Android 手机用户手里，还要取决于手机机型，Android 手机厂商可能还涉及到运营商（比如美国）。

现在，有个执行层面的问题被暴露出来。即便承诺更新安全补丁，大部分 Android 手机厂商可能会漏掉数个安全补丁。少数厂商甚至不安装补丁，通过修改安全补丁的时间，让用户以为系统已经升级到最新版本。这意味着 Android 手机厂商在手机安全性上可能隐瞒了信息。

在 13 日荷兰阿姆斯特丹的安全会议 Hack in the Box 上，安全公司安全研究实验室（SRL）的两名研究员公布了一份针对数百台 Android 机型 2 年的研究报告，探讨了这个问题。

部分信息已经公布在 SRL 实验室官网，《连线》杂志对 SRL 实验室创始人 Karsten Nohl 的采访也探讨了该问题。更详细的报告需要等待 SRL 演讲结束后才会公布在网上。

根据 SRL 提供的部分报告信息，以及《连线》的采访，SRL 实验室的报告称，Android 手机厂商在及时更新安全补丁上存在可信度的问题，大部分手机厂商都缺失了数个安全补丁没安装。
 

抽样部分：少量（Few）代表 5-9 款；很多（Many）代表 10-49 款，大量（Lots）指的是 50 款以上｜图片来自：SRL 实验室

报告称，一部分原因可能跟手机厂商有关，小米、诺基亚旗下的机型平均有 1-3 个安全补丁没有安装；还有部分原因来自于芯片公司。如果是芯片硬件层面的漏洞，Android 手机厂商就需要获得芯片公司提供的补丁。通常来说，廉价机型使用低端芯片，也就导致了廉价机型容易出现更多漏洞。

根据芯片厂商不同，手机安全补丁漏掉的数量｜图片来自：《连线》
即便是廉价机型，待遇也会有差别。在报告中，SRL 实验室以三星的 2 款廉价手机作为案例。三星 2016 年推出的两款手机 J3 声称安装了所有 2017 年发布的安全补丁，但事实上少了 12 个。同年推出的 J5 机型则会告诉用户，哪些补丁尚未安装。

SRL 实验室针对 1200 款手机的 Android 系统代码进行逆向工程，研究 2017 年发布的安全补丁是否确实安装在系统内。手机机型需要符合的标准是，这些机型在 2017 年 10 月或更晚安装过一次安全补丁。

1200 款手机来自于目前主要的 Android 手机厂商，包括华为、小米、三星这 3 家销量最大的公司，还有一加、HTC、LG、摩托罗拉等品牌。

还有个更常见的现象是，老旧机型的安全补丁更新不及时。SRL 实验室的创始人 Karsten Nohl 称，Android 手机厂商忽视老旧机型上的系统升级、安装安全补丁，是一种常见的现象。

但值得注意的是，该报告对于手机厂商、手机机型的筛选存在一定的问题。OPPO、vivo 这两个 Android 手机厂商不在内，只有几款 Pixel 手机的 Google 抽样了 50 多台设备。

但没有安装某个安全补丁，并不意味着 Android 手机就容易被攻击。SRL 实验室也提到了这点。

针对 SRL 的报告，Google 对《连线》杂志做出了回应，对 Android 手机没有安装部分安全补丁做了解释，还说会跟 SRL 实验室合作做进一步调查。Google 解释称，部分 Android 手机厂商甚至可能直接去掉了部分存在漏洞的功能，或者部分手机就不存在需要通过安装补丁修复的功能。

另一方面，即便安全补丁没有安装，现在的 Android 手机配置的安全功能使其难以被攻击。Google 方面回应称，安全更新只是用于保护 Android 设备和用户的一层。其他还包括沙盒机制、Google Play Protect 安全服务等。

在 2016 年的 Stagefright 漏洞事件后，Google 以及部分 Android 厂商已经加快了安全补丁的更新速度。但进展仍然不够快。

去年 3 月份，Google 在年度反馈中还公布了一份 16 款 Android 手机名单，显示那些已经可以每月及时获取安全补丁更新的机型，其中 6 款都是 Google 旗下的 Nexus、Pixel 手机品牌。三星、OPPO、vivo 各有一款机型在内。