鳳凰科技訊 北京時間10月14日消息,據(jù)科技網(wǎng)站PCWorld報道,Android手機廠商沒有及時發(fā)布安全更新包,使幾乎所有人都面臨受到攻擊的可能。這是劍橋大學(xué)試圖量化Android安全現(xiàn)狀的一項研究的結(jié)論之一。谷歌為這項研究提供了部分經(jīng)費。
研究人員利用收集的數(shù)據(jù),創(chuàng)建了一種評分體系,衡量主要手機廠商為它們的設(shè)備發(fā)布最新安全更新包的速度,結(jié)果顯示Android安全狀況不妙。
上圖顯示了劍橋大學(xué)研究團隊對過去數(shù)年運行不安全、可能安全和安全版本Android設(shè)備比例的估計
黑客可以利用安卓手機的Stagefright缺陷,通過發(fā)送特制的彩信傳播惡意程序,同時該缺陷還允許黑客遠程執(zhí)行惡意代碼。Stagefright缺陷表明一個安全問題會迅速危及大量設(shè)備,原因就在于Android更新過程存在瓶頸。谷歌發(fā)布新版安全補丁后,手機廠商必須把它整合在自己的Android版本中,然后才會發(fā)布到用戶的設(shè)備。運營商品牌的手機更糟糕,因為運營商還必須對安全更新包進行測試,然后才會發(fā)布給用戶。這與蘋果發(fā)布iOS更新包的過程形成了鮮明對比,蘋果可以直接向用戶的iPhone發(fā)布更新包。
Nexus表現(xiàn)最好,但所有手機都“仍須努力”
劍橋大學(xué)研究團隊創(chuàng)建了FUM評分體系,比較不同手機的安全性。結(jié)果顯示,Nexus手機得分最高,LG在第三方手機廠商中拔得頭籌。
廠商安全表現(xiàn)排名
盡管廠商表態(tài)稱會按月發(fā)布安全更新包,但除Nexus外其他手機的得分均不超過5分(滿分為10分)。隨著時間推移,這種情況會發(fā)生改變,但是,要了解按月發(fā)布的補丁的效果,以及廠商能否長期堅持按月發(fā)布更新包還為時過早。另外,按月發(fā)布更新包并未消除Android更新包發(fā)布過程中的瓶頸。除裸機外,手機何時獲得更新包仍然由運營商說了算。
研究人員丹尼爾·瓦格納(Daniel Wagner)簡要概括了問題的要害,“谷歌在減輕風(fēng)險方面做了大量工作,我們建議用戶只安裝來自谷歌Play Store的應(yīng)用,因為谷歌會對應(yīng)用進行額外的安全審查。令人遺憾的是,谷歌也只做了這么多,最近爆發(fā)的Android安全問題表明,這不足以保護用戶的安全。手機需要廠商發(fā)布更新包,但大部分手機卻無法獲得更新包!
令人感到欣慰的是,如果堅持從Play Store下載應(yīng)用,不下載外部應(yīng)用,用戶應(yīng)當是安全的。但在發(fā)布安全更新包的時間方面,用戶在購買手機時應(yīng)當考慮劍橋大學(xué)研究團隊的結(jié)論。(編譯/霜葉)