保安專家常常說,定時更新系統可以防止 90% 以上入侵。不過從今日起, Android 手機用戶可能要對這句話打點折扣,因為有研究發現,原來大部分 Android 手機的更新都有「不足料」的情況!
外媒報道,德國一間保安公司 Security Research Labs 在當地時間 4 月 12 日一個保安相關會議上,發表一份經過兩年細心調查的研究報告,指出原來大部分 Android 手機廠商所發出更新裡,竟然都遺漏了部分 Google 每月發布的保安修正!
由於 Android 手機的碎片化問題和各廠商客製化非常嚴重,所以 Google 每個月都會向手機廠商和網絡商發布定期修正,當中包括一些重大保安更新,希望廠商和網絡商發布這些更新到自己客戶的手機去。
Security Research Labs 對 1,200 款手機 2017 年發佈的 firmware 進行了逆向工程研究,發現即使是大廠,都會在更新中遺漏一些重大保安修正。各大廠商中,遺漏情況最少的( 0-1 個)包括 Google (佢都有就死得啦)、 Sony 、 Samsung 和法國 Wiko ,其次( 1-3 個)的是小米、 OnePlus 、 Nokia ,遺漏 3-4 個的有 HTC 、 Huawei 、 LG 和 Motorola ,而最嚴重遺漏 4 個以上的廠商就有 TCL 和 ZTE 。
不過, Security Research Labs 表示,現代 OS 是透過多種保安措施來保護的,即使遺漏少量修正,一般來說都不足以遭受遠端攻擊的。不過即使如此,為了維持各個保安層面的效率,修正檔還是具有決定性的重要作用的。
資料來源: Security Research Labs 網誌