德國 Security Research Lab 的安全研究人員們，剛剛有一項驚人的發現。

在對 1200 款 Android 裝置的作業系統程式碼進行逆向工程之後，Karsten Nohl 和 Jakob Lell 發現某些智慧手機制造商未能誠實地給裝置打上安全補丁。

兩人的工作，主要是檢查程式碼，以確認手機設定中引用的安全補丁，是否已經真的被應用。

【新聞配圖（via：Android.com）】

然而在許多情況下，他們都發現了一個“真空地帶”—— 某些廠商其實沒有完整地打上補丁。

此外，與廠商所宣稱的相比，來自 HTC、摩托羅拉、以及 LG 的裝置，缺失的補丁數量也有 3~4 個。而中興和 TCL 手機的平均缺失補丁數量超過了 4 個。

【（Security Research Labs / Wired）】

SRL 還指出了缺失補丁和手機採用的晶片組之間的關聯資料，那些採用了廉價處理器的低端機，更有可能跳過一些補丁。

比如在採用聯發科機型的裝置上，平均缺失的補丁數量為 9.7 個。相比之下，採用三星處理器的裝置，被跳過的數量就要少很多。

Google 對 SRL 的研究表示讚賞，但指出其分析的部分裝置可能並未得到 Android 認證、或者沒有遵從該公司的安全標準。

更重要的是，Google 指出，現代 Android 手機的安全功能已經到位，即便包含了未修補的漏洞，也很難被破解。

此外，在某些情況下，廠商可能會從裝置中移除一個易受攻擊的功能，而不是修復它，這也可能是某些漏洞缺失的一個客觀原因。

最後，Google 表示會與 SRL 深入調查合作，Nohl 也認同了該公司關於“某些未打補丁的裝置仍然難以被破解”的觀點，這得益於 Google 部署的許多安全措施。

有些補丁是致命的，不管是哪個手機廠商都要抓緊補，因為牽扯到安全問題，即使廠商沒及時補三方也會想辦法，比如支付類的！有些補丁不升級有可能導致你的資訊洩露，支付被盜用，手機被人控制等等！有的很嚴重…

不管是電腦上的 Windows、macOS 還是手機的 iOS 和 Android，幾乎所有作業系統都會在提供功能和穩定性改進的系統更新同時，向用戶提供保證裝置安全性的安全更新。

但一項最新的調查卻指出，Android 手機廠商在安全更新推送這件事情上或許只是在「改版本號」，除了變變數字，實質的安全漏洞修補工作並沒有做到位。

被忽視的安全更新

國內使用者對 Android 系統的安全更新可能比較陌生，相比之下，我們更加在意廠商為系統帶來的功能更新和穩定性提升，因此廠商也鮮有在更新日誌中提及安全更新的。

但只要我們開啟 Android 手機的系統設定，能看到這項名為「Android 安全補丁程式級別」的系統資訊。它以日期的形式顯示，距離當前日期越近則安全更新補丁程式版本越新。

安全更新補丁程式版本

這些安全更新補丁主要來源於 Android 開放原始碼專案（AOSP）、上游 Linux 核心和系統晶片（SOC） 製造商，可以從硬體和軟體層面保證 Android 裝置不受最新安全漏洞的影響。因此，Google 在向自家裝置推送安全更新的時也會公佈對應的 安全更新公告，方便使用者獲知具體的修復內容同時方便其他廠商進行跟進。

Google 安全更新公告截圖

部分廠商甚至能夠提前一個月從 Google 那裡獲知這些安全漏洞，根據 AOSP 原始碼以及安全更新公告中給出的補丁程式連結，他們可以結合實際情況及時合併這些安全更新來保證自己的使用者不受漏洞影響。

顯然，安全更新的跟進越及時越好。

為什麼你需要關注安全更新

Android 的安全更新和 Android 系統版本並無必然關聯。

以 Google 為例，Nexus 和一代 Pixel 裝置的 Android 版本更新週期為兩年，但他們自首次在 Google 商店上架的三年內或從 Google 商店下架後的至少 18 個月裡，都會收到安全更新（以時間較長者為準）。這些安全更新的推送頻率為每月一次，一般在每個月的第一個星期一向使用者分發。

也就是說，即便在系統版本停止更新的前提下，廠商也能夠甚至應該向使用者提供安全更新補丁來保證使用者裝置的安全性。

這也是此次事件受到外媒和 Google 關注的原因所在，從某種程度上來說，第一時間為自家 Android 裝置提供安全更新體現的是廠商對使用者的責任感。

Pixel 裝置的更新時間表

但受到軟體開發實力和市場策略等因素影響，並非所有廠商都能像 Google 這般「勤快」。一些小公司、小團隊甚至連跟上 Android 系統的大版本更新都有些吃力，要實現 Google 這樣的月度例行安全更新自然是難上加難。

最近，一家名為 SRL 安全研究實驗室的德國公司就針對 Android 系統的安全更新做了一項調查來核實廠商所推送的安全更新的真實性。他們對數十種品牌的 1200 部 Android 裝置進行了調查研究，考查範圍為 2017 年 10 月至今年 4 月這段時間裡至少向用戶宣稱或標榜進行過一次安全更新推送的手機。

需要注意的是：一次安全更新中往往包含多個安全漏洞補丁，而 SRL 考察的是被 Google 安全更新公告標記為「嚴重」或「高」的安全更新補丁遺漏數量，這兩個等級的安全漏洞如果沒有得到及時修補也許會為使用者帶來相當嚴重的後果，它們的影響可參考下方由 Google 製作的表格：

高危漏洞被利用的後果

而 SRL 的調查結果顯示，Google、三星、索尼、Wiko（法國手機品牌，主要股東為深圳公司）四家廠商在這些安全更新推送中沒有遺漏或僅漏掉了一個高危漏洞補丁；小米、一加、諾基亞在這些安全更新推送中漏掉了 1~3 個高危漏洞補丁；HTC、華為、摩托羅拉、LG 漏掉了 3~4 個高危漏洞補丁；TCL 和中興沒有修復的高危安全漏洞則超過 4 個。

SRL 的調查結果

向用戶推送安全更新卻遺漏掉關鍵的高危漏洞？這件事本身就有些可疑。SRL 更指出，他們認為部分手機廠商在安全更新推送這件事上可能存在欺詐行為。這種「欺詐」體現在兩個方面：

有意或無意忽略對高危安全漏洞的修復；修改「安全更新補丁級別」資訊但實際修復效果未達標。

後者則被部分外媒認為是向用戶營造「廠商很負責，我的手機很安全」假象的市場銷售手段。

這件事對使用者有什麼影響？

根據 Google 說法：調查結果有待商榷，漏掉補丁影響不大。

一方面，Google 認為 SRL 的調查忽略了一個關鍵因素：Android 裝置是具有多樣性的。一些高危安全更新補丁的適用範圍其實有限，它可能適合 A 廠商的手機，但由於 B 廠商的手機並沒有配備對應的硬體或軟體，也就無需針對這個漏洞進行修補。

因此，Google 將在接下來的時間與 SRL 展開合作，進一步就部分廠商可能存在的欺詐式「表面更新」進行深入調查。

另一方面，Google 特別指出，即便部分高危漏洞補丁沒有被及時修復，Android 作業系統自身的安全機制也能夠很好地抵禦針對這些高危漏洞的攻擊，比如自 Android Lollipop 就引入的針對緩衝區溢位的安全保護技術 ASLR（地址空間隨機分佈）和限制惡意應用影響範圍的沙盒機制等等；同時，利用這些漏洞進行攻擊這件事本身就相當困難。

雖然聽上去有些讓人難以置信，但 SRL 調查小組的負責人也對這個說法表示了認可。

如果你想知道自己所使用的 Android 裝置有沒有漏掉高危漏洞安全補丁的「表面更新」，可以下載 SRL 推出的 SnoopSnitch 應用進行檢測，同時，儘量保證從安全可靠的來源獲取 Android 應用（比如 Play 應用商店），不要安裝來歷不明的盜版、修改版應用。