手機系統經常要求用戶進行更新,但是從廠商提供的系統更新是否真的安全?
研究公司 Security Research Labs(SRL)分析師 Karsten Nohl 和 Jakob Lell 用了 2 年時間分析 Android 手機廠發佈安全更新的情況,看看廠商以及晶片廠商有沒有遺漏有關手機系統安全更新。SRL 測試了超過 1200 部 Google、SONY、Samsung、HTC、Motorola、ZTE 等等手機,發現普遍 Android 廠商均有遺漏安全更新問題,其中 TCL、ZTE 遺漏了超過 4 個安全更新,只有 Google、SONY、Samsung 和 Wiko 手機做到 0-1 遺漏。
除了手機品牌 SRL 亦以晶片製造商為單位看看哪一家的晶片遺漏了安全更新,其中 MediaTek 平均遺漏了 9.7 個安全更新,Hisilicon 遺漏了 1.9 個,Samsung 和 Qualcomm 就有 0.5 至 1.1 個。Samsung 的晶片多數在自家手機用,故遺漏更新數量較少,MediaTek 的晶片有這麼多遺漏,是因為晶片以入門級為定位,令廠商沒有任何動力解決安全漏洞。
遺漏安全更新可大可小,就是手機無法在更新後獲得應有的修補,令手機持續暴露在漏洞風險之中,如果有黑客利用漏洞,缺乏更新的手機就危險了。Google 曾因此回應過有不少手機沒有 Google 的認證,或手機廠商封鎖了更新,但 SRL 卻指,即使 Android 有沙盒機制防止惡意軟件運行,但每一個漏洞都應該獲得修補。
由蘋果開發的 iOS 只有 iPhone/iPad/iPod touch 使用,而 iPhone/iPad/iPod touch 也是蘋果的產品,即使環境很封閉,但蘋果可在漏洞出現的時候更快更直接地發佈安全更新修補,令系統更安全。
