剑桥大学研究发现87%的安卓设备不安全


发布人:admin分类:网络安全浏览量:20发布时间:2017-12-12

研究人员指出原始设备制造商(OEM)缺乏系统更新或为安卓的不安全主要原因;评分显示Nexus为最安全的手机,尽管只得到了10分中的5.5分。

安卓安全现状堪忧

安卓的碎片化一直是个大问题,而近期来自剑桥大学的研究人员利用收集的数据,创建了一种评分体系,用于衡量主要手机厂商为其产品发布安全更新包的速度,量化了安卓的安全现状。结果发现“平均87.7%的安卓设备至少存在一个已知的高危漏洞”。报告原文

上图是剑桥大学研究团队对过去数年来不安全、可能安全和安全版本的安卓设备的比例的估计,可以看到不安全的安卓设备(红色部分)是绝对的主流。

用于研究的数据来源于该组织的一个应用程序Device Analyzer,这是一个自2011年5月开始在谷歌商店上线的免费程序。 研究调查了20400部设备的版本信息,然后比较了已知的13种高危漏洞,根据运行的版本是否已经打上补丁将其标记为安全或不安全。每台被标记为“安全”或“不安全”的设备,是基于其操作系统版本是否针对这些漏洞进行了修复;而“可能安全”的设备是由于它本来可以得到一个专门的补丁进行修复的。

安卓为什么如此不安全?

研究认为,大部分归咎于与之合作的OEM。市面上大部分安卓设备都无法及时得到系统更新,这令许多系统漏洞都没法及时得到修复。为了进行这个研究,剑桥大学发起了一个网站——AndroidVulnerabilities.org,这些OEM厂商评分就是来源于这个网站保存的安全记录数据。

研究者从1-10为OEM厂商安全创建了“FUM”评分,比较不同手机的安全性。结果发现谷歌Nexus手机获得了最高分,安全性堪称最佳。在第三方厂商中,LG的表现则最出色,其次是摩托罗拉、三星、索尼和HTC。

Nexus斩获最佳,难掩分低尴尬

尽管Nexus程序的得分仅为5.2,但是仍然力压所有其他厂商设备,或许是因为这是谷歌亲自维护的。

事实上,谷歌Nexus设备更新发布得非常缓慢。及时在更新开发以及发布之后,通过OTA向用户推送更新也需要两周之久。另外一个问题是,谷歌与OEM厂商达成的“两年更新”策略与现在这个飞速发展的时代已经不相匹配了。调查中的许多Nexus设备已经不被Google支持。

华为、小米、联想未列入评分

这项研究有个非常奇怪的地方,那便是针对安卓OEM厂商的选择。根据IDC研究机构发现,全球排名前四的安卓OEM分别是三星、华为、小米以及联想。而只有三星的成绩出现在研究当中,其他三个安卓OEM厂商被忽略掉了。纵观研究名单,映入眼帘的竟是Symphony与Walton这般相对无名的品牌。

原因其实很简单,测试程序是通过谷歌商店下载的,这样一来像中国这样的地区便无法参与其中。

安全建议:正规途径下载应用

安全研究员Daniel Wagner表示,谷歌在减轻风险方面做了大量工作,建议用户只从谷歌商店中获取应用,因为这些应用谷歌进行了额外的安全审查。

这项研究揭示了安卓生态系统保护用户的道路还有很长,谷歌与一些OEM厂商致力于程序每月进行安全更新,但通常仅仅是不满两年的年轻设备,并且只针对旗舰设备。然而市场上充斥着数量更为庞大的非旗舰安卓设备,或许要等到谷歌重新架构安卓系统以支持其集中化、不限设备的更新时,我们才能看到安卓安全的一线曙光。

*参考来源:arstechnica,编译/明明知道,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)


被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21265769(PV) 页面执行时间:51.579(MS)
  • xml
  • 网站地图