※ 本文為 JackLee5566.bbs. 轉寄自 ptt.cc 更新時間: 2018-04-15 12:35:51
看板 MobileComm
作者 標題 [新聞] 你以為裝完所有手機安全更新,其實沒有,
時間 Sat Apr 14 14:09:36 2018
你以為裝完所有手機安全更新,其實沒有,
研究發現:多款Android手機的安全更新資訊不實
Android手機的安全更新一直遠不如iPhone有效率,因此Google一直力促手機廠商提供安
全更新。但研究人員發現,包括從大廠三星、Sony到HTC及中國手機等Android手機提供用
戶的安全更新資訊,皆或多或少有誇大不實的問題,導致用戶曝露於安全風險之中。
全更新。但研究人員發現,包括從大廠三星、Sony到HTC及中國手機等Android手機提供用
戶的安全更新資訊,皆或多或少有誇大不實的問題,導致用戶曝露於安全風險之中。
Wired周四報導,安全公司Security Research Labs研究人員Karsten Nohl及Jakob Lell
測試了來自Google、三星、Sony、HTC、Nokia、Motorola、及中國的ZTE、TCL等1200款手
機的韌體,以測試是否真的如手機訊息顯示下載了安全更新。結果出現研究人員稱為「修
補程式鴻溝」(patch gap)的情形,即手機真實下載的更新都或多或少有所遺漏。研究
人員也在荷蘭阿姆斯特丹舉行的Hack in the Box安全會議上公佈這項研究。
測試了來自Google、三星、Sony、HTC、Nokia、Motorola、及中國的ZTE、TCL等1200款手
機的韌體,以測試是否真的如手機訊息顯示下載了安全更新。結果出現研究人員稱為「修
補程式鴻溝」(patch gap)的情形,即手機真實下載的更新都或多或少有所遺漏。研究
人員也在荷蘭阿姆斯特丹舉行的Hack in the Box安全會議上公佈這項研究。
研究顯示,偶爾情況下Sony、或三星手機會遺漏1、2項修補程式。但同一家廠商的手機的
表現差異也很大,例如2016年Samsung J5是完全真實顯示安裝了哪些,以及尚有哪些修補
程式未安裝。但2016年J3手機卻遺漏了12項,包括2項重大修補程式。
表現差異也很大,例如2016年Samsung J5是完全真實顯示安裝了哪些,以及尚有哪些修補
程式未安裝。但2016年J3手機卻遺漏了12項,包括2項重大修補程式。
研究人員提供各家手機廠商的遺漏修補程式平均數。其中Google、Sony、Samsung及法國
廠商Wiko平均在1個以下,小米、Nokia及OnePlus為1-3項,HTC、LG、華為及Motorola則
在3-4項。而中國手機品牌TCL及ZTE遺漏數量為4個以上。
廠商Wiko平均在1個以下,小米、Nokia及OnePlus為1-3項,HTC、LG、華為及Motorola則
在3-4項。而中國手機品牌TCL及ZTE遺漏數量為4個以上。
這項研究還探討了晶片組和手機遺漏修補程式的關係。其中三星產品平均不到0.5表現最
佳,高通(Qualcomm)為1.1項,中國的海思半導體(Hisilicon)為1.9項。聯發科則高
達9.7項。研究人員表示,有些情形下,可能純粹是因為便宜的手機較容易遺漏修補程式
,剛好又使用了便宜的晶片組。但其他情形下是因為漏洞出在晶片本身,而手機廠商又仰
賴晶片商提供修補程式,使得手機出現修補不足的情形。
佳,高通(Qualcomm)為1.1項,中國的海思半導體(Hisilicon)為1.9項。聯發科則高
達9.7項。研究人員表示,有些情形下,可能純粹是因為便宜的手機較容易遺漏修補程式
,剛好又使用了便宜的晶片組。但其他情形下是因為漏洞出在晶片本身,而手機廠商又仰
賴晶片商提供修補程式,使得手機出現修補不足的情形。
研究人員指出,如果消費者買的是便宜手機,可能就會身處在維護不良的生態體系中。
Google對此回應,研究測試的手機,有些並未符合Google現在正在力推的Android安全認
證,同時現在的Android手機有更多安全防護,像是應用程式沙盒、手機防毒等等,因此
即使少安裝了修補程式也不容易被駭。該公司也指出,有些情況下Android手機移除了有
問題的功能,或一開始就沒有這些功能,因此一些修補程式是不重要的。
Google對此回應,研究測試的手機,有些並未符合Google現在正在力推的Android安全認
證,同時現在的Android手機有更多安全防護,像是應用程式沙盒、手機防毒等等,因此
即使少安裝了修補程式也不容易被駭。該公司也指出,有些情況下Android手機移除了有
問題的功能,或一開始就沒有這些功能,因此一些修補程式是不重要的。
研究人員Nohl並不認同Google關於手機廠商移除有問題功能的論點,但同意現代Android
的設計,像是Android 4.0以上將記憶體中程式位置隨機化之後,使得更不容易為惡
意程式攻擊。
這也意謂著,大部份Android手機攻擊是起於駭客利用多個軟體或app弱點,而非只是沒有
安裝修補程式。因此除了國家贊助的攻擊行為是攻擊未修補漏洞,大部份攻擊是來自使用
者從Google Play Store或第三方軟體商店下載了有害的app這種簡單行為。
安裝修補程式。因此除了國家贊助的攻擊行為是攻擊未修補漏洞,大部份攻擊是來自使用
者從Google Play Store或第三方軟體商店下載了有害的app這種簡單行為。
不過即使如此,研究人員仍然強調「深度防禦」的重要性,每少一安裝一項修補程式,就
多一分被攻擊者得手的風險。
https://www.ithome.com.tw/news/122398
你以為裝完所有手機安全更新,其實沒有,研究發現:多款Android手機的安全更新資訊不實 | iThome
![[圖]]()
從大廠三星、Sony到HTC及中國手機等Android手機提供用戶的安全更新資訊,皆或多或少有誇大不實的問題,導致用戶以為自己完成更新,但其實沒有完成,而曝露於安全風險之中。 ...
![[圖]](https://s4.itho.me/sites/default/files/field/image/shou_ji_an_quan_geng_xin_bu_shi_.jpg)
心得:
Security Research Labs提供了一款app
SnoopSnitch
可以用來測試你的手機有多少missing patches
https://play.google.com/store/apps/details?id=de.srlabs.snoopsnitch
SnoopSnitch - Apps on Google Play Disclaimer: Patch analysis will work on any phone. However, active network tests and attack monitoring require a compatible* rooted device with Qualcomm chipset. What. SnoopSnitch analyzes your phone's firmware for installed or missing Android security patches. On compatible* rooted phones, SnoopSnitch can also collect and analyze mobile radio data to make you aware of your mobile network security and to warn you about threats like fake base stations (IMSI catchers), user tracking, and SS7 attacks.How. SnoopSnitch allows you to analyze your phone's firmware and provides a detailed report with the patch-status of vulnerabilities (CVEs) by month.Network security and attack monitoring: To use these features, a rooted device* with a Qualcomm chipset running stock Android 4.1 or higher is required. Custom ROMs are often unsupported as they can lack necessary proprietary drivers. (CyanogenMod seems to work for some users.)Contribute. SnoopSnitch uses data contributed by users. Patch analysis results and firmware build details are uploaded to our server. This enables further tool improvements and research of the Android patch landscape. You may also choose to help improve our global network security and threat statistics by uploading your network measurements or security events. SnoopSnitch will ask for confirmation before uploading any such information to our servers. All uploads are encrypted.Permissions. The app asks for a number of permissions, most of which are only required for network tests and attack monitoring:https://opensource.srlabs.de/projects/snoopsnitch/wiki/Android_application_permissionsLicense. SnoopSnitch is open-source software released under the GPL version 3. Please visit our project website for source code and further information:https://opensource.srlabs.de/projects/snoopsnitch*Compatible phones (when rooted). A list of these devices can be found here:https://opensource.srlabs.de/projects/snoopsnitch/wiki/DeviceListFeedback. We look forward to hearing from you at snoopsnitch@srlabs.de. PGP fingerprint: 9728 A7F9 D457 1FBB 746F 5381 D52C AC10 634A 9561-- snoop snitch
原始研究成果在這邊
https://srlabs.de/bites/android_patch_gap/
pdf slides:
https://bit.ly/2qB9gOD
OPPO是墊底的
另外也幫聯發科QQ
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.136.230.99
※ 文章代碼(AID): #1QqPiay6 (MobileComm)
※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1523686180.A.F06.html
推 : 推 買小米手機才可以保護個資1F 04/14 14:16
推 : 小米祖國力量全力守護個資^_^2F 04/14 14:17
→ : J5 2016看起來還不錯又便宜3F 04/14 14:20
推 : 想說的大概已經在這篇說完 #1Qq3v9hk4F 04/14 14:30
→ : 大家記得請教lpoijk大 它除了有高智慧 還有驚人時間
→ : 更熱心為舊手機服務呢
→ : *抱歉 他 非它
※ 編輯: Rattle (223.136.4.223), 04/14/2018 14:48:05→ : 大家記得請教lpoijk大 它除了有高智慧 還有驚人時間
→ : 更熱心為舊手機服務呢
→ : *抱歉 他 非它
推 : 晶片組和手機遺漏修補程式的關係 聯發科則高達9.7項8F 04/14 14:57
推 : nexus/pixel 表示無感9F 04/14 15:06
推 : 發哥出名了10F 04/14 15:12
推 : 中國只需要信用,個資完全不用怕11F 04/14 15:17
推 : 三星算優良的耶 遠超板上強推火腿腸12F 04/14 15:31
推 : 本版名言你的個資很重要嗎?13F 04/14 15:37
推 : 反觀14F 04/14 15:56
推 : 三星更新都慢好幾拍。15F 04/14 16:11
推 : 大家只想著要趕快衝第一更新 誰管你安全性更新做的16F 04/14 16:12
→ : 完不完整
→ : 完不完整
推 : LG G5已經放生一年沒有任何更新了…18F 04/14 17:00
![[圖]](https://i.imgur.com/Xrq91xgh.png)
![[圖]](https://i.imgur.com/tsIlg7dh.jpg)
→ : zs551kl22F 04/14 18:33
![[圖]](https://i.imgur.com/iIjLm0rh.jpg)
→ : 不給測是沒Root吧24F 04/14 18:48
推 : 交叉試了一下,不論開啟Hide與否以及root授予與否皆25F 04/14 19:03
→ : 顯示1:1,No further tests are yet available for
→ : this Android version.
→ : 顯示1:1,No further tests are yet available for
→ : this Android version.
推 : 8.1 一樣是1+1的結果28F 04/14 19:06
推 : Google了一下 不支援8.1的樣子29F 04/14 19:18
![[圖]](https://i.imgur.com/HFYBjJeh.jpg)
→ : Note 531F 04/14 21:34
推 : 三星還內建防毒Knox 算是比較全面的32F 04/14 21:36
推 : 「國家贊助的攻擊」33F 04/14 22:04
![[圖]](https://i.imgur.com/yh4BMyYh.jpg)
→ : Sony Xperia XZ135F 04/14 22:56
→ : 懶得長篇小說這app沒太多參考價值 就說一點36F 04/15 01:27
→ : 要root才能測試 表明好些漏洞擺在那 這app知道漏洞
→ : 是什麼 可連要接觸試探它的後門路都沒有 就是系統各
→ : 種安全機制庇護有效
→ : 要root才能測試 表明好些漏洞擺在那 這app知道漏洞
→ : 是什麼 可連要接觸試探它的後門路都沒有 就是系統各
→ : 種安全機制庇護有效
![[圖]](https://i.imgur.com/rhXfIDbh.jpg)
推 : 免費的最貴41F 04/15 08:16
![[圖]](https://i.imgur.com/9jUGwwsh.png)
推 : oneplus直接不更新啦45F 04/15 12:08
--
※ 看板: Z_sports 文章推薦值: 0 目前人氣: 0 累積人氣: 72
回列表(←)
分享