安卓厂商满嘴跑火车!你收到的可能是假安全补丁 (android厂商)
一直以来,安卓系统的碎片化都是谷歌心中会呼吸的痛。不但系统升级成了老大难,如何推送安全补丁也让谷歌挠头,毕竟数十家制造商、数百家运营商和数千款设备排列组合起来可不是个小数目。
如果你是安卓发烧友,肯定会了解一个残酷的现实,那就是许多小厂商的安全补丁推送不太及时。不过这还不是最可怕的,因为一家德国安全公司对数百款安卓手机进行了一番研究后却发现, 一些厂商不但推迟推送安全补丁,还干脆向用户撒谎,假装自己推了安全补丁。
在安全补丁的问题上,弄虚作假居然成了行业潜规则?
周五在阿姆斯特丹举办的 Hack in the Box 安全大会上,来自安全研究实验室(SRL)的研究者 Karsten Nohl 和 Jakob Lell 计划公布一个惊人的结果。
据雷锋网了解,他们俩在过去两年里对大量安卓手机的操作系统代码进行了逆向工程,为的是查证这些设备是否像厂商承诺的一样打上了安全补丁。这一查不要紧,两位研究人员居然发现了巨大的“补丁鸿沟”。举例来说, 许多厂商告诉用户,它们已经按时间完成了安卓系统的安全更新,但事实上它们只是嘴上说说来安慰用户,其实什么都没做。
也就是说,用户只是吃了安慰剂,一旦被黑客盯上,还是会非死即伤。
"补丁鸿沟"
SRL 一共测试了 1200 台手机的固件,它们来自数十家手机制造商,其中不但有谷歌的亲儿子,还有三星、摩托、HTC等知名巨头。当然,也有来自中国的中兴和 TCL。
测试结果显示, 除了谷歌自家旗舰 Pixel 和 Pixel 2 按部就班的更新了安全补丁,其它厂商都学会了偷奸耍滑,而体量较小的小众厂商,安全更新更是一本读不下去的烂账。
Nohl 指出,以前大家可能觉得厂商会抛弃自家的老产品,但事实上它们连新产品也不管不顾了,而且谎话一个比一个说的溜, 用户没享受到服务,只得到了一个纸糊的安全护盾。 “在研究中我们还真发现了没进行过一次安全更新的厂商,不过它们改日期的水平可不低,这已经算得上是蓄意欺骗了。”
如果说一些小厂商已经丧心病狂的话,那么国际大厂们还算良心未泯,类似三星或索尼这样的厂商只是会偶然漏掉一两个小补丁。不过,Nohl 也发现了一些前后矛盾的奇怪之处。举例来说,2016 年的三星 J5 会一五一十的告诉用户到底更新了哪些补丁,还有哪些未更新,而同年的三星 J3 却补丁全满,但事实上三星漏推了 12 个补丁包。
同一家厂商都能出这么多幺蛾子,真是不可思议,对普通用户来说根本无法分辨。好在这次 SRL 做了次业界良心,在它们的安卓应用 SnoopSnitch 上你就能查到自己是不是被厂商忽悠了。
廉价机型是重灾区
在完成了全部测试后,SRL 专门制作了图表(下图),它们将制造商分为三个类别,评判标准就是它们 2017 年(10 月及之后收到至少一个安全推送)修补漏洞的诚实指数。表现最好的是谷歌、索尼、三星和 WIKO,小米、一加和诺基亚则排在第二梯队,表现最不好的就是中兴和 TCL,它们都宣称完成了 4 次以上的安全更新,但其实是说了假话。
先别忙着在自己的购机愿望清单上划掉第三和第四梯队的品牌啊,因为 SRL 指出, 漏打补丁可能也有芯片供应商的锅。 它们发现,搭载联发科芯片的手机平均会漏过 9.7 个补丁(如下图),而用了三星芯片的产品则最安全,排在第二和第三的高通和海思也比联发科安全得多。
其实从这个角度也能得出一个结论,那就是 低端手机确实不够安全,钱没花到位就会掉进一个年久失修的坑人生态。
《连线》专门就这份研究结果联系了谷歌,搜索巨头先是对 SRL 的工作表示了赞赏,而后话锋一转称它们研究的一些机型其实根本没得到安卓认证,也就是说它们根本无法达到谷歌的安全标准。
同时,谷歌还指出,现代的安卓手机安全功能足够强大,它们为用户搭建了很多层防护网,即使不打补丁也很难被黑客攻破。此外,谷歌认为一些厂商直接用移除漏洞功能的方式来替代安全更新,而且别忘了,一些低端机可能本来就没有需要打补丁的功能。
Nohl 也对谷歌的评论做了回应,他认为谷歌为厂商们找的借口太牵强,那种情况发生的几率太低了。
想黑掉安卓并不容易
不过,Nohl 并没有对谷歌穷追猛打,相反他认为借着漏打的补丁黑进安卓系统其实并不容易。 即使买到放飞自我厂商的机型,用户也能受到安卓平台的庇护。 举例来说,安卓 4.0 之后,谷歌就引入了随机定位布局的解决方案,应用在内存上的位置是随机的,恶意软件对手机进行完美入侵。此外,别忘了安卓还有强大的沙盒机制,即使遭到入侵,病毒也会被困住而无法扩散。
这就意味着,除非一台手机漏洞多到不计其数,否则黑客很难完全取得手机的控制权。
Nohl 指出, 对安卓系统进行正面强攻太难了,因此网络罪犯门玩起了旁敲侧击。 他们把人的心理研究的透透的,只用一些能占小便宜的免费或盗版软件,就能轻松在受害者手机中植入恶意软件。
同时,Nohl 也提醒大家,有背景的黑客集团们可不玩小花招,他们大多会直接利用零日漏洞(可攻破且没有补丁防护的秘密漏洞)发动攻击。当然,有时他们也会采用混合攻击方案,零日漏洞和普通漏洞一起用。
在防御黑客上,Nohl 认为战争理论中的“纵深防御”最有效,虽说安卓系统并不容易攻破,但你每少打一个补丁,可能就会少一层防御,给自己挖坑的事还是不作为好。
恩威并施的“保姆”谷歌
谷歌为了安全补丁可谓操碎了心,几乎就差把饭喂进手机厂商的嘴里。
不过,因为复杂的市场环境、利益关系以及自身能力,手机厂商们对于谷歌主动提供的安全补丁反倒情绪复杂,有人无所谓有人很积极,甚至有些干脆选择性遗忘。
雷锋网宅客频道(微信公众号:letshome),专注先锋科技领域,讲述黑客背后的故事。
原创文章,未经授权禁止转载。详情见 转载须知 。
本文地址: https://www.gpxz.com/article/04c18be5aff7eb94523e.html
《热血江湖》是一款以武侠为背景的卡通风格网络游戏,在画面以及系统上都比以往的网络游戏有所突破。《热血江湖》是根据韩国同名的畅销漫画改编的网络游戏,它拥有其他游戏没有的故事情节以及庞大的世界观,一上市就引起了广大用户的热烈欢迎。
惠州市康瑞精密组件有限公司拥有丰富的电子线束生产经验,产品有:新能源线束,防水线束,USB线束,线束加工定制,并和小米公司等建立了密切的合作关系。产品质量交期有保障!咨询热线:18688346088
logo设计网(www.logosheji.com),1分钟为您提供原创logo在线制作服务,7*24小时在线设计服务,免费为您提供国内外logo设计,标志设计,商标设计欣赏
山东利洋机械有限公司是国内专业从事油炸流水线、净菜加工流水线、低温灭菌流水线的企业,引用国外先进生产工艺和控制技术,通过利洋人的不懈努力,为国内食品生产厂家提供先进的自动化生产流水线和领先的生产工艺,获得了客户的高度评价和认可。
无边泳池,透明游泳池,亚克力游泳池,亚克力厚板,英国露彩特原材料厂家
成都百闻一键科技有限公司
广州市明道文化科技集团股份有限公司创立于2012年,由广州市明道文化产业发展有限公司、广州市明道灯光科技有限公司、广州市明道舞台科技有限公司、广州市明道工程技术有限公司、珠海横琴华夏弘道投资中心等公司组成,是一家集文旅创意制作、演艺设备供应和集成项目实施为一体的综合性企业集团。
内孔倒角刀具,内孔去毛刺刀具(内外孔倒角去毛刺,交叉孔去毛刺倒角,孔口正反倒角去毛刺刀具及贯穿孔上下孔口去毛刺倒角刀具),微小铣刀,合金反锪刀,刀具修磨,合金背铣刀,合金组合铣刀,轮毂钻,轮毂刀具,螺纹铣刀,亚克力刀,单刃铣刀,提供刀具修磨服务,专业的铣刀修磨,钻头修磨-专业的刀具生产商常州优刃工具有限公司
1771wan网页游戏平台聚集了中国游戏市场最好玩的PC端页游和手游,每天都有最新的网页游戏开服表及开测封测信息,如传奇霸业,七杀,西游之路等最新最好玩的传奇页游,武侠页游,致力于打造最低折扣和最精品的游戏平台!
东阳奇树有鱼文化传媒有限公司于2015年09月25日在东阳市工商行政管理局登记成立。法定代表人董冠杰,公司经营范围包括一般经营项目:制作、复制、发行:专题、专栏等。东阳奇树有鱼文化传媒有限公司创立于2015年,是一家以用户需求为驱动的互联网娱乐公司,主要业务涵盖网络电影、网络剧、音乐短视频三大板块。2017年奇树有鱼提出网络电影“IP战略”,将《少林》《四大名捕》《奇门遁甲》等IP引入网络电影市场。
云南省第一人民医院
山东矩阵软件工程股份有限公司推出大车奔腾物流SaaS平台实现全过程循环在线,打造智慧化、自动化、无人化。产品包括网络货运、客商平台、流向管控、发运系统等。
10月13日消息,又到了一年一度的,双11,购物活动,各大电商平台将推出多种促销折扣,也是不少人等待已久的购物节点,今日,京东公布了2023年,双11,活动的时间节点,整体将围绕,起售期、开门红、专场期、高潮期、返场期,五个时期重点布局营销玩法附各时期具体活动时间如下,1,起售期,2023年10月23日20,00,00,2023年1...。
intelvmd什么意思?intelvmd技术有什么用?bios中如何关闭intelvmd
巧太太在产品营销上奉行,诚信、高效、双赢,的原则,始终如一为客户创造超频价值,卡迪晾衣架以研发、生产、销售高端家居产品为主体,着眼于全国市场的企业,牵手晾衣架具有全遥控自动升降遇阻停机,过热保护,紫外线杀菌、风干、照明、防风等功能,郁金香真正地自主专利国际技术产品,晾霸在吸收、采集智慧的同时,恋伊一直孜孜不倦地追求着很好的归真,让智慧...。
11月19,20日,以,动能焕新·智慧融合,为主题的世界人工智能融合发展大会在山东济南隆重召开,大会由工业和信息化部、中国工程院、山东省人民政府指导,山东省工业和信息化厅、山东省教育厅、山东省科技厅、山东省财政厅、济南市人民政府、新一代人工智能产业技术创新战略联盟主办,中关村视听产业技术创新联盟、山东省人工智能产业联盟,山东省物联网协...。
雷锋网AI评论按,关于深度学习的框架之争一直没有停止过,PyTorch,TensorFlow,Caffe还是Keras,近日,斯坦福大学计算机科学博士生AwniHannun就发表了一篇文章,对比当前两个主流框架PyTorch和TensorFlow,雷锋网AI科技评论编译如下,这篇指南是我目前发现的PyTorch和TensorFlow之...。
白酒代理指白酒生产厂家给予商家一定的权利,帮助其售卖自己的产品、解决库存问题以及品牌影响力,专业为酒商提供酒水招商,白酒招商,白酒品牌,白酒招商加盟,保健酒招商,果酒招商,红酒招商,红酒品牌,葡萄酒招商,法国红酒,果酒招商等多方面360度酒水招商代理,...。
人们很看重健康,每个人的生活中都离不开早餐,很多人对早餐的需求都很大,大多数都会选择早餐店就餐,这样更加方便,而且还能吃到更加营养美味的产品,早阳早餐服务了很多消费者,给顾客带来了健康早餐产品,加盟商也有了创业的机会,早阳早餐加盟费多少钱,大家在创业之前也要具备资金,早阳早餐消费者带来的产品主要以包子作为特色,总部有自己的研发基地,能...。
发表在专业问答2022,11,1011,16展示机型信息,品牌型号,当贝U1系统版本,当贝OS3.0当贝U1可以连接WIFI,当贝连接无线网络的方式是进入设置界面,然后在网络设置中开启WLAN功能,接着搜索WIFI信号并完成连接即可,当贝U1可以连接WIFI吗当贝U1是支持连接WIFI的,具体的当贝U1连接WIFI操作方法如下,1.按...。
Cayenne,外观极具辨识度,层次分明的前脸和圆润的矩阵式大灯组,宛如一只张开嘴的大青蛙,同样别具一格,虽然雷克萨斯LS的品牌影响力、性能、操控性都不如BBA的百万级车型,但我还是会选择LS,因为相对于78S来说LS是非常难得的,保时捷panamear和玛莎拉蒂ghibli哪个好有面子些吧这两款车都拥有不俗的动力配置,玛莎拉蒂Ghi...。
成人用品店在国内的市场发展规模巨大,几乎在每一个城市都有着大量的成人用品店存在,其中有着很多出色的成人用品零售连锁品牌有着火热的发展,以一站式的产品销售模式受到了很多消费者的喜爱,合欢情趣用品就是一个有着出色发展的实力品牌,以二十四小时经营的模式进行经营发展,对于人力以及物力的资源需求很小,是诸多加盟创业人士的青睐选择,那么,合欢情趣...。
您好!感谢您对携程游览网的关注!携程英文网站网址为,哦~~如有疑问,倡导您在关注携程微信,iCtrip,后,在9,00,18,02之间发送,KF,进入人工告知您的详细事宜,咱们会有专员为您核实解决,更多产品预订活动消息,欢迎点击这里,了解一下~~在微信中搜查携程群众号,iCtrip,,回复,绑定,或,关联,,即可经常使用微信预订携程产...。
一、育碧软件游戏的开发编辑育碧软件游戏开发编辑是一个游戏开发利器,它可以帮助开发者们快速开发出精彩的游戏。育碧软件游戏开发编辑拥有强大的编辑器,可以让开发者们迅速创
雷锋网按,2020年8月7日,8月9日,2020第五届全球人工智能与机器人峰会,CCF,GAIR2020,于深圳正式召开,峰会由中国计算机学会,CCF,主办,雷锋网、香港中文大学,深圳,联合承办,鹏城实验室、深圳市人工智能与机器人研究院协办,得到了深圳市政府的大力指导,旨在打造国内人工智能领域极具实力的跨界交流合作平台,是国内人工智能...。
语音播放文章内容由深声科技提供技术支持您的浏览器不支持audio元素,2019年11月19日,20日,又一人工智能领域的重量级会议,世界人工智能融合发展大会,即将在山东济南举行,大会云集国内外人工智能领域大咖,将以专业、深度和前瞻性视角,以多个产业领域的新旧动能转换、智慧升级为话题,推动全方位合作,努力实现融合创新,届时,大会将邀请山...。
雷锋网AI科技评论消息,2017年10月26日上午,第十四届中国计算机大会,CNCC2017,正式在福州海峡国际会展中心开幕,雷锋网作为独家战略合作媒体,对大会进行了全程报道,在大会第一天,菲尔兹奖获得者、哈佛大学终身教授丘成桐在会上作为特邀嘉宾做了首个演讲报告,报告主题为,现代几何学在计算机科学中的应用,报告中丘成桐先生首先介绍了...。
2023全国两会临近,360集团创始人周鸿祎再次连任全国政协委员,正式进入履职的第六年,据了解,今年周鸿祎将携三份提案上会,分别关注人工智能大模型技术发展、城市数字安全和中小微企业数字化,共同富裕,周鸿祎表示,三份提案可以用一句话总结,上山下海扶助小微,上山,是上科技高山,近期ChatGPT引发全球热议,周鸿祎认为,以ChatGP...。
名字只是代号,它并不重要,当然说这话也肯定是在骗人,不然为什么取个名字都会让下面这些科技公司创始人犯难,有的还在取名之后反复修改,今年他们已经坐上了彭博财富排行榜前100张椅子,当初是怎样用一个大约10个字母或字符的名字定义自己的企业的?不想废话,直接用核心业务取名微软是唯一一家公司,有3名高管同时登上彭博的富翁排行榜,Microso...。
