一直以來，安卓系統的碎片化都是Google心中會呼吸的痛。不但系統升級成了老大難，如何推送安全補丁也讓Google撓頭，畢竟數十家制造商、數百家運營商和數千款設備排列組合起來可不是個小數目。

如果你是安卓發燒友，肯定會了解一個殘酷的現實，那就是許多小廠商的安全補丁推送不太及時。

不過這還不是最可怕的，因為一家德國安全公司對數百款安卓手機進行了一番研究后卻發現，一些安卓廠商不但推遲推送安全補丁，還干脆向用戶撒謊，假裝自己推了安全補丁。

在安全補丁的問題上，弄虛作假居然成了行業潛規則?

周五在阿姆斯特丹舉辦的Hack in the Box安全大會上，來自安全研究實驗室(SRL)的研究者Karsten Nohl和Jakob Lell計劃公布一個驚人的結果。

據雷鋒網了解，他們倆在過去兩年里對大量安卓手機的操作系統代碼進行了逆向工程，為的是查證這些設備是否像廠商承諾的一樣打上了安全補丁。這一查不要緊，兩位研究人員居然發現了巨大的“補丁鴻溝”。

舉例來說，許多廠商告訴用戶，它們已經按時間完成了安卓系統的安全更新，但事實上它們只是嘴上說說來安慰用戶，其實什么都沒做。

也就是說，用戶只是吃了安慰劑，一旦被黑客盯上，還是會非死即傷。

“我們發現，現在的廠商們都是嘴炮打得好，真到需要打安全補丁時它們就消失了。”Nohl說道，“有時候這些家伙連補丁描述都懶得改，只是換了個日期就算完事。也許這是為了市場宣傳?反正它們只是任意設置個更新日期，怎么好看怎么來。”

“補丁鴻溝”

SRL一共測試了1200臺手機的固件，它們來自數十家手機制造商，其中不但有Google的親兒子，還有三星、摩托、HTC等知名巨頭。當然，也有來自中國的中興和TCL。

測試結果顯示，除了Google自家旗艦Pixel和Pixel 2按部就班地更新了安全補丁，其它廠商都學會了偷奸耍滑，而體量較小的小眾廠商，安全更新更是一本讀不下去的爛賬。

Nohl指出，以前大家可能覺得廠商會拋棄自家的老產品，但事實上它們連新產品也不管不顧了，而且謊話一個比一個說的溜，用戶沒享受到服務，只得到了一個紙糊的安全護盾。

“在研究中我們還真發現了沒進行過一次安全更新的廠商，不過它們改日期的水平可不低，這已經算得上是蓄意欺騙了。”

如果說一些小廠商已經喪心病狂的話，那么國際大廠們還算良心未泯，類似三星或索尼這樣的廠商只是會偶然漏掉一兩個小補丁。不過，Nohl也發現了一些前后矛盾的奇怪之處。

舉例來說，2016年的三星J5會一五一十的告訴用戶到底更新了哪些補丁，還有哪些未更新，而同年的三星J3卻補丁全滿，但事實上三星漏推了12個補丁包。

同一家廠商都能出這么多幺蛾子，真是不可思議，對普通用戶來說根本無法分辨。好在這次SRL做了次業界良心，在它們的安卓應用Snoop Snitch上你就能查到自己是不是被廠商忽悠了。

廉價機型是重災區

在完成了全部測試后，SRL專門制作了圖表(下圖)，它們將制造商分為三個類別，評判標準就是它們2017年(10月及之后收到至少一個安全推送)修補漏洞的誠實指數。

表現最好的是Google、索尼、三星和WIKO，小米、一加和諾基亞則排在第二梯隊，表現最不好的就是中興和TCL，它們都宣稱完成了4次以上的安全更新，但其實是說了假話。

先別忙著在自己的購機愿望清單上劃掉第三和第四梯隊的品牌啊，因為SRL指出，漏打補丁可能也有芯片供應商的鍋。

它們發現，搭載聯發科芯片的手機平均會漏過9.7個補丁(如下圖)，而用了三星芯片的產品則最安全，排在第二和第三的高通和海思也比聯發科安全得多。

其實從這個角度也能得出一個結論，那就是低端手機確實不夠安全，錢沒花到位就會掉進一個年久失修的坑人生態。

《連線》專門就這份研究結果聯系了Google，搜索巨頭先是對SRL的工作表示了贊賞，而后話鋒一轉稱它們研究的一些機型其實根本沒得到安卓認證，也就是說它們根本無法達到Google的安全標準。

同時，Google還指出，現代的安卓手機安全功能足夠強大，它們為用戶搭建了很多層防護網，即使不打補丁也很難被黑客攻破。

此外，Google認為一些廠商直接用移除漏洞功能的方式來替代安全更新，而且別忘了，一些低端機可能本來就沒有需要打補丁的功能。

Nohl也對Google的評論做了回應，他認為Google為廠商們找的借口太牽強，那種情況發生的幾率太低了。

想黑掉安卓并不容易

不過，Nohl并沒有對Google窮追猛打，相反他認為借著漏打的補丁黑進安卓系統其實并不容易。即使買到放飛自我廠商的機型，用戶也能受到安卓平臺的庇護。

舉例來說，安卓4.0之后，Google就引入了隨機定位布局的解決方案，應用在內存上的位置是隨機的，惡意軟件對手機進行完美入侵。此外，別忘了安卓還有強大的沙盒機制，即使遭到入侵，病毒也會被困住而無法擴散。

這就意味著，除非一臺手機漏洞多到不計其數，否則黑客很難完全取得手機的控制權。

Nohl指出，對安卓系統進行正面強攻太難了，因此網絡罪犯門玩起了旁敲側擊。他們把人的心理研究的透透的，只用一些能占小便宜的免費或盜版軟件，就能輕松在受害者手機中植入惡意軟件。

同時，Nohl也提醒大家，有背景的黑客集團們可不玩小花招，他們大多會直接利用零日漏洞(可攻破且沒有補丁防護的秘密漏洞)發動攻擊。當然，有時他們也會采用混合攻擊方案，零日漏洞和普通漏洞一起用。

在防御黑客上，Nohl認為戰爭理論中的“縱深防御”最有效，雖說安卓系統并不容易攻破，但你每少打一個補丁，可能就會少一層防御，給自己挖坑的事還是不作為好。

恩威并施的“保姆”Google

Google為了安全補丁可謂操碎了心，幾乎就差把飯喂進手機廠商的嘴里。

不過，因為復雜的市場環境、利益關系以及自身能力，手機廠商們對于Google主動提供的安全補丁反倒情緒復雜，有人無所謂有人很積極，甚至有些干脆選擇性遺忘。

2017年5月5日德國安全廠商GDATA公布的報告顯示，2017年第一季度出現了75萬個新的安卓病毒，勢頭略有減緩，但全年下來預計會超過350萬個，再創新高。

DATA指出，Google越來越重視安卓系統的安全，每個月都會推送安全補丁，但最大問題在于各廠商的跟進速度太慢。

也正是如此，Google恩威并施，為推動OEM廠商對安卓安全補丁進行及時更新，開始對安全補丁的更新狀態進行晾曬。在Google的計劃中，2017年會聯合運營商對OEM廠商進行督促施壓。

但顯然，不裝鴕鳥的第三方手機廠商開始出現瞞天過海的勾當。

在知乎“為何許多安卓廠商不重視安全補丁的更新?”問題下，看到了幾個匿名用戶的回答：

• 實際上，聯想、戴爾、惠普也不會幫你做系統安全更新的;
• 因為安全更新不是這些公司制造的，所以這些安全更新是否存在問題，他們沒法負責，要么自己投入人力物力去測試驗證，要么就跳過。;
• 你看各安卓廠商推自己的UI更新還是比較積極的，畢竟這是自己做的自己測的，心里有底啊;
• 歸根結底，如果廠商給你推更新，出什么問題都是廠商負責。此時google反而是第三方廠商了，他們提供的更新當然不在首要考慮;
• 當論壇發布了安卓版本更新的貼，會有一大群人高潮;
• 當論壇發布了UI版本更新的貼，會有一群人炸鍋;
• 當論壇發布了安全補丁更新的貼，會有一些人刷積分;

其實很多人都不知道安全補丁有何用，當然不聞不問。

Windows是授權收費的，廠商用Android可沒交錢，不過上游代碼是有安全Patch的，廠商完全有能力測試發更新，不負責任而已。

2016年底，安卓安全主管Adrian Ludwig曾在O'Reilly安全大會上公開表達，在安全性上，安卓手機和iPhone“幾乎是一模一樣的”。

但如今看來，這句話是有條件的。