安卓的碎片化一直是个大问题,而近期来自剑桥大学的研究人员利用收集的数据,创建了一种评分体系,用于衡量主要手机厂商为其产品发布安全更新包的速度,量化了安卓的安全现状。结果发现“平均87.7%的安卓设备至少存在一个已知的高危漏洞”。
报告原文:https://www.cl.cam.ac.uk/~drt24/papers/spsm-scoring.pdf
上图是剑桥大学研究团队对过去数年来不安全、可能安全和安全版本的安卓设备的比例的估计,可以看到不安全的安卓设备(红色部分)是绝对的主流。
用于研究的数据来源于该组织的一个应用程序Device Analyzer,这是一个自2011年5月开始在谷歌商店上线的免费程序。 研究调查了20400部设备的版本信息,然后比较了已知的13种高危漏洞,根据运行的版本是否已经打上补丁将其标记为安全或不安全。每台被标记为“安全”或“不安全”的设备,是基于其操作系统版本是否针对这些漏洞进行了修复;而“可能安全”的设备是由于它本来可以得到一个专门的补丁进行修复的。
研究认为,大部分归咎于与之合作的OEM。市面上大部分安卓设备都无法及时得到系统更新,这令许多系统漏洞都没法及时得到修复。为了进行这个研究,剑桥大学发起了一个网站——AndroidVulnerabilities.org,这些OEM厂商评分就是来源于这个网站保存的安全记录数据。
研究者从1-10为OEM厂商安全创建了“FUM”评分,比较不同手机的安全性。结果发现谷歌Nexus手机获得了最高分,安全性堪称最佳。在第三方厂商中,LG的表现则最出色,其次是摩托罗拉、三星、索尼和HTC。
尽管Nexus程序的得分仅为5.2,但是仍然力压所有其他厂商设备,或许是因为这是谷歌亲自维护的。
事实上,谷歌Nexus设备更新发布得非常缓慢。及时在更新开发以及发布之后,通过OTA向用户推送更新也需要两周之久。另外一个问题是,谷歌与OEM厂商达成的“两年更新”策略与现在这个飞速发展的时代已经不相匹配了。调查中的许多Nexus设备已经不被Google支持。
这项研究有个非常奇怪的地方,那便是针对安卓OEM厂商的选择。根据IDC研究机构发现,全球排名前四的安卓OEM分别是三星、华为、小米以及联想。而只有三星的成绩出现在研究当中,其他三个安卓OEM厂商被忽略掉了。纵观研究名单,映入眼帘的竟是Symphony与Walton这般相对无名的品牌。
原因其实很简单,测试程序是通过谷歌商店下载的,这样一来像中国这样的地区便无法参与其中。
安全研究员Daniel Wagner表示,谷歌在减轻风险方面做了大量工作,建议用户只从谷歌商店中获取应用,因为这些应用谷歌进行了额外的安全审查。
这项研究揭示了安卓生态系统保护用户的道路还有很长,谷歌与一些OEM厂商致力于程序每月进行安全更新,但通常仅仅是不满两年的年轻设备,并且只针对旗舰设备。然而市场上充斥着数量更为庞大的非旗舰安卓设备,或许要等到谷歌重新架构安卓系统以支持其集中化、不限设备的更新时,我们才能看到安卓安全的一线曙光。