安卓生态恶意软件泛滥,安全性低已经是人所共知。而最近英国剑桥大学的一个研究发现,由于安卓手机厂商更新系统不及时,导致大约87.7%的安卓设备处于不安全的状态中,包含11种安卓高危漏洞中的至少一种。
据国外科技媒体报道,剑桥大学的研究团队通过一个名为“设备分析器”(DeviceAnalyzer)的软件进行了样本数据采集。该软件从2011年5月在谷歌(微博)官方软件商店免费提供下载,至今已经积累了一定的样本数据。
研究团队称,他们从两万多个安卓设备上采集了所安装安卓系统的各种版本号信息,并且将版本号和目前已经知道的10余种安卓高危漏洞的分布情况进行了对比(其中包括Stagefright漏洞),这些漏洞最早的发现时间是2013年。
根据这些安卓设备的漏洞修补情况,研究团队将设备归类于安全、不安全等多种类别中。最终结果显示,87.8%的设备至少仍存在一种高危漏洞。
为何如此大规模的安卓手机和平板仍然存在高危漏洞呢?英国剑桥大学的研究团队发现,最重要的原因是安卓设备厂商对系统更新不及时。
研究团队指出,谷歌公司对于安卓的最新系统更新,没有能够迅速传递到用户的安卓手机中,这当中的瓶颈存在于智能手机制造商的环节。
伴随着研究结果的发布,剑桥大学团队也推出了一个新网站(AndroidVulnerabilities.org)。网站介绍了这一研究的结果,同时能够对不同厂商定制修改的安卓系统(俗称“ROM”)进行安全打分。
安全打分从一分到十分不等,打分的算法主要考虑了这些因素:安卓升级到最新版本的状态,系统中存在漏洞数量等等,以及一家安卓手机厂商销售的所有手机中未修补漏洞的平均数量等。
从安全打分上看,谷歌自有品牌Nexus设备搭载的官方版安卓系统最为安全,得分为5.2分。韩国LG电子排名第二,得分为4.0,摩托罗拉移动、三星电子、索尼、HTC的安全得分依次降低。
谷歌官方的Nexus设备安全得分只有5分左右,令外界有些不解。因为谷歌官方版的安卓可以第一时间获得安全补丁,安全得分应该较高。不过据媒体分析,谷歌对一些Nexus设备升级系统的频率较低,这可能导致一些漏洞较长时间存在,影响了得分。
不过需要指出的是,剑桥大学的安卓安全性研究仍有不足之处。比如根据美国科技市场研究公司IDC的报告,根据用户规模,全世界最大的定制版安卓系统依次是三星电子、华为、小米和联想。
不过在剑桥大学的安全打分中,只出现了三星电子,忽略了中国的三家一线智能手机厂商。
据媒体分析,剑桥大学的数据采样软件通过谷歌的Play软件商店提供下载,但是在中国内地,这一商店运行不正常,这可能研究团队未能获得中国安卓设备的足够信息,导致中国的定制版安卓没有进行安全打分。
媒体指出,将近九成的安卓设备“带病运行”,这显示了安卓生态的安全性难以令人满意。之前,谷歌和一些手机制造商开始推出月度补丁包发行制度,但是也仅仅针对一些两年内销售的较新手机,旧手机的安全则无人过问。
在中国市场,几乎所有厂商都在深度修改和定制谷歌公司开发安卓系统,并且甚至以“OS”(操作系统)的噱头名号推广自家的ROM。这些厂商删除了谷歌的应用软件和服务,代之以自家的软件商店和内容服务。他们往往根据自家ROM的版本号升级系统,导致ROM所源自的安卓版本和谷歌最新发行的安卓版本差距越来越大。
对于安卓手机厂商对安卓生态的“阉割”和“碎片化”,谷歌已经开始亡羊补牢,即通过“Nexus”品牌和“安卓One”品牌,推出谷歌亲自掌控软件系统的智能手机(Nexus为高端,安卓One为面向发展中国家的低于一百美元的廉价手机),谷歌可以确保自家软件不被删除,也能够第一时间升级到最新安卓版本。