研究 87%安卓装置不安全 主因是厂商偷懒不更新
2015-10-15
剑桥大学电脑实验室调查了2011年7月到今年7月市场上各种品牌的Android装置,调查后发现,Android装置每年平均只收到1.26次的更新,显示这些装置几乎是长期曝露在安全风险中。
剑 桥大学电脑实验室(University of Cambridge Computer Laboratory)研究人员在本周举行的“行动装置暨智慧型手机的安全与隐私”(Security and Privacy in Smartphones and Mobile Devices,SPSM)会议上发表一篇研究报告指出,有87%的Android装置曝露在恶意程式的攻击风险中,主因为Android装置制造商并未 定期进行装置的安全更新,相对安全的Android装置品牌则是Nexus、LG与Motorola。
根据该报告的说明,所有大型的软体 系统都有安全漏洞,被公开揭露的漏洞经常成为攻击目标,因此定期提供安全更新是保护系统的重要措施。然而,Android市场却悖离此一作法,调查后发 现,Android装置每年平均只收到1.26次的更新,显示这些装置几乎是长期曝露在安全风险中。
该实验室调查了2011年7月到今年7月市场上各种品牌的Android装置,包括Google旗下的Nexus、LG、Motorola、三星、Sony、HTC、Asus及其他品牌,并列出上述装置共通的11个重大安全漏洞,包含已修补与未修补的漏洞。
Android 平台的更新复杂度来自于它牵涉到许多不同的产业角色,从开放源码专案、Google、硬体开发人员、装置制造商到电信业者。其中,光是Android的装 置制造商就多达300个,电信营运商则超过1400家,而且市场上有超过2万种型号的Android装置。
研究人员根据使用最新 Android版本的比例、未修补的漏洞数量,以及摆脱安全漏洞的装置比例等三大指标来判断Android装置的安全性,分数愈高就愈安全,结果发现 Nexus、LG与Motorola等三大品牌的Android装置最为安全,其他依序是三星、Sony、HTC与Asus。
其中,由于Nexus是Google委由不同的制造商所生产,且平台更新都由Google主导,理所当然也成为最安全的Android装置,这也使得LG一跃成为打造安全Android装置的最佳制造商。
从 电信业者的角度来看,安全分数较高的前三名依序是O2、T-Mobile与Orange。若单就型号来看,前五款最安全的Android装置依序是 Galaxy Nexus、Nexus 4、Nexus 7、Desire HD与HTC Sensation。前三名皆为Google产品,四、五则来自HTC。
研究结果显示,Android生态体系的更新递送瓶颈主要来自于未能释出更新以修补漏洞的装置制造商,因为装置制造商与消费者之间存在着资讯不对称的问题,只有制造商才知道消费者所使用的装置是否安全,或者何时应该进行更新。