安全研究实验室还指出,芯片供应商可能也是厂商错过安全补丁的推手:虽然使用三星处理器的手机很少会悄无声息地跳过安全更新,但使用台湾联发科(MediaTek)芯片的手机平均却缺少9.7个补丁。在某些情况下,这可能是因为更便宜的手机更容易跳过补丁,而且它们更倾向于使用便宜的芯片。
但在其他情况下,这是因为在手机芯片中发现了缺陷,而不是在其操作系统中,而手机制造商则依赖芯片制造商提供补丁。因此,从低端供应商那里获得芯片的廉价手机,会继承这些供应商错过的安全更新。诺尔说:“我们的经验是,如果你选择更便宜的设备,你最终在这个生态系统中得到的服务可能也不会太好。”
当《连线》杂志与谷歌联系时,该公司表示感谢安全研究实验室的研究,但其回应指出,安全研究实验室分析的部分设备可能不是Android认证的设备,这意味着它们没有被谷歌的安全标准所控制。他们指出,现代Android手机有安全功能,即使它们有未修补的安全漏洞,也很难破解。谷歌认为,在某些情况下,设备可能会丢失一些补丁,因为手机厂商只是简单地从手机上移除一个易受攻击的功能,而不是修补它,或者手机根本就没有这个功能。
谷歌还表示,他们正在与安全研究实验室合作,进一步调查研究结果。安卓产品安全主管斯科特·罗伯茨(Scott Roberts)补充说:“安全更新只是保护Android设备和用户的众多层面之一,内置的平台保护(如应用程序沙箱)和安全服务(如Google Play Protect)同样重要。这些安全层结合了Android生态系统的巨大多样性,使得研究者们得出结论,Android设备的远程开发仍然具有挑战性。”
对于谷歌断言“有些补丁可能是不必要的,因为此举帮助手机移除了易受攻击的特性,或者为了响应某个漏洞而被删除”,诺尔反驳说:“这些情况非常罕见,这绝对不是常态。”
更令人惊讶的是,诺尔同意谷歌的另一个主要观点:利用他们丢失的补丁来破解Android手机远比听起来难。即使Android手机没有坚实的补丁记录,但它们仍然受益于Android更广泛的安全措施,如地址空间布局随机化(ASLR,即通过随机化软件加载特定代码的内存地址防止攻击者利用软件漏洞悄悄安装恶意程序)和沙盒(限制恶意程序访问设备其他空间)。
这意味着,需要利用手机软件中一系列漏洞来完全控制目标Android手机的大多数黑客技术,也就是所谓的“攻击”可能会无效。诺尔说:“即使你错过了某些补丁,很有可能它们并不是按照某种方式排列的,这样黑客就无法利用它们。结果,Android手机反而更容易被更简单的方式所攻击,即那些在谷歌Google Play中找到或者诱使用户从应用店外其他来源安装它们的流氓软件。只要人类继续容易上当,安装免费或盗版软件,罪犯就可能会坚持下去。”
然而,由国家资助的黑客在Android设备上进行更有针对性的攻击可能是另一回事。在大多数情况下,诺尔认为他们可能使用的是“零日漏洞”(即被秘密破解的漏洞,尚没有补丁存在),而不是已知但未被修补的漏洞。不过在许多情况下,他们也可能会使用已知的、尚未修补的手机漏洞,并将其与“零日漏洞”相结合。诺尔举了一个例子,间谍软件FinFisher利用了已知的Android漏洞Dirty COW以及其发现的“零日漏洞”。
诺尔引用了“深度防御”的安全原则,即在多层中最有效地部署安全。每个错过的补丁都意味着少了一层潜在保护。他说:“你永远不应该留下公开漏洞让攻击者有机可乘,深度防御意味着安装所有补丁。”