為何Android 設備資安漏洞一堆?研究:各家預載app一堆蟲!

Android智慧手機廠不只發佈安全補件給終端用戶的動作慢一拍,他們還會假借區別各家特色之名,塞一堆有bug的軟體在自家手機內。

北卡羅萊納州大學電腦科學系新研究指出,欲打造自家特色Android手機的廠商,往往很不必要地在手機內預載一些app,又似乎不會隨時間改善。

研究員針對Google、HTC、Samsung、 LG和 Sony公司,研究其2代內旗艦手機的預載app數量和漏洞問題。

這10款設備分別為Google的 Nexus S 和 Nexus 4、宏達電的Wildfire S 和 One X、三星的Galaxy S2 和 S3、Sony的Xpreia Arc S 和 Xperia SL,以及LG的 Optimus P350 和 P8880。

總體來說,這些設備總共有1548個預載app,但有些透過Android開放碼計畫(AOSP)已經包含在Android內,這些預載app約有82%是手機廠在特製手機時加入。

從資安角度來看,最大的問題就是這些app作法糟糕:研究員指出,全體預載app中,有86%的app要求的Android權限超過真正需求,也就是所謂的「過度特權」,所以手機廠在這一點都表現不佳,就連Google的Nexus S也一樣,在「過度特權」領域排名第2高。

此份脆弱app的分析報告,對於表現最好和最壞的手機給了混合的結果。研究員同時分析了每款設備的脆弱app數量和所占比例。

根據報告,在脆弱app所占比例的項目中,在2012年前問世的手機,宏達電Wildfire S表現最差,2012年後問世的設備中,LG的 Optimus P8880表現最糟糕。然而,Sony的Experia Arc S 和宏達電的One X比例最低,而Google的 Nexus 4表現尤其好。

但若以脆弱app數量來看,又是另一回事。研究員指稱:「宏達電Wildfire S仍然在2012年前的設備中是安全度最低的手機,但三星Galaxy S2也只是少了1個脆弱app而已。」

「在2012年前的設備中,Sony Xperia Arc S 和 Google Nexus S 並駕齊驅,是資安最好的設備。然而,2012年後發布的設備,資安排名卻又大洗牌。三星 Galaxy S3 有40個脆弱app,而LG Optimus P880有 26個,宏達電One X 降至中間排名(15個),但仍遜於Nexus 4 (3個) 和Sony Xperia SL (8個)。」

事實上,Google若接到Android新資安漏洞的回報,反應相當快速,此點也備受讚揚,但問題在於通訊商和硬體廠只會對一些設備推出修正檔。

研究員發現,手機廠平均大概耗費半年的時間,才會推出這些設備的官方更新。

他們還指出三星S3更新時出現的地區差別待遇,因為2012年9月就提供Android 4.1.1讓英國使用者更新,但美國使用者須等到2013年1月才能更新。(Android 4.1.1是2012年7月推出)