劍橋大學電腦實驗室(University of Cambridge Computer Laboratory)研究人員在本周舉行的「行動裝置暨智慧型手機的安全與隱私」(Security and Privacy in Smartphones and Mobile Devices,SPSM)會議上發表一篇研究報告指出,有87%的Android裝置曝露在惡意程式的攻擊風險中,主因為Android裝置製造商並未定期進行裝置的安全更新,相對安全的Android裝置品牌則是Nexus、LG與Motorola。

根據該報告的說明,所有大型的軟體系統都有安全漏洞,被公開揭露的漏洞經常成為攻擊目標,因此定期提供安全更新是保護系統的重要措施。然而,Android市場卻悖離此一作法,調查後發現,Android裝置每年平均只收到1.26次的更新,顯示這些裝置幾乎是長期曝露在安全風險中。

該實驗室調查了2011年7月到今年7月市場上各種品牌的Android裝置,包括Google旗下的Nexus、LG、Motorola、三星、Sony、HTC、Asus及其他品牌,並列出上述裝置共通的11個重大安全漏洞,包含已修補與未修補的漏洞。

Android平台的更新複雜度來自於它牽涉到許多不同的產業角色,從開放源碼專案、Google、硬體開發人員、裝置製造商到電信業者。其中,光是Android的裝置製造商就多達300個,電信營運商則超過1400家,而且市場上有超過2萬種型號的Android裝置。

研究人員根據使用最新Android版本的比例、未修補的漏洞數量,以及擺脫安全漏洞的裝置比例等三大指標來判斷Android裝置的安全性,分數愈高就愈安全,結果發現Nexus、LG與Motorola等三大品牌的Android裝置最為安全,其他依序是三星、Sony、HTC與Asus。

其中,由於Nexus是Google委由不同的製造商所生產,且平台更新都由Google主導,理所當然也成為最安全的Android裝置,這也使得LG一躍成為打造安全Android裝置的最佳製造商。

從電信業者的角度來看,安全分數較高的前三名依序是O2、T-Mobile與Orange。若單就型號來看,前五款最安全的Android裝置依序是Galaxy Nexus、Nexus 4、Nexus 7、Desire HD與HTC Sensation。前三名皆為Google產品,四、五則來自HTC。

研究結果顯示,Android生態體系的更新遞送瓶頸主要來自於未能釋出更新以修補漏洞的裝置製造商,因為裝置製造商與消費者之間存在著資訊不對稱的問題,只有製造商才知道消費者所使用的裝置是否安全,或者何時應該進行更新。(編譯/陳曉莉)

 


熱門新聞

Advertisement