广受欢迎的安卓手机制造商在安全更新方面撒谎被抓

根据一项新的研究，大多数安卓系统供应商一直在安全更新方面对用户撒谎，并告诉客户他们的智能手机正在运行最新的更新。

德国安全研究实验室（SRL）的卡斯滕·诺尔（Karsten Nohl）和雅各布·莱尔（Jakob Lell）的一项研究显示，换句话说，大多数智能手机制造商，包括三星、小米、OnePlus、索尼、HTC、LG和华为等大公司，并没有提供他们应该提供的所有关键安全补丁。
Nohl和Lell针对去年发布的每一个安卓补丁，检查了来自十几家供应商的1200部智能手机的固件，发现许多设备都存在“补丁缺口”，使得安卓生态系统的某些部分暴露在黑客面前。

诺尔在接受《连线》采访时说：“有时候，这些人只是在不安装任何补丁的情况下更改日期。可能是出于营销原因，他们只是将补丁级别设置为几乎任意的日期，只要看起来最好”。

谷歌每个月都会发布安全补丁，以确保其安卓生态系统的安全，免受潜在风险的影响，但由于每个制造商和移动运营商都会修改操作系统，使其智能手机独一无二，因此他们往往无法及时应用所有这些补丁。

SRL研究人员调查了据称已接收并安装了最新Android更新的智能手机，并发布了以下调查结果：

• 0-1个补丁缺失，谷歌、索尼、三星、Wiko Mobile
• 1-3个缺失补丁，小米，OnePlus，诺基亚
• 3-4个缺失补丁，HTC、华为、LG、摩托罗拉
• 4+缺失补丁，TCL、中兴

具体而言，上述结果侧重于2017年发布的关键和高严重性漏洞的安全补丁。
如上所示，谷歌、三星、Wiko Mobile和索尼在安装补丁方面仍然做得很好，但其他公司，尤其是小米和OnePlus等中国供应商，在保护客户免受最新安全漏洞侵害方面做得更差。

为了解决补丁缺口问题，谷歌已经启动了一个名为高音去年，该公司对安卓系统架构进行了一些重大更改，以获得对更新过程的更多控制。
Treble项目是Android 8.0 Oreo的一部分，旨在将核心硬件代码与操作系统代码分离，消除原始设备制造商对Android更新的依赖，从而更快地提供Android更新。

然而，即使你的Android设备运行Oreo 8.0操作系统，它也没有必要支持Treble项目，因为它仍然取决于设备制造商是否包括它。例如，OnePlus设备的Oreo固件更新还不支持Treble。

但需要新设备来支持高音的发展。

检查设备的“补丁级别”

与此同时，SRL开发了一款名为SnoopSnitch的应用程序，你可以免费下载，它可以测量你自己的Android智能手机的补丁级别，帮助你验证供应商对你设备安全性的声明。