长期以来，谷歌始终在努力推动数十家Android智能手机制造商以及数百家运营商定期推出以安全为重点的软件更新。但是，当德国安全公司——安全研究实验室（Security Research Labs）对数百部Android手机进行调查时，发现了一个令人极为不安的新问题：许多Android手机供应商不仅没有为用户提供安全补丁，或者延迟数月发布补丁，有时还会向用户撒谎，告诉他们手机固件是最新的，即使他们偷偷地跳过了安全更新。

图：最新研究发现，Android手机制造商不只是安全更新缓慢，有时候甚至还会谎称打了补丁

在阿姆斯特丹举行的Hack in the Box安全会议上，安全研究实验室的研究人员卡尔斯滕·诺尔（Karsten Nohl）和雅各布·莱尔（Jakob Lell）计划介绍最新研究结果，这是他们历时两年、对数以百计的Android手机操作系统代码进行的逆向工程，他们煞费苦心地检查每部设备是否都包含了安全补丁。他们发现了所谓的“补丁缺口”：在许多情况下，某些厂商的手机会告诉用户他们所有安卓系统都安装了迄今最新的安全补丁，而实际上却缺少数十个补丁，导致手机非常容易受到广泛的已知黑客技术攻击。

诺尔是著名安全研究员、安全研究实验室创始人，他说：“在补丁发布和设备上实际安装的补丁之间存在着巨大差距。有些设备差距较小，而其他设备则相当大。在最糟糕的情况下，Android手机制造商在设备最后被打补丁时故意歪曲事实。有时候，这些厂商在未安装更新补丁的情况下更改日期。可能是由于市场原因，他们可将补丁更新设置为几乎任意日期。”

在2017年发布的每个Android补丁中，安全研究实验室测试了来自数十家手机制造商的1200部手机固件，包括谷歌自身的手机，三星、摩托罗拉、HTC等主要Android手机制造商，以及中兴和TCL等不太知名的中国公司。他们的测试发现，除了谷歌自己的旗舰手机，如Pixel和Pixel 2，即使是顶级手机供应商有时也慌称自己安装了补丁，而更低层次的制造商则有更混乱的记录。

诺尔指出，这一问题比厂商仅仅忽视为旧设备打补丁更糟糕，后者已经是一种常见现象。相反，他们告诉用户自己已经安装了最新安全补丁，尽管实际上并没有安装，从而创造出一种虚假的安全感。诺尔说:“我们发现几家供应商没有安装任何补丁，只是将补丁日期推后了几个月。这是一种故意欺骗，幸好并不常见。”

诺尔认为，更常见的情况是，像索尼或三星这样的公司可能偶尔会错过一两个补丁。但是在其他情况下，结果却难以解释：安全研究实验室发现三星手机2016 J5，非常坦诚告诉用户哪些补丁已经安装，哪些仍然缺乏。而三星2016 J3声称，它已经安装了2017年发布的所有Android补丁，但实际上缺少12个，其中2个被视为手机安全的“关键”。

鉴于这种隐藏的不一致性，诺尔说：“用户几乎不可能知道实际安装了哪些补丁。”为了解决这个补丁丢失的问题，安全研究实验室还发布了一个Android应用SnoopSnitch更新，它将允许用户查看手机代码，以了解其安全更新的实际状态。

在对每家供应商的几乎所有手机进行测试后，安全研究实验室制作了以下图表，根据供应商宣称的补丁安装情况与事实是否相符将它们分成三类。包括小米和诺基亚在内的主要Android厂商，手机平均有1到3个丢失的补丁，而像HTC、摩托罗拉和LG这样的主要供应商，丢失有3到4个补丁。但榜单上表现最差的公司是中国的TCL和中兴，这些公司的手机平均丢失的补丁在4个以上。

图注：wiko是深圳天珑移动控股，在法国注册的手机品牌，份额在法国名列第二。