iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 6
0
Security

生活資安五四三!從生活周遭看風險與資訊安全~番外篇系列 第 6

第六篇,記得檢查自己的手機系統安全更新!(卻見華碩FOTA的崩壞)

手機是現代人隨身的重要3C產品,大家每天都用手機來上網、與人溝通,甚至沒帶手機出門比沒帶錢包鑰匙出門還有恐慌感。

但是,大家都有注意手機系統的安全更新嗎?

過去我的認知是,多年前平臺業者已經發展自動更新機制,以個人電腦而言,像是微軟Windows 7升級Windows 10後,一段時間就會看到強制的自動更新,手機最近我是用華碩的,過去也有看到系統通知提醒,等等,突然覺得自己的華碩手機很久沒出現提示了。

記得年初還看幾次Google的新聞,像是什麼修補了幾項高風險與重大漏洞等。
例如下面這樣的新聞:

Google發佈安全公告,修補了包括2項遠端程式碼執行(remote code execution, RCE)等在內11項高風險與重大漏洞。
Google 4月1日發佈的安全修補程式中。
大部份漏洞影響包括Android 7.0(7.1.1、7.1.2)、8.0/ 8.1及9等版本。所幸Google表示尚未接獲有開採或濫用上述漏洞的受害通報。
主要Android廠商已在至少一個月前就獲得通報,包括Google Pixel和Nexus裝置、Samsung、Sony、LG、HTC、Nokia等品牌手機用戶,理應近日會接到更新通知,Google也會在48小時內,將修補程式釋出給Android開源碼專案(Android Open Source Project, AOSP)資料庫。(資料來源:https://www.ithome.com.tw/news/129742)

好吧,來檢查一下自己的手機。

先間單說明一下,我使用的是2017年11月購買的Asus ZenFone 4 Max (ZC554KL),首先進入設定,拉到最下看到一個軟體更新的項目,點進去看,系統顯示更新到最新,不過點進這介面上寫的是Zen UI啊,這根本不是系統更新,於是再點到最下方的裝置資訊(端末情報),看到自己Android版本是7.1.1,韌體為NMF26FWW Phone 14.2016 1803.233-20180314,然後找不到可以升級韌體的選項,於是到官方網站上去查。

一查還真不得了, 竟然2018年5月後的新版韌體,我就沒有更新到,這是怎麼回事? 先壓下心裡的疑問,於是爬文下載最新的NMF26FWW Phone 15.2016 1902.507,想說先手動解決吧。下載完後將韌體放入手機根目錄,系統顯示發現新版韌體,然後開始執行,但是,出現以下畫面
https://ithelp.ithome.com.tw/upload/images/20190908/20013608T1H5qoqD0J.png

WTF,看來尋求一下客服協助好了,對於一般民眾而言,知道更新的重要性,但那麼不親民的更新機制,我還是已經會自己去下載來將檔案放入手機更新,卻還是失敗,一般民眾又該如何。

還不錯的是,現在很多網站線上客服都有建立,並加入簡單的對話機器人應用,能選擇服務選項。
https://ithelp.ithome.com.tw/upload/images/20190908/20013608Ej1SS73iWt.png

在我聯繫到線上客服專員時,我解釋了狀況,並也問了我的問題,為何這一年的自動更新都沒有收到通知?這時,客服人員回答: 「有時候系統會出現故障,系統會接收不到更新的通知,需要進行手動更新」
https://ithelp.ithome.com.tw/upload/images/20190908/20013608xIoMtYGbqk.jpg

???我不禁出現黑人問號

原來,我以為的手機FOTA,只是虛幻的。

小辭典:FOTA(Firmware Over-The-Air)是手機製造商無線更新行動裝置之韌體的方法。(來源:Nokia官方網站 https://www.nokia.com/phones/zh_tw/support/topics/popular-topics/what-is-fota)

因為上一支華碩手機記得一段時間都有收到通知,這支華碩手機一開始也有通知,感覺FOTA發展已經不太有問題,但現在看起來,其實不然。更重要的是,有很多人根本不會注意到自己手機,沒有收到韌體更新的通知。

也就是說,Google發布那些新的安全更新,其實我都沒有修補到!?

不知道別家手機制造商是如何?但這已經打破我對FOTA的印象,這樣的風險,相信一般民眾可能也都沒注意到。

在我爬文後,其實發現有相當多華碩用戶的案例,而客服也確實回答系統會出現故障,收不到更新通知,並非個案,所以有多少人的手機曝險而不自知?

由於手機幾乎是每個人都有,大家是否有注意系統升級呢?

單講手機平臺就好,還是有iPhone用戶是「不更新」iOS系統的,但我也認為Andorid「不更新」的人更多,甚至還有不少「無法更新」的狀況,像是我上面發生的事件就是狀況之一。

要知道,目前Goolge到Android 10之後,才有 安全性更新 與 系統更新 分開。而蘋果目前還是綁在一起。

後記:
我還詢問了客服人員,為何更新失敗,他說,跳板過多會不成功,這對用戶來說太不方便吧!?
https://ithelp.ithome.com.tw/upload/images/20190908/200136082SPPHmgjyf.jpg

於是,我下載了一堆沒收到通知的韌體版本,花了超多時間,家中網路只有6M(因為我知道一般串流影片觀賞沒問題)。
https://ithelp.ithome.com.tw/upload/images/20190908/200136084lzYePtcbA.png

然後,打算從NMF26FWW Phone 14.2016 1803.233之後的NMF26FWW Phone 14.2016 1805.235開始裝。但是,登登
https://ithelp.ithome.com.tw/upload/images/20190908/20013608RHh2ITZxbj.png

沒錯,一樣不行!看來只能請原廠協助更新,我也真的懶得弄了,不過目前幫老婆下單Goolge Pixel 3a,之後應該先拿她的舊手機用,這支就當音樂播放器了

結論:
1.使用者可以注意自己的手機系統更新情況
2.手機業者若提供不便的安全更新,或許選擇其他是一種選擇
3.Andorid 10普及,可能要等兩三年

p.s.另外大家也知道廠商更新,有時可能出現一些狀況,也應注意更新如有引起的災情


上一篇
第五篇,AI語音加持下的電話詐騙!未來需要更加注意
下一篇
第七篇,認識物聯網安全,從生活中的監控攝影機被偷窺看起
系列文
生活資安五四三!從生活周遭看風險與資訊安全~番外篇30

尚未有邦友留言

立即登入留言