Android 更新和安全修補程式的生命週期正在增加,但並不是全面的。像 Motorola 和 Unihertz 這些比較小眾的品牌就不提供目前最長的 7 年計劃,只提供幾年的安全更新。社群論壇上有時把安全性更新講得太過神話,衍伸出許多危言聳聽的話語,彷彿錯過了就會對銀行帳戶、身分等造成立即性的威脅。
雖然我們提倡有就裝,那麼,但又為何說安全性更新不是如想像中那麼重要呢?OEM 級安全更新結束對現實世界有何影響呢?消費者是否會承受後果,還是這些擔憂源於恐懼、不確定性和懷疑?
為什麼安全性更新並不總是如想像那樣重要?
為什麼安全補丁並不總是那麼重要
只要自己不做蠢事,如今的安全性修復程式的漏洞很少會構成重大威脅。部分用戶需要堅持使用提供及時支援的製造商提供的主動修復型手機。例如,政府承包商、衛生專業人員和有權接觸商業機密的工人可能會忽略你將要閱讀的大部分內容。然而,他們的雇主會明確這一事實,並且大多數人不會面臨同樣的風險。
如果你不屬於上述類別的人群,你就不會成為最嚴重的安全漏洞的受害者。最具破壞性的漏洞通常無法同時針對數百萬用戶行動,相反,駭客只會針對那些值得花時間詐騙和侵入的個人,通常這人不會是你,所以不要把自己想得太重要。
有許多漏洞需要仰賴實際與設備接觸才能操作,所以你要注意不要讓別人取走你的手機,也不要把手機插上陌生的裝置。當然還有一種是屬於遠端攻擊,但像這種漏洞實屬罕見,尤其是手機上,普通用戶通常不會是駭客的主要目標。
修補過的漏洞通常從未被利用過。Google 的零號計劃在 2018 年初就遇到了最可怕的漏洞利用級之一,當時最駭人聽聞的就是 Spectre 和 Meltdown 的存在。它們在當時被匆匆修補,雖然稍微降低了性能,但幸好沒有人成為受害者。這些可能會讓你公開暴露於惡意活動中,但前提是攻擊者可以直接訪問你的設備並說服你安裝侵入性強的軟體,從而改變你的 CPU 處理程式碼的方式。
雖有安全修復,但每個人都該保持警惕
重點只有一個:別驚慌。你絕對不應該忽視安全修復的重要性,即使它們破壞了某些東西,例如不完整的 iOS 12.1.1 更新暫時關閉了行動數據連接,它們也會很快得到修復。然而,這使得你可能需要等待幾天才能更新系統安全性。你可能聽過有人說「我的手機已經用了九年,從來沒有出現過問題」,這種無視製造商或自己的安全做法相當可怕,因為這是個人的僥倖心理。現實生活中,還是有人努力找尋各種侵入點,這些侵犯不可避免地破壞手機安全,從而竊取用戶的金錢、身份資訊等。
安全威脅通常來自人為錯誤,例如點擊了可以連結或不假思索地分享個人資訊。你應該慎防各種途徑的網路釣魚,銀行、政府機關、串流媒體服務和其他擁有你的個人或付款資訊的組織絕不會要求你透過電子郵件、簡訊或其他類型的訊息發送登入或付款詳細資訊。如果你收到一則訊息,要求登入並修復某些問題,請不要點擊訊息中提供的連結,可以透過應用程式或瀏覽器自行前官網輸入詳細資訊。
側面加載應用程式時也要特別注意,你應該避免使用允許存取盜版內容或以其他方式違反法律的惡意應用程式,並且從信用良好的來源下載安裝。
