اكتشف باحثو الأمن أن العديد من الشركات المصنعة الأصلية لنظام Android كانت تكذب أو تحريف تصحيحات الأمان المثبتة على أجهزتهم. في بعض الأحيان، يقومون بتحديث سلسلة التصحيح الأمني دون تصحيح أي شيء فعليًا!
كما لو أن وضع التحديث الأمني لنظام Android لا يمكن أن يصبح أسوأ من ذلك، فيبدو أن بعض صانعي أجهزة Android قد تم القبض عليهم وهم يكذبون بشأن مدى أمان هواتفهم حقًا. بمعنى آخر، يزعم بعض صانعي الأجهزة أن هواتفهم تستوفي مستوى معينًا من التصحيح الأمني بينما في الواقع تفتقد برامجهم التصحيحات الأمنية المطلوبة.
هذا بحسب سلكي التي ذكرت في البحث المقرر أن يكون سيتم نشره غدا في مؤتمر Hack in the Box الأمني. أمضى الباحثان كارستن نوهل وجاكوب ليل من مختبرات الأبحاث الأمنية العامين الماضيين في الهندسة العكسية مئات من أجهزة Android للتحقق مما إذا كانت الأجهزة آمنة حقًا ضد التهديدات التي يزعمون أنها آمنة ضد. وكانت النتائج مذهلة، فقد وجد الباحثون "فجوة تصحيحية" كبيرة بين العديد من الهواتف الإبلاغ عن مستوى التصحيح الأمني وما هي نقاط الضعف المحمية بالفعل في هذه الهواتف ضد. تختلف "فجوة التصحيح" بين الجهاز والشركة المصنعة، ولكن نظرًا لمتطلبات Google كما هي مدرجة في النشرات الأمنية الشهرية، فلا ينبغي أن تكون موجودة على الإطلاق.
ال جوجل بيكسل 2 اكس ال تشغيل على الأول معاينة مطور Android P مع تصحيحات الأمان لشهر مارس 2018.
وفقًا للباحثين، فإن بعض صانعي أجهزة Android ذهبوا إلى حد تحريف مستوى التصحيح الأمني للجهاز عن عمد ببساطة تغيير التاريخ الموضح في الإعدادات دون تثبيت أي تصحيحات فعليًا. من السهل جدًا تزييف هذا الأمر، حتى أنت أو أنا يمكننا القيام بذلك على جهاز ذي جذر عن طريق التعديل ro.build.version.security_patch في build.prop.
ومن بين 1200 هاتف من أكثر من اثنتي عشرة شركة مصنعة للأجهزة التي اختبرها الباحثون، وجد الفريق ذلك حتى الأجهزة من صانعي الأجهزة من الدرجة الأولى كانت بها "فجوات التصحيح"، على الرغم من أن صانعي الأجهزة الأصغر حجمًا يميلون إلى الحصول على سجلات أداء أسوأ في هذا المجال. يبدو أن هواتف Google آمنةومع ذلك، نظرًا لأن سلسلة Pixel وPixel 2 لم تحريف التصحيحات الأمنية المتوفرة لديهما.
في بعض الحالات، أرجع الباحثون ذلك إلى خطأ بشري: يعتقد نوهل أنه في بعض الأحيان تفوت شركات مثل سوني أو سامسونج عن طريق الخطأ تصحيحًا أو اثنين. وفي حالات أخرى، لم يكن هناك تفسير معقول لسبب مطالبة بعض الهواتف بتصحيح بعض الثغرات الأمنية بينما كانت في الواقع تفتقد العديد من التصحيحات المهمة.
قام فريق مختبرات SRL بوضع مخطط يصنف صانعي الأجهزة الرئيسيين وفقًا لعدد التصحيحات التي فاتتهم منذ أكتوبر 2017 فصاعدًا. بالنسبة لأي جهاز تلقى تحديثًا واحدًا على الأقل لتصحيح الأمان منذ أكتوبر، أرادت شركة SRL معرفة أي جهاز كان صانعو البرامج هم الأفضل والأسوأ في تصحيح أجهزتهم بدقة ضد الأمان لذلك الشهر نشرة.
من الواضح أن Google وSony وSamsung وWiko الأقل شهرة تقع في أعلى القائمة، بينما تقع TCL وZTE في أسفل القائمة. وهذا يعني أن الشركتين الأخيرتين فاتتهما 4 تصحيحات على الأقل أثناء التحديث الأمني لأحد أجهزتهما بعد أكتوبر 2017. هل هذا يعني بالضرورة أن TCL وZTE على خطأ؟ نعم و لا. في حين أنه من المخزي أن تقوم الشركات بتحريف مستوى التصحيح الأمني، تشير SRL إلى أنه غالبًا ما يقع اللوم على بائعي الرقائق: غالبًا ما تفتقر الأجهزة المباعة بشرائح MediaTek إلى العديد من تصحيحات الأمان المهمة لأن MediaTek فشل في توفير التصحيحات اللازمة لصانعي الأجهزة. من ناحية أخرى، كان من غير المرجح أن تفوت شركات Samsung وQualcomm وHiSilicon توفير تصحيحات الأمان للأجهزة التي تعمل على شرائحها.
أما بالنسبة لرد جوجل على هذا البحث، فإن الشركة تعترف بأهميته وأطلقت تحقيقًا في كل جهاز مع ملاحظة "ثغرة التصحيح". لا توجد كلمة حتى الآن حول كيفية ذلك بالضبط تخطط Google لمنع هذا الموقف في المستقبل نظرًا لعدم وجود أي عمليات فحص إلزامية من Google للتأكد من أن الأجهزة تعمل على مستوى التصحيح الأمني الذي تدعي أنها تقوم به جري. إذا كنت مهتمًا بمعرفة التصحيحات التي يفتقدها جهازك، فقد أنشأها فريق مختبرات SRL أحد تطبيقات Android الذي يقوم بتحليل البرامج الثابتة لهاتفك بحثًا عن تصحيحات الأمان المثبتة والمفقودة. جميع الأذونات المطلوبة للتطبيق و تحتاج إلى الوصول إليها يمكن الاطلاع هنا.
مجاني.
4.
لقد أبلغنا مؤخرًا أن Google ربما تستعد لذلك تقسيم Android Framework ومستويات تصحيح أمان البائع. في ضوء هذه الأخبار الأخيرة، يبدو هذا الآن أكثر منطقية خاصة وأن الكثير من اللوم يقع على عاتق البائعين الذين يفشلون في توفير تصحيحات الشرائح في الوقت المحدد لعملائهم.