Изследователите по сигурността са открили, че няколко OEM производители на Android са лъгали или са представяли погрешно какви пачове за сигурност са инсталирани на техните устройства. Понякога те дори актуализират низа за корекция за сигурност, без всъщност да кръпват нищо!
Сякаш ситуацията с актуализацията на сигурността на Android не може да се влоши, изглежда, че някои производители на устройства с Android са били хванати да лъжат за това колко сигурни са телефоните им. С други думи, някои производители на устройства твърдят, че техните телефони отговарят на определено ниво на корекция за сигурност, когато в действителност в софтуера им липсват необходимите корекции за сигурност.
Това е според С кабел който докладва за изследване, което ще бъде публикувано утре на конференцията за сигурност Hack in the Box. Изследователите Карстен Нол и Якоб Лел от Security Research Labs прекараха последните две години в обратно инженерство стотици устройства с Android, за да проверят дали устройствата наистина са защитени срещу заплахите, за които твърдят, че са защитени срещу. Резултатите са стряскащи - изследователите откриха значителна "пропаст" между много телефони отчет като ниво на корекция за сигурност и какви уязвимости са действително защитени тези телефони срещу. „Пропускът в корекцията“ варира в зависимост от устройството и производителя, но като се имат предвид изискванията на Google, изброени в месечните бюлетини за сигурност, той изобщо не трябва да съществува.
The Google Pixel 2 XL работи на първия Предварителен преглед за разработчици на Android P с Пачове за сигурност от март 2018 г.
Според изследователите някои производители на устройства с Android дори са стигнали дотам, че умишлено са представили погрешно нивото на корекцията за сигурност на устройството, като просто промяна на датата, показана в настройките, без всъщност да инсталирате корекции. Това е невероятно лесно за фалшификация – дори вие или аз бихме могли да го направим на руутнато устройство, като модифицираме ro.build.version.security_patch в build.prop.
От 1200 телефона от над дузина производители на устройства, които бяха тествани от изследователите, екипът установи, че дори устройства от първокласни производители на устройства имаха „пропуски в корекцията“, въпреки че по-малките производители на устройства са имали дори по-лоши резултати в тази област. Телефоните на Google изглеждат безопасни, тъй като сериите Pixel и Pixel 2 не представят погрешно какви корекции за сигурност имат.
В някои случаи изследователите го приписват на човешка грешка: Nohl вярва, че понякога компании като Sony или Samsung случайно са пропуснали корекция или две. В други случаи нямаше разумно обяснение защо някои телефони твърдяха, че поправят определени уязвимости, когато всъщност им липсваха множество критични пачове.
Екипът на SRL labs състави диаграма, която категоризира основните производители на устройства според това колко кръпки са пропуснали от октомври 2017 г. нататък. За всяко устройство, което е получило поне една актуализация на корекция за сигурност от октомври, SRL искаше да види кое устройство създателите бяха най-добрите и кои бяха най-лошите в прецизното заправяне на своите устройства срещу сигурността през този месец бюлетин.
Ясно е, че Google, Sony, Samsung и по-малко известният Wiko са в горната част на списъка, докато TCL и ZTE са в дъното. Това означава, че последните две компании са пропуснали поне 4 корекции по време на актуализация на сигурността за едно от техните устройства след октомври 2017 г. Това означава ли задължително, че TCL и ZTE са виновни? Да и не. Въпреки че е позорно за компаниите да представят погрешно ниво на корекция за сигурност, SRL посочва, че често доставчиците на чипове са виновни: устройствата, продавани с чипове MediaTek, често нямат много критични корекции за сигурност защото MediaTek не успява да предостави необходимите корекции на производителите на устройства. От друга страна, Samsung, Qualcomm и HiSilicon е много по-малко вероятно да пропуснат предоставянето на корекции за сигурност за устройства, работещи на техните чипсети.
Що се отнася до отговора на Google на това изследване, компанията признава важността му и е започнала разследване на всяко устройство с отбелязана „пропуск в корекцията“. Все още няма информация как точно Google планира да предотврати тази ситуация в бъдеще, тъй като няма задължителни проверки от страна на Google, за да се гарантира, че устройствата работят с нивото на корекция за сигурност, което твърдят, че са бягане. Ако се интересувате да видите какви пачове липсват на вашето устройство, екипът на SRL labs е създал приложение за Android, което анализира фърмуера на вашия телефон за инсталирани и липсващи корекции за сигурност. Всички необходими разрешения за приложението и нужда от достъп до тях можете да видите тук.
Цена: Безплатно.
4.
Наскоро съобщихме, че Google може да се готви да разделят нивата на Android Framework и Vendor Security Patch. В светлината на тези скорошни новини, това вече изглежда по-правдоподобно, особено след като голяма част от вината е на доставчиците, които не успяват да осигурят навреме кръпки за чипсет за своите клиенти.