Bezpečnostní výzkumníci zjistili, že několik výrobců Android OEM lže nebo zkresluje, jaké bezpečnostní záplaty jsou na jejich zařízení nainstalovány. Někdy dokonce aktualizují řetězec bezpečnostních oprav, aniž by ve skutečnosti něco opravovali!
Jako by se situace s aktualizací zabezpečení Androidu nemohla zhoršit, zdá se, že někteří výrobci zařízení Android byli přistiženi při lži o tom, jak bezpečné jsou jejich telefony. Jinými slovy, někteří výrobci zařízení tvrdili, že jejich telefony splňují určitou úroveň bezpečnostních záplat, i když ve skutečnosti jejich softwaru požadované bezpečnostní záplaty chybí.
Toto je podle Kabelové který informoval o výzkumu, který má být zveřejněno zítra na bezpečnostní konferenci Hack in the Box. Výzkumníci Karsten Nohl a Jakob Lell z Security Research Labs strávili poslední dva roky reverzním inženýrstvím stovky zařízení Android, aby bylo možné zkontrolovat, zda jsou zařízení skutečně bezpečná proti hrozbám, o kterých tvrdí, že jsou bezpečná proti. Výsledky jsou překvapivé – výzkumníci našli značnou „patch gap“ mezi mnoha telefony hlásit jako úroveň bezpečnostní opravy a jaké zranitelnosti jsou tyto telefony skutečně chráněny proti. „Mezera v opravách“ se mezi zařízením a výrobcem liší, ale vzhledem k požadavkům společnosti Google uvedeným v měsíčních bezpečnostních bulletinech by vůbec neměla existovat.
The Google Pixel 2 XL běží na první Android P Developer Preview s Bezpečnostní záplaty z března 2018.
Podle výzkumníků šli někteří výrobci zařízení Android dokonce tak daleko, že záměrně zkreslili úroveň bezpečnostní opravy zařízení pouhým změna data zobrazeného v Nastavení bez skutečné instalace jakýchkoli záplat. To je neuvěřitelně snadné předstírat – dokonce i vy nebo já to dokážete na rootovaném zařízení úpravou ro.build.version.security_patch v build.prop.
Z 1200 telefonů od více než tuctu výrobců zařízení, které výzkumníci testovali, tým zjistil, že dokonce i zařízení od špičkových výrobců zařízení měla „patch gap“ ačkoli menší výrobci zařízení mívali v této oblasti ještě horší záznamy. Zdá se, že telefony Google jsou bezpečné, nicméně série Pixel a Pixel 2 nezkreslily, jaké bezpečnostní záplaty mají.
V některých případech to vědci připisovali lidské chybě: Nohl věří, že někdy společnosti jako Sony nebo Samsung omylem minuly jeden nebo dva patche. V jiných případech neexistovalo žádné rozumné vysvětlení, proč některé telefony tvrdily, že opravují určité zranitelnosti, když ve skutečnosti postrádaly několik kritických oprav.
Tým laboratoří SRL sestavil tabulku, která kategorizuje hlavní výrobce zařízení podle toho, kolik záplat zmeškali od října 2017. Pro každé zařízení, které od října obdrželo alespoň jednu aktualizaci zabezpečení, chtěla SRL zjistit, které zařízení tvůrci byli nejlepší a kteří byli nejhorší v přesném záplatování svých zařízení proti zabezpečení daného měsíce bulletin.
Je zřejmé, že Google, Sony, Samsung a méně známé Wiko jsou na vrcholu seznamu, zatímco TCL a ZTE jsou na konci. To znamená, že posledně jmenované dvě společnosti zmeškaly nejméně 4 opravy během bezpečnostní aktualizace pro jedno ze svých zařízení po říjnu 2017. Znamená to nutně, že na vině jsou TCL a ZTE? Ano i ne. I když je pro společnosti hanebné zkreslovat úroveň bezpečnostních záplat, SRL poukazuje na to, že často za to mohou dodavatelé čipů: zařízení prodávaná s čipy MediaTek často postrádají mnoho důležitých bezpečnostních záplat protože MediaTek nedokáže poskytnout potřebné záplaty výrobcům zařízení. Na druhou stranu Samsung, Qualcomm a HiSilicon mnohem méně pravděpodobně vynechaly poskytování bezpečnostních záplat pro zařízení běžící na jejich čipových sadách.
Pokud jde o reakci společnosti Google na tento výzkum, společnost uznává jeho důležitost a zahájila vyšetřování každého zařízení s uvedenou „patch gap“. Zatím není známo, jak přesně Google plánuje této situaci v budoucnu zabránit, protože od společnosti Google neprobíhají žádné povinné kontroly, které by zajistily, že zařízení používají úroveň bezpečnostních oprav, o kterých tvrdí, že jsou běh. Pokud vás zajímá, jaké záplaty vašemu zařízení chybí, vytvořil tým laboratoří SRL aplikace pro Android, která analyzuje firmware vašeho telefonu na nainstalované a chybějící bezpečnostní záplaty. Všechna potřebná oprávnění pro aplikaci a Potřebujete k nim přístup, můžete si je prohlédnout zde.
Cena: Zdarma.
4.
Nedávno jsme informovali, že se na to Google možná připravuje rozdělit úrovně Android Framework a Vendor Security Patch. Ve světle těchto nedávných zpráv se to nyní zdá věrohodnější, zejména proto, že velká část viny je na straně prodejců, kteří svým zákazníkům neposkytnou záplaty čipové sady včas.