Sikkerhedsforskere har opdaget, at flere Android OEM'er har løjet eller misrepræsenteret, hvilke sikkerhedsrettelser der er installeret på deres enhed. Nogle gange opdaterer de endda sikkerhedspatchstrengen uden faktisk at rette noget!
Som om Android-sikkerhedsopdateringssituationen ikke kunne blive værre, ser det ud til, at nogle Android-enhedsproducenter er blevet fanget i at lyve om, hvor sikre deres telefoner egentlig er. Med andre ord har nogle enhedsproducenter hævdet, at deres telefoner opfylder et vist sikkerhedspatch-niveau, når deres software i virkeligheden mangler nødvendige sikkerhedsrettelser.
Dette er iflg Kablet som rapporterede om forskning, der skal være offentliggjort i morgen ved Hack in the Box-sikkerhedskonferencen. Forskerne Karsten Nohl og Jakob Lell fra Security Research Labs har brugt de seneste to år på reverse-engineering hundredvis af Android-enheder for at kontrollere, om enheder virkelig er sikre mod de trusler, som de hævder, at de er sikre mod. Resultaterne er opsigtsvækkende - forskerne fandt et betydeligt "patch gap" mellem hvad mange telefoner rapporter som sikkerhedspatch-niveauet, og hvilke sårbarheder disse telefoner faktisk er beskyttet mod. "Patch-gabet" varierer mellem enhed og producent, men i betragtning af Googles krav som anført i de månedlige sikkerhedsbulletiner - burde det slet ikke eksistere.
Det Google Pixel 2 XL kører på den første Forhåndsvisning af Android P-udvikler med marts 2018 sikkerhedsrettelser.
Ifølge forskerne gik nogle Android-enhedsproducenter endda så langt som med vilje at misrepræsentere enhedens sikkerhedspatch-niveau ved blot at at ændre datoen vist i Indstillinger uden faktisk at installere nogen patches. Dette er utroligt nemt at forfalske - selv du eller jeg kunne gøre det på en rodfæstet enhed ved at ændre ro.build.version.security_patch i bygge.prop.
Ud af de 1.200 telefoner fra over et dusin enhedsproducenter, der blev testet af forskerne, fandt holdet, at selv enheder fra top-tier enhedsproducenter havde "patch gaps" selvom mindre enhedsproducenter havde en tendens til at have endnu dårligere resultater på dette område. Googles telefoner ser ud til at være sikre, dog, da Pixel- og Pixel 2-serierne ikke misrepræsenterede, hvilke sikkerhedsrettelser de havde.
I nogle tilfælde tilskrev forskerne det til menneskelige fejl: Nohl mener, at virksomheder som Sony eller Samsung ved et uheld gik glip af en patch eller to. I andre tilfælde var der ingen rimelig forklaring på, hvorfor nogle telefoner hævdede at rette visse sårbarheder, mens de faktisk manglede flere kritiske patches.
Teamet på SRL-laboratorier har sammensat et diagram, der kategoriserer store enhedsproducenter efter, hvor mange patches de gik glip af fra oktober 2017 og fremefter. For enhver enhed, der har modtaget mindst én sikkerhedsopdatering siden oktober, ønskede SRL at se, hvilken enhed producenterne var de bedste, og som var de dårligste til nøjagtigt at patche deres enheder mod den måneds sikkerhed opslag.
Det er klart, at Google, Sony, Samsung og den mindre kendte Wiko er øverst på listen, mens TCL og ZTE er nederst. Det betyder, at de to sidstnævnte virksomheder har misset mindst 4 patches under en sikkerhedsopdatering til en af deres enheder efter oktober 2017. Betyder det nødvendigvis, at TCL og ZTE er skyld i? Ja og nej. Selvom det er skammeligt for virksomhederne at give en forkert fremstilling af et sikkerhedspatch-niveau, påpeger SRL, at chipleverandører ofte har skylden: enheder, der sælges med MediaTek-chips, mangler ofte mange kritiske sikkerhedsrettelser fordi MediaTek undlader at levere de nødvendige patches til enhedsproducenter. På den anden side var Samsung, Qualcomm og HiSilicon langt mindre tilbøjelige til at savne at levere sikkerhedsrettelser til enheder, der kører på deres chipsæt.
Hvad angår Googles svar på denne undersøgelse, anerkender virksomheden dens betydning og har iværksat en undersøgelse af hver enhed med et bemærket "patch gap". Der er endnu ingen ord om præcis hvordan Google planlægger at forhindre denne situation i fremtiden, da der ikke er nogen obligatoriske kontroller på plads fra Google for at sikre, at enheder kører det sikkerhedsopdateringsniveau, de hævder, at de er løb. Hvis du er interesseret i at se, hvilke patches din enhed mangler, har teamet hos SRL-laboratorier oprettet en Android-applikation, der analyserer din telefons firmware for installerede og manglende sikkerhedsrettelser. Alle de nødvendige tilladelser til appen og behov for at få adgang til dem kan ses her.
Pris: Gratis.
4.
Vi har for nylig rapporteret, at Google muligvis forbereder sig opdele Android Framework- og Leverandørsikkerhedspatch-niveauerne. I lyset af disse seneste nyheder virker dette nu mere plausibelt, især da en stor del af skylden går til leverandører, der undlader at levere chipset-patches til tiden til deres kunder.