Sicherheitsforscher haben herausgefunden, dass mehrere Android-OEMs gelogen oder falsch angegeben haben, welche Sicherheitspatches auf ihren Geräten installiert sind. Manchmal aktualisieren sie sogar die Sicherheitspatchzeichenfolge, ohne tatsächlich etwas zu patchen!
Als ob die Situation mit Android-Sicherheitsupdates nicht noch schlimmer werden könnte, scheinen einige Android-Gerätehersteller beim Lügen darüber erwischt worden zu sein, wie sicher ihre Telefone wirklich sind. Mit anderen Worten: Einige Gerätehersteller behaupten, dass ihre Telefone einen bestimmten Sicherheitspatch-Level erfüllen, obwohl ihrer Software in Wirklichkeit erforderliche Sicherheitspatches fehlen.
Dies ist gem Verdrahtet die über Forschungsarbeiten berichteten morgen veröffentlicht auf der Hack in the Box-Sicherheitskonferenz. Die Forscher Karsten Nohl und Jakob Lell von Security Research Labs haben die letzten zwei Jahre mit Reverse Engineering verbracht Hunderte von Android-Geräten, um zu überprüfen, ob die Geräte wirklich vor den Bedrohungen geschützt sind, von denen sie behaupten, dass sie sicher sind gegen. Die Ergebnisse sind verblüffend – die Forscher fanden eine erhebliche „Patch-Lücke“ zwischen vielen Telefonen Geben Sie die Sicherheitspatch-Stufe und die Schwachstellen an, durch die diese Telefone tatsächlich geschützt sind gegen. Die „Patch-Lücke“ variiert je nach Gerät und Hersteller, sollte aber angesichts der in den monatlichen Sicherheitsbulletins aufgeführten Anforderungen von Google überhaupt nicht bestehen.
Der Google Pixel 2 XL läuft auf dem ersten Vorschau für Android P-Entwickler mit Sicherheitspatches vom März 2018.
Den Forschern zufolge gingen einige Hersteller von Android-Geräten sogar so weit, die Sicherheitspatch-Stufe des Geräts absichtlich falsch darzustellen, indem sie einfach nur den Sicherheitspatch-Level des Geräts falsch darstellten Ändern des in den Einstellungen angezeigten Datums, ohne tatsächlich Patches zu installieren. Dies ist unglaublich einfach zu fälschen – sogar Sie oder ich könnten es auf einem gerooteten Gerät durch Modifikationen tun ro.build.version.security_patch in build.prop.
Das fand das Team bei den 1.200 Telefonen von über einem Dutzend Geräteherstellern heraus, die die Forscher getestet hatten Sogar Geräte von Top-Geräteherstellern wiesen „Patchlücken“ auf. obwohl kleinere Gerätehersteller in diesem Bereich tendenziell noch schlechtere Erfolge vorweisen konnten. Die Telefone von Google scheinen sicher zu sein, da die Pixel- und Pixel-2-Serie jedoch nicht falsch darstellte, welche Sicherheitspatches sie hatten.
In einigen Fällen führten die Forscher dies auf menschliches Versagen zurück: Nohl glaubt, dass Unternehmen wie Sony oder Samsung manchmal versehentlich ein oder zwei Patches verpasst haben. In anderen Fällen gab es keine vernünftige Erklärung dafür, warum einige Telefone behaupteten, bestimmte Schwachstellen zu beheben, obwohl ihnen in Wirklichkeit mehrere kritische Patches fehlten.
Das Team von SRL Labs hat eine Tabelle zusammengestellt, die große Gerätehersteller danach kategorisiert, wie viele Patches sie ab Oktober 2017 verpasst haben. Für jedes Gerät, das seit Oktober mindestens ein Sicherheitspatch-Update erhalten hat, wollte SRL sehen, um welches Gerät es sich handelt Hersteller waren die besten und welche waren die schlechtesten darin, ihre Geräte genau auf die Sicherheit dieses Monats zu patchen Bekanntmachung.
Ganz oben auf der Liste stehen eindeutig Google, Sony, Samsung und das weniger bekannte Wiko, während TCL und ZTE ganz unten stehen. Dies bedeutet, dass die beiden letztgenannten Unternehmen bei einem Sicherheitsupdate für eines ihrer Geräte nach Oktober 2017 mindestens 4 Patches verpasst haben. Bedeutet das unbedingt, dass TCL und ZTE schuld sind? Ja und nein. Während es für die Unternehmen eine Schande ist, ein Sicherheitspatch-Level falsch darzustellen, weist SRL darauf hin, dass die Schuld oft bei den Chipherstellern liegt: Bei Geräten, die mit MediaTek-Chips verkauft werden, fehlen häufig viele wichtige Sicherheitspatches weil MediaTek den Geräteherstellern nicht die notwendigen Patches zur Verfügung stellt. Andererseits war die Wahrscheinlichkeit, dass Samsung, Qualcomm und HiSilicon die Bereitstellung von Sicherheitspatches für Geräte mit ihren Chipsätzen versäumten, weitaus geringer.
Was die Reaktion von Google auf diese Untersuchung betrifft, erkennt das Unternehmen deren Bedeutung an und hat eine Untersuchung zu jedem Gerät eingeleitet, bei dem eine „Patch-Lücke“ festgestellt wurde. Es gibt noch kein Wort darüber, wie genau Google plant, diese Situation in Zukunft zu verhindern, da es keine vorgeschriebenen Überprüfungen seitens Google gibt, um sicherzustellen, dass auf den Geräten die angebliche Sicherheitspatch-Stufe ausgeführt wird läuft. Wenn Sie wissen möchten, welche Patches auf Ihrem Gerät fehlen, hat das Team von SRL Labs diese erstellt eine Android-Anwendung, die die Firmware Ihres Telefons auf installierte und fehlende Sicherheitspatches analysiert. Alle erforderlichen Berechtigungen für die App und die Welche Informationen Sie benötigen, um darauf zuzugreifen, können Sie hier einsehen.
Kostenlos.
4.
Wir haben kürzlich berichtet, dass Google sich möglicherweise darauf vorbereitet Teilen Sie die Android Framework- und Vendor Security Patch-Ebenen auf. Angesichts dieser jüngsten Nachrichten scheint dies nun plausibler zu sein, insbesondere da ein Großteil der Schuld bei den Anbietern liegt, die ihren Kunden Chipsatz-Patches nicht rechtzeitig zur Verfügung stellen.