Ερευνητές ασφαλείας ανακάλυψαν ότι αρκετοί κατασκευαστές Android OEM λένε ψέματα ή παρεξηγούν ποιες ενημερώσεις κώδικα ασφαλείας είναι εγκατεστημένες στη συσκευή τους. Μερικές φορές, ενημερώνουν ακόμη και τη συμβολοσειρά της ενημέρωσης κώδικα ασφαλείας χωρίς να επιδιορθώνουν τίποτα!
Καθώς η κατάσταση της ενημέρωσης ασφαλείας Android δεν θα μπορούσε να γίνει χειρότερη, φαίνεται ότι ορισμένοι κατασκευαστές συσκευών Android έχουν πιαστεί να λένε ψέματα για το πόσο ασφαλή είναι πραγματικά τα τηλέφωνά τους. Με άλλα λόγια, ορισμένοι κατασκευαστές συσκευών ισχυρίζονται ότι τα τηλέφωνά τους πληρούν ένα συγκεκριμένο επίπεδο ενημερωμένης έκδοσης κώδικα ασφαλείας, όταν στην πραγματικότητα από το λογισμικό τους λείπουν οι απαιτούμενες ενημερώσεις κώδικα ασφαλείας.
Αυτό είναι σύμφωνα με Ενσύρματο η οποία ανέφερε σχετικά με την έρευνα που πρόκειται να είναι δημοσιεύεται αύριο στη διάσκεψη ασφαλείας Hack in the Box. Οι ερευνητές Karsten Nohl και Jakob Lell από το Security Research Labs πέρασαν τα τελευταία δύο χρόνια στην αντίστροφη μηχανική εκατοντάδες συσκευές Android προκειμένου να ελέγξουν εάν οι συσκευές είναι πραγματικά ασφαλείς έναντι των απειλών που ισχυρίζονται ότι είναι ασφαλείς κατά. Τα αποτελέσματα είναι εκπληκτικά - οι ερευνητές βρήκαν ένα σημαντικό «κενό patch» μεταξύ πολλών τηλεφώνων αναφέρετε ως το επίπεδο ενημέρωσης κώδικα ασφαλείας και ποιες ευπάθειες προστατεύονται πραγματικά αυτά τα τηλέφωνα κατά. Το "κενό ενημέρωσης κώδικα" διαφέρει μεταξύ συσκευής και κατασκευαστή, αλλά δεδομένων των απαιτήσεων της Google όπως αναφέρονται στα μηνιαία ενημερωτικά δελτία ασφαλείας—δεν θα έπρεπε να υπάρχει καθόλου.
ο Google Pixel 2 XL τρέχοντας στην πρώτη Προεπισκόπηση προγραμματιστή Android P με Ενημερώσεις κώδικα ασφαλείας Μαρτίου 2018.
Σύμφωνα με τους ερευνητές, ορισμένοι κατασκευαστές συσκευών Android έφτασαν στο σημείο να παραποιούν σκόπιμα το επίπεδο ενημέρωσης κώδικα ασφαλείας της συσκευής απλά αλλάζοντας την ημερομηνία που εμφανίζεται στις Ρυθμίσεις χωρίς να εγκαταστήσετε πραγματικά ενημερώσεις κώδικα. Αυτό είναι απίστευτα απλό στο ψεύτικο - ακόμα και εσείς ή εγώ θα μπορούσαμε να το κάνουμε σε μια συσκευή με root τροποποιώντας ro.build.version.security_patch σε κατασκευή.στήριγμα.
Από τα 1.200 τηλέφωνα από πάνω από δώδεκα κατασκευαστές συσκευών που δοκιμάστηκαν από τους ερευνητές, η ομάδα διαπίστωσε ότι ακόμη και συσκευές από κορυφαίους κατασκευαστές συσκευών είχαν "κενά ενημέρωσης κώδικα", παρόλο που οι μικρότεροι κατασκευαστές συσκευών έτειναν να έχουν ακόμη χειρότερα αποτελέσματα σε αυτόν τον τομέα. Τα τηλέφωνα της Google φαίνεται να είναι ασφαλή, ωστόσο, καθώς οι σειρές Pixel και Pixel 2 δεν παρεξηγούσαν ποιες ενημερώσεις κώδικα ασφαλείας είχαν.
Σε ορισμένες περιπτώσεις, οι ερευνητές το απέδωσαν σε ανθρώπινο λάθος: ο Nohl πιστεύει ότι μερικές φορές εταιρείες όπως η Sony ή η Samsung έχασαν κατά λάθος ένα ή δύο patch. Σε άλλες περιπτώσεις, δεν υπήρχε λογική εξήγηση για το γιατί ορισμένα τηλέφωνα ισχυρίστηκαν ότι επιδιορθώνουν ορισμένες ευπάθειες ενώ στην πραγματικότητα τους έλειπαν πολλές κρίσιμες ενημερώσεις κώδικα.
Η ομάδα στα εργαστήρια SRL συνέταξε ένα γράφημα που κατηγοριοποιεί τους μεγάλους κατασκευαστές συσκευών ανάλογα με τον αριθμό των ενημερώσεων κώδικα που έχασαν από τον Οκτώβριο του 2017 και μετά. Για κάθε συσκευή που έλαβε τουλάχιστον μία ενημέρωση ενημερωμένης έκδοσης κώδικα ασφαλείας από τον Οκτώβριο, η SRL ήθελε να δει ποια συσκευή Οι κατασκευαστές ήταν οι καλύτεροι και ποιοι οι χειρότεροι στο να επιδιορθώσουν με ακρίβεια τις συσκευές τους σε σχέση με την ασφάλεια εκείνου του μήνα δελτίο.
Σαφώς, η Google, η Sony, η Samsung και η λιγότερο γνωστή Wiko βρίσκονται στην κορυφή της λίστας, ενώ η TCL και η ZTE βρίσκονται στο κάτω μέρος. Αυτό σημαίνει ότι οι δύο τελευταίες εταιρείες έχουν χάσει τουλάχιστον 4 ενημερώσεις κώδικα κατά τη διάρκεια μιας ενημέρωσης ασφαλείας για μία από τις συσκευές τους μετά τον Οκτώβριο του 2017. Αυτό σημαίνει απαραίτητα ότι φταίνε η TCL και η ZTE; Ναι και ΟΧΙ. Αν και είναι επαίσχυντο για τις εταιρείες να παραποιούν ένα επίπεδο ενημέρωσης κώδικα ασφαλείας, η SRL επισημαίνει ότι συχνά οι πωλητές τσιπ ευθύνονται: Οι συσκευές που πωλούνται με τσιπ MediaTek συχνά δεν έχουν πολλές σημαντικές ενημερώσεις κώδικα ασφαλείας επειδή η MediaTek αποτυγχάνει να παρέχει τις απαραίτητες ενημερώσεις κώδικα στους κατασκευαστές συσκευών. Από την άλλη πλευρά, η Samsung, η Qualcomm και η HiSilicon ήταν πολύ λιγότερο πιθανό να χάσουν την παροχή ενημερώσεων κώδικα ασφαλείας για συσκευές που λειτουργούν στα chipset τους.
Όσον αφορά την απάντηση της Google σε αυτήν την έρευνα, η εταιρεία αναγνωρίζει τη σημασία της και έχει ξεκινήσει έρευνα για κάθε συσκευή με ένα σημειωμένο "κενό ενημέρωσης κώδικα". Δεν υπάρχει ακόμη λέξη για το πώς ακριβώς Η Google σχεδιάζει να αποτρέψει αυτήν την κατάσταση στο μέλλον, καθώς δεν υπάρχουν υποχρεωτικοί έλεγχοι από την Google για να διασφαλιστεί ότι οι συσκευές εκτελούν το επίπεδο ενημέρωσης κώδικα ασφαλείας που ισχυρίζονται ότι είναι τρέξιμο. Εάν ενδιαφέρεστε να δείτε ποιες ενημερώσεις κώδικα λείπουν από τη συσκευή σας, η ομάδα των εργαστηρίων SRL έχει δημιουργήσει μια εφαρμογή Android που αναλύει το υλικολογισμικό του τηλεφώνου σας για εγκατεστημένες και ελλιπείς ενημερώσεις κώδικα ασφαλείας. Όλα τα απαραίτητα δικαιώματα για την εφαρμογή και το Μπορείτε να τα δείτε εδώ.
Τιμή: Δωρεάν.
4.
Πρόσφατα αναφέραμε ότι η Google μπορεί να προετοιμάζεται διαχωρίστε τα επίπεδα του Android Framework και του Vendor Security Patch. Υπό το πρίσμα αυτών των πρόσφατων ειδήσεων, αυτό φαίνεται πλέον πιο εύλογο, ειδικά αφού μεγάλο μέρος της ευθύνης πέφτει στους προμηθευτές που αποτυγχάνουν να παρέχουν εγκαίρως ενημερώσεις κώδικα chipset για τους πελάτες τους.