Algunos OEM de Android han sido sorprendidos mintiendo sobre los parches de seguridad

Los investigadores de seguridad han descubierto que varios fabricantes de equipos originales de Android han mentido o tergiversado qué parches de seguridad están instalados en sus dispositivos. A veces, incluso actualizan la cadena del parche de seguridad sin parchear nada.

Como si la situación de las actualizaciones de seguridad de Android no pudiera empeorar, parece que algunos fabricantes de dispositivos Android han sido sorprendidos mintiendo sobre cuán seguros son realmente sus teléfonos. En otras palabras, algunos fabricantes de dispositivos han afirmado que sus teléfonos cumplen con un cierto nivel de parche de seguridad cuando en realidad a su software le faltan los parches de seguridad necesarios.

Esto es según cableado que informó sobre la investigación que se realizará publicado mañana en la conferencia de seguridad Hack in the Box. Los investigadores Karsten Nohl y Jakob Lell de Security Research Labs han dedicado los últimos dos años a realizar ingeniería inversa cientos de dispositivos Android para comprobar si los dispositivos son realmente seguros contra las amenazas que dicen ser seguros contra. Los resultados son sorprendentes: los investigadores encontraron una "brecha de parche" significativa entre lo que muchos teléfonos informe como el nivel del parche de seguridad y qué vulnerabilidades están realmente protegidas estos teléfonos contra. La "brecha de parche" varía entre el dispositivo y el fabricante, pero dados los requisitos de Google enumerados en los boletines de seguridad mensuales, no debería existir en absoluto.

El Google Píxel 2XL corriendo en el primero Vista previa para desarrolladores de Android P con Parches de seguridad de marzo de 2018.

Según los investigadores, algunos fabricantes de dispositivos Android llegaron incluso a tergiversar intencionalmente el nivel del parche de seguridad del dispositivo simplemente cambiar la fecha que se muestra en Configuración sin instalar ningún parche. Esto es increíblemente sencillo de falsificar; incluso tú o yo podríamos hacerlo en un dispositivo rooteado modificando ro.build.version.security_patch en build.prop.

De los 1.200 teléfonos de más de una docena de fabricantes de dispositivos que fueron probados por los investigadores, el equipo encontró que incluso los dispositivos de los principales fabricantes tenían "lagunas de parches", aunque los fabricantes de dispositivos más pequeños tendían a tener un historial aún peor en este ámbito. Los teléfonos de Google parecen ser segurosSin embargo, las series Pixel y Pixel 2 no tergiversaron los parches de seguridad que tenían.

En algunos casos, los investigadores lo atribuyeron a un error humano: Nohl cree que a veces empresas como Sony o Samsung omitieron accidentalmente uno o dos parches. En otros casos, no había una explicación razonable de por qué algunos teléfonos afirmaban haber parcheado ciertas vulnerabilidades cuando en realidad les faltaban varios parches críticos.

El equipo de SRL Labs elaboró ​​un cuadro que clasifica a los principales fabricantes de dispositivos según la cantidad de parches que se perdieron desde octubre de 2017 en adelante. Para cualquier dispositivo que haya recibido al menos una actualización de parche de seguridad desde octubre, SRL quería ver qué dispositivo Los fabricantes fueron los mejores y cuáles fueron los peores a la hora de parchear con precisión sus dispositivos contra las medidas de seguridad de ese mes. boletín.

Fuente: Laboratorios de investigación de seguridad/Wired

Claramente, Google, Sony, Samsung y el menos conocido Wiko están en la parte superior de la lista, mientras que TCL y ZTE están al final. Esto significa que a las dos últimas empresas se les han escapado al menos 4 parches durante una actualización de seguridad para uno de sus dispositivos después de octubre de 2017. ¿Eso significa necesariamente que TCL y ZTE tienen la culpa? Si y no. Si bien es vergonzoso para las empresas tergiversar el nivel del parche de seguridad, SRL señala que a menudo los proveedores de chips son los culpables: Los dispositivos vendidos con chips MediaTek a menudo carecen de muchos parches de seguridad críticos. porque MediaTek no proporciona los parches necesarios a los fabricantes de dispositivos. Por otro lado, era mucho menos probable que Samsung, Qualcomm y HiSilicon dejaran de proporcionar parches de seguridad para los dispositivos que se ejecutan en sus conjuntos de chips.

Fuente: Laboratorios de investigación de seguridad/Wired

En cuanto a la respuesta de Google a esta investigación, la compañía reconoce su importancia y ha iniciado una investigación sobre cada dispositivo con una "brecha de parche" notada. Aún no se sabe cómo exactamente Google planea evitar esta situación en el futuro, ya que no existen controles obligatorios por parte de Google para garantizar que los dispositivos estén ejecutando el nivel de parche de seguridad que afirman tener. correr. Si está interesado en ver qué parches le faltan a su dispositivo, el equipo de SRL Labs ha creado una aplicación de Android que analiza el firmware de su teléfono en busca de parches de seguridad instalados y faltantes. Todos los permisos necesarios para la aplicación y el necesita acceder a ellos se pueden ver aquí.

SnoopSnitchDesarrollador: Laboratorios de investigación de seguridad

Precio: Gratis.

4.

Descargar

Recientemente informamos que Google podría estar preparándose para dividir los niveles de Android Framework y Vendor Security Patch. A la luz de estas noticias recientes, esto ahora parece más plausible, especialmente porque gran parte de la culpa recae en los proveedores que no proporcionan parches de chipset a tiempo para sus clientes.