Turvateadlased on avastanud, et mitmed Androidi originaalseadmete tootjad on valetanud või valesti esitanud, millised turvapaigad nende seadmesse on installitud. Mõnikord värskendavad nad isegi turbepaiga stringi ilma midagi parandamata!
Justkui Androidi turvavärskenduste olukord ei saaks hullemaks minna, näib, et mõned Android-seadmete tootjad on tabatud valetamisega selle kohta, kui turvalised nende telefonid tegelikult on. Teisisõnu, mõned seadmetootjad on väitnud, et nende telefonid vastavad teatud turvapaiga tasemele, kuigi tegelikkuses puuduvad nende tarkvaral vajalikud turvapaigad.
See on vastavalt Ühendatud mis teatas kavandatavast uurimistööst avaldatakse homme turvakonverentsil Hack in the Box. Teadlased Karsten Nohl ja Jakob Lell turvauuringute laborist on viimased kaks aastat pöördprojekteerimisega tegelenud. sadu Android-seadmeid, et kontrollida, kas seadmed on tõesti kaitstud ohtude eest, mida nad väidavad olevat kaitstud vastu. Tulemused on jahmatavad – teadlased leidsid paljude telefonide vahel märkimisväärse "plaastrivahe". aruanne turvapaiga tasemena ja millised haavatavused need telefonid tegelikult kaitstud on vastu. "Laiade lünk" on seadme ja tootja lõikes erinev, kuid arvestades igakuistes turvabülletäänides loetletud Google'i nõudeid, ei tohiks seda üldse eksisteerida.
The Google Pixel 2 XL jookseb esimesel Android P arendaja eelvaade koos Märts 2018 turvapaigad.
Teadlaste sõnul läksid mõned Android-seadmete tootjad isegi nii kaugele, et andsid seadme turvapaiga taset tahtlikult valesti, lihtsalt muutke seadetes näidatud kuupäeva ilma plaastreid installimata. Seda on uskumatult lihtne võltsida – isegi teie või mina saaksime seda teha juurdunud seadmes, muutes ro.build.version.security_patch in build.prop.
Rohkem kui tosina seadmetootja 1200 telefonist, mida teadlased testisid, leidis meeskond, et isegi tipptasemel seadmetootjate seadmetel oli lünki, kuigi väiksematel seadmetootjatel kippusid selles vallas olema veelgi halvemad tulemused. Google'i telefonid näivad olevat turvalised, kuna Pixel ja Pixel 2 seeriad ei esitanud valesti, millised turvapaigad neil olid.
Mõnel juhul omistasid teadlased selle inimlikule veale: Nohl usub, et mõnikord jäid sellised ettevõtted nagu Sony või Samsung kogemata mõne plaastri vahele. Muudel juhtudel ei olnud mõistlikku seletust, miks mõned telefonid väitsid, et parandavad teatud turvaauke, kuigi tegelikult puudus mitu kriitilist plaastrit.
SRL laborite meeskond koostas diagrammi, mis liigitab suuremad seadmetootjad selle järgi, kui palju plaastreid neil alates 2017. aasta oktoobrist ilma jäi. Iga seadme puhul, mis sai alates oktoobrist vähemalt ühe turvapaiga värskenduse, soovis SRL näha, milline seade tegijad olid parimad ja kes olid kõige kehvemad, et oma seadmeid selle kuu turvalisusega täpselt parandada bülletään.
Selge on see, et Google, Sony, Samsung ja vähemtuntud Wiko on nimekirja ülaosas, samas kui TCL ja ZTE on lõpus. See tähendab, et kaks viimast ettevõtet on pärast 2017. aasta oktoobrit oma ühe seadme turvavärskenduse ajal jätnud vahele vähemalt 4 paika. Kas see tähendab tingimata, et TCL ja ZTE on süüdi? Jah ja ei. Kuigi ettevõtete jaoks on häbiväärne turbepaiga taseme valesti esitamine, juhib SRL tähelepanu, et sageli on süüdi kiibimüüjad: MediaTeki kiipidega müüdavatel seadmetel puuduvad sageli paljud kriitilised turvapaigad sest MediaTek ei suuda seadmetootjatele vajalikke plaastreid pakkuda. Teisest küljest ei jätnud Samsung, Qualcomm ja HiSilicon oma kiibistikel töötavatele seadmetele turvapaikade pakkumisest palju vähem ilma.
Mis puudutab Google'i vastust sellele uuringule, siis ettevõte tunnistab selle tähtsust ja on algatanud uurimise iga seadme kohta, millel on märgitud "plaastri lünk". Kuidas täpselt, pole veel sõna Google kavatseb seda olukorda tulevikus ära hoida, kuna Google ei kontrolli, kas seadmed töötavad turvapaiga tasemel, mida nad väidavad olevat. jooksmine. Kui soovite näha, millised paigad teie seadmel puuduvad, on SRL labori meeskond selle loonud Androidi rakendus, mis analüüsib teie telefoni püsivara installitud ja puuduvate turvapaikade osas. Kõik rakenduse ja rakenduse jaoks vajalikud load neile juurde pääseda saab vaadata siit.
Hind: tasuta.
4.
Hiljuti teatasime, et Google võib selleks valmistuda jagage Androidi raamistiku ja tarnija turvapaiga tasemed. Nende hiljutiste uudiste valguses tundub see nüüd usutavam, eriti kuna suur osa süüst langeb müüjatele, kes ei suuda oma klientidele õigeaegselt kiibistikuplaastreid pakkuda.