Tietoturvatutkijat ovat havainneet, että useat Androidin OEM-valmistajat ovat valehdelleet tai antaneet vääriä tietoja laitteelleen asennetuista tietoturvakorjauksista. Joskus he jopa päivittävät tietoturvakorjausmerkkijonoa korjaamatta mitään!
Ikään kuin Androidin tietoturvapäivitystilanne ei voisi pahentua, näyttää siltä, että jotkut Android-laitteiden valmistajat ovat jääneet kiinni valehtelemasta puhelimensa turvallisuudesta. Toisin sanoen jotkut laitevalmistajat ovat väittäneet, että heidän puhelimensa täyttävät tietyn suojauskorjaustason, vaikka todellisuudessa heidän ohjelmistostaan puuttuu vaaditut suojauskorjaukset.
Tämä on sen mukaan Langallinen joka raportoi tulevasta tutkimuksesta julkaistaan huomenna Hack in the Box -turvallisuuskonferenssissa. Security Research Labsin tutkijat Karsten Nohl ja Jakob Lell ovat käyttäneet viimeiset kaksi vuotta käänteissuunnittelua satoja Android-laitteita tarkistaakseen, ovatko laitteet todella turvallisia uhkia vastaan, joita he väittävät olevansa turvallisia vastaan. Tulokset ovat hätkähdyttäviä – tutkijat havaitsivat merkittävän "paikkakuilun" useiden puhelimien välillä Raportoi tietoturvakorjaustasoksi ja mitkä haavoittuvuudet nämä puhelimet ovat todella suojattuja vastaan. "Pach gap" vaihtelee laitteen ja valmistajan välillä, mutta kun otetaan huomioon Googlen kuukausittaisissa tietoturvatiedotteissa luetellut vaatimukset, sitä ei pitäisi olla ollenkaan.
The Google Pixel 2 XL käynnissä ensimmäisellä Android P -kehittäjän esikatselu kanssa Maaliskuun 2018 tietoturvakorjaukset.
Tutkijoiden mukaan jotkin Android-laitteiden valmistajat menivät jopa niin pitkälle, että he antoivat tarkoituksella väärin laitteen tietoturvakorjauksen tason yksinkertaisesti muuttaa asetuksissa näkyvää päivämäärää asentamatta itse mitään korjaustiedostoja. Tämä on uskomattoman helppo väärentää – jopa sinä tai minä voisimme tehdä sen juurtuneissa laitteissa muokkaamalla ro.build.version.security_patch kohdassa build.prop.
Tutkijoiden testaamista 1 200 puhelimesta yli tusinalta laitevalmistajalta ryhmä havaitsi, että jopa huipputason laitevalmistajien laitteissa oli "korjausrakoja", vaikka pienemmillä laitevalmistajilla oli yleensä vielä huonompia tuloksia tällä alueella. Googlen puhelimet näyttävät olevan turvallisiaPixel- ja Pixel 2 -sarjat eivät kuitenkaan antaneet vääriä tietoja niiden tietoturvakorjauksista.
Joissakin tapauksissa tutkijat katsoivat sen johtuvan inhimillisestä virheestä: Nohl uskoo, että joskus Sonyn tai Samsungin kaltaiset yritykset ovat vahingossa unohtaneet yhden tai kaksi korjaustiedostoa. Muissa tapauksissa ei ollut järkevää selitystä sille, miksi jotkut puhelimet väittivät korjaavansa tiettyjä haavoittuvuuksia, vaikka itse asiassa niistä puuttui useita kriittisiä korjaustiedostoja.
SRL labs -tiimi kokosi kaavion, joka luokittelee suurimmat laitevalmistajat sen mukaan, kuinka monta korjaustiedostoa heiltä puuttui lokakuusta 2017 alkaen. SRL halusi nähdä minkä tahansa laitteen, joka on saanut vähintään yhden tietoturvakorjauspäivityksen lokakuun jälkeen valmistajat olivat parhaita ja mitkä olivat huonoimpia korjaamaan laitteitaan tarkasti kyseisen kuukauden turvallisuutta vastaan tiedote.
Selvästi Google, Sony, Samsung ja vähemmän tunnettu Wiko ovat luettelon kärjessä, kun taas TCL ja ZTE ovat lopussa. Tämä tarkoittaa, että kahdesta jälkimmäisestä yrityksestä on puuttunut vähintään 4 korjaustiedostoa yhden laitteensa tietoturvapäivityksen aikana lokakuun 2017 jälkeen. Tarkoittaako tämä välttämättä, että TCL ja ZTE ovat viallisia? Kyllä ja ei. Vaikka on häpeällistä, että yritykset antavat vääriä tietoja tietoturvakorjauksen tasosta, SRL huomauttaa, että usein sirujen myyjät ovat syyllisiä: MediaTek-siruilla myydyistä laitteista puuttuu usein monia tärkeitä tietoturvakorjauksia koska MediaTek ei pysty tarjoamaan tarvittavia korjaustiedostoja laitevalmistajille. Toisaalta Samsung, Qualcomm ja HiSilicon eivät todennäköisesti jättäneet suojauskorjauksia piirisarjoissaan toimiville laitteille.
Mitä tulee Googlen vastaukseen tähän tutkimukseen, yritys tunnustaa sen tärkeyden ja on käynnistänyt tutkimuksen jokaisesta laitteesta, jossa on havaittu "patch aukko". Vielä ei ole tietoa kuinka tarkalleen Google aikoo estää tämän tilanteen tulevaisuudessa, koska Google ei ole suorittanut pakotettuja tarkistuksia varmistaakseen, että laitteet käyttävät tietoturvakorjauksen tasoa, jonka ne väittävät olevansa. käynnissä. Jos olet kiinnostunut näkemään, mitä korjauksia laitteestasi puuttuu, SRL labs -tiimi on luonut Android-sovellus, joka analysoi puhelimesi laiteohjelmiston asennettujen ja puuttuvien suojauskorjausten varalta. Kaikki sovelluksen ja sovelluksen edellyttämät käyttöoikeudet tarve päästä niihin voi katsoa täältä.
Hinta: Ilmainen.
4.
Ilmoitimme äskettäin, että Google saattaa valmistautua siihen jakaa Android Framework- ja Vendor Security Patch -tasot. Viimeaikaisten uutisten valossa tämä näyttää nyt uskottavammalta, varsinkin kun suuri osa syytöksistä menee toimittajille, jotka eivät toimita piirisarjakorjauksia ajoissa asiakkailleen.