सुरक्षा शोधकर्ताओं ने पता लगाया है कि कई एंड्रॉइड ओईएम झूठ बोल रहे हैं या गलत बता रहे हैं कि उनके डिवाइस पर कौन से सुरक्षा पैच स्थापित हैं। कभी-कभी, वे वास्तव में कुछ भी पैच किए बिना सुरक्षा पैच स्ट्रिंग को भी अपडेट कर देते हैं!
जैसे कि एंड्रॉइड सुरक्षा अपडेट की स्थिति इससे भी बदतर नहीं हो सकती है, ऐसा प्रतीत होता है कि कुछ एंड्रॉइड डिवाइस निर्माता इस बारे में झूठ बोलते हुए पकड़े गए हैं कि उनके फोन वास्तव में कितने सुरक्षित हैं। दूसरे शब्दों में, कुछ डिवाइस निर्माता दावा कर रहे हैं कि उनके फोन एक निश्चित सुरक्षा पैच स्तर को पूरा करते हैं जबकि वास्तव में उनके सॉफ़्टवेयर में आवश्यक सुरक्षा पैच नहीं हैं।
इसके अनुसार है वायर्ड जो शोध सेट पर रिपोर्ट किया गया है कल प्रकाशित हैक इन द बॉक्स सुरक्षा सम्मेलन में। सिक्योरिटी रिसर्च लैब्स के शोधकर्ता कार्स्टन नोहल और जैकब लेल ने पिछले दो साल रिवर्स-इंजीनियरिंग में बिताए हैं यह जाँचने के लिए कि क्या डिवाइस वास्तव में खतरों से सुरक्षित हैं, सैकड़ों एंड्रॉइड डिवाइसों का दावा किया जाता है कि वे सुरक्षित हैं ख़िलाफ़। परिणाम चौंकाने वाले हैं - शोधकर्ताओं ने कई फोनों के बीच एक महत्वपूर्ण "पैच गैप" पाया सुरक्षा पैच स्तर के रूप में रिपोर्ट करें और ये फ़ोन वास्तव में किन कमजोरियों से सुरक्षित हैं ख़िलाफ़। "पैच गैप" डिवाइस और निर्माता के बीच भिन्न होता है, लेकिन मासिक सुरक्षा बुलेटिन में सूचीबद्ध Google की आवश्यकताओं को देखते हुए-यह बिल्कुल मौजूद नहीं होना चाहिए।
गूगल पिक्सेल 2 XL पहले पर चल रहा है Android P डेवलपर पूर्वावलोकन साथ मार्च 2018 सुरक्षा पैच.
शोधकर्ताओं के अनुसार, कुछ एंड्रॉइड डिवाइस निर्माता जानबूझकर डिवाइस के सुरक्षा पैच स्तर को गलत तरीके से प्रस्तुत करने तक पहुंच गए। वास्तव में कोई पैच इंस्टॉल किए बिना सेटिंग्स में दिखाई गई तारीख को बदलना. इसे नकली बनाना अविश्वसनीय रूप से आसान है—यहां तक कि आप या मैं इसे संशोधित करके रूट किए गए डिवाइस पर भी कर सकते हैं ro.build.version.security_patch बिल्ड.प्रॉप में।
शोधकर्ताओं द्वारा परीक्षण किए गए एक दर्जन से अधिक डिवाइस निर्माताओं के 1,200 फोन में से, टीम ने यह पाया यहां तक कि शीर्ष स्तरीय उपकरण निर्माताओं के उपकरणों में भी "पैच गैप" था हालाँकि छोटे उपकरण निर्माताओं का इस क्षेत्र में ट्रैक रिकॉर्ड और भी ख़राब रहा है। Google के फ़ोन सुरक्षित प्रतीत होते हैंहालाँकि, Pixel और Pixel 2 श्रृंखला ने गलत तरीके से प्रस्तुत नहीं किया कि उनके पास कौन से सुरक्षा पैच थे।
कुछ मामलों में, शोधकर्ताओं ने इसे मानवीय त्रुटि के लिए जिम्मेदार ठहराया: नोहल का मानना है कि कभी-कभी सोनी या सैमसंग जैसी कंपनियां गलती से एक या दो पैच चूक जाती हैं। अन्य मामलों में, इस बात का कोई उचित स्पष्टीकरण नहीं था कि कुछ फोन ने कुछ कमजोरियों को पैच करने का दावा क्यों किया, जबकि वास्तव में उनमें कई महत्वपूर्ण पैच गायब थे।
एसआरएल लैब्स की टीम ने एक चार्ट तैयार किया है जो अक्टूबर 2017 के बाद से प्रमुख डिवाइस निर्माताओं को इस आधार पर वर्गीकृत करता है कि वे कितने पैच भूल गए। अक्टूबर के बाद से कम से कम एक सुरक्षा पैच अपडेट प्राप्त करने वाले किसी भी डिवाइस के लिए, एसआरएल यह देखना चाहता था कि कौन सा डिवाइस है उस महीने की सुरक्षा के विरुद्ध अपने उपकरणों को सटीक रूप से पैच करने में निर्माता सबसे अच्छे थे और कौन से सबसे खराब थे बुलेटिन.
स्पष्ट रूप से, Google, Sony, Samsung और कम प्रसिद्ध Wiko सूची में शीर्ष पर हैं, जबकि TCL और ZTE सबसे नीचे हैं। इसका मतलब यह है कि बाद की दो कंपनियों ने अक्टूबर 2017 के बाद अपने एक डिवाइस के लिए सुरक्षा अपडेट के दौरान कम से कम 4 पैच मिस कर दिए हैं। क्या इसका मतलब यह है कि टीसीएल और जेडटीई दोषी हैं? हां और ना। हालांकि कंपनियों के लिए सुरक्षा पैच स्तर को गलत तरीके से प्रस्तुत करना अपमानजनक है, एसआरएल का कहना है कि अक्सर चिप विक्रेताओं को इसके लिए दोषी ठहराया जाता है: मीडियाटेक चिप्स के साथ बेचे जाने वाले उपकरणों में अक्सर कई महत्वपूर्ण सुरक्षा पैच का अभाव होता है क्योंकि मीडियाटेक डिवाइस निर्माताओं को आवश्यक पैच प्रदान करने में विफल रहता है। दूसरी ओर, सैमसंग, क्वालकॉम और हाईसिलिकॉन के अपने चिपसेट पर चलने वाले उपकरणों के लिए सुरक्षा पैच प्रदान करने से चूकने की संभावना बहुत कम थी।
जहां तक इस शोध पर Google की प्रतिक्रिया का सवाल है, कंपनी इसके महत्व को स्वीकार करती है और प्रत्येक डिवाइस में "पैच गैप" के साथ एक जांच शुरू की है। वास्तव में कैसे, इस पर अभी तक कोई शब्द नहीं है Google भविष्य में इस स्थिति को रोकने की योजना बना रहा है क्योंकि यह सुनिश्चित करने के लिए Google की ओर से कोई अनिवार्य जांच नहीं है कि डिवाइस सुरक्षा पैच स्तर पर चल रहे हैं जैसा कि वे दावा करते हैं। दौड़ना। यदि आप यह देखने में रुचि रखते हैं कि आपके डिवाइस में कौन से पैच गायब हैं, तो एसआरएल लैब्स की टीम ने इसे बनाया है एक एंड्रॉइड एप्लिकेशन जो इंस्टॉल किए गए और गायब सुरक्षा पैच के लिए आपके फोन के फर्मवेयर का विश्लेषण करता है। ऐप के लिए सभी अपेक्षित अनुमतियाँ और उन तक पहुंचने की आवश्यकता को यहां देखा जा सकता है.
कीमत: मुफ़्त.
4.
हमने हाल ही में रिपोर्ट दी थी कि Google शायद इसकी तैयारी कर रहा है एंड्रॉइड फ्रेमवर्क और विक्रेता सुरक्षा पैच स्तरों को विभाजित करें. इस हालिया समाचार के प्रकाश में, यह अब अधिक प्रशंसनीय लगता है, खासकर क्योंकि ज्यादातर दोष उन विक्रेताओं को जाता है जो अपने ग्राहकों के लिए समय पर चिपसेट पैच प्रदान करने में विफल रहते हैं।