Sigurnosni istraživači otkrili su da je nekoliko Android OEM-ova lagalo ili krivo predstavljalo koje su sigurnosne zakrpe instalirane na njihovim uređajima. Ponekad čak ažuriraju niz sigurnosnih zakrpa, a da zapravo ništa ne zakrpaju!
Kao da situacija sa sigurnosnim ažuriranjem Androida ne može biti gora, čini se da su neki proizvođači Android uređaja uhvaćeni u laži o tome koliko su njihovi telefoni uistinu sigurni. Drugim riječima, neki proizvođači uređaja tvrde da njihovi telefoni zadovoljavaju određenu razinu sigurnosnih zakrpa, dok u stvarnosti njihovom softveru nedostaju potrebne sigurnosne zakrpe.
Ovo je prema Ožičeno koji je izvijestio o istraživanju postavljenom da bude objavljeno sutra na sigurnosnoj konferenciji Hack in the Box. Istraživači Karsten Nohl i Jakob Lell iz Laboratorija za sigurnosna istraživanja proveli su posljednje dvije godine obrnuto inženjering stotine Android uređaja kako bi provjerili jesu li uređaji stvarno sigurni od prijetnji za koje tvrde da su sigurni protiv. Rezultati su zapanjujući - istraživači su otkrili značajan "patch gap" između mnogih telefona izvješće o razini sigurnosne zakrpe i koje su ranjivosti ovi telefoni zapravo zaštićeni protiv. "Razmak u zakrpama" razlikuje se između uređaja i proizvođača, ali s obzirom na Googleove zahtjeve navedene u mjesečnim sigurnosnim biltenima—ne bi trebao uopće postojati.
The Google Pixel 2 XL trčanje na prvu Pregled razvojnog programera za Android P s Sigurnosne zakrpe iz ožujka 2018.
Prema istraživačima, neki proizvođači Android uređaja čak su otišli toliko daleko da su namjerno krivo predstavili razinu sigurnosne zakrpe uređaja jednostavno mijenjanje datuma prikazanog u postavkama bez stvarnog instaliranja zakrpa. Ovo je nevjerojatno jednostavno lažirati - čak i vi ili ja bismo to mogli učiniti na rootanom uređaju modificiranjem ro.build.version.security_patch u izgradnji.prop.
Od 1200 telefona više od desetak proizvođača uređaja koje su testirali istraživači, tim je otkrio da čak i uređaji vrhunskih proizvođača uređaja imali su "rupe u zakrpama", iako su manji proizvođači uređaja obično imali još lošije rezultate u ovom području. Čini se da su Googleovi telefoni sigurni, međutim, budući da serije Pixel i Pixel 2 nisu krivo predstavile koje sigurnosne zakrpe imaju.
U nekim su slučajevima istraživači to pripisali ljudskoj pogrešci: Nohl vjeruje da su ponekad tvrtke poput Sonyja ili Samsunga slučajno propustile zakrpu ili dvije. U drugim slučajevima, nije bilo razumnog objašnjenja zašto su neki telefoni tvrdili da krpaju određene ranjivosti, a zapravo im nedostaje više kritičnih zakrpa.
Tim iz SRL laboratorija sastavio je grafikon koji kategorizira glavne proizvođače uređaja prema tome koliko su zakrpa propustili od listopada 2017. nadalje. Za svaki uređaj koji je primio barem jedno ažuriranje sigurnosne zakrpe od listopada, SRL je želio vidjeti koji uređaj proizvođači su bili najbolji i koji su bili najlošiji u preciznom krpanju svojih uređaja u odnosu na sigurnost tog mjeseca bilten.
Jasno, Google, Sony, Samsung i manje poznati Wiko su na vrhu liste, dok su TCL i ZTE na dnu. To znači da su posljednje dvije tvrtke propustile najmanje 4 zakrpe tijekom sigurnosnog ažuriranja za jedan od svojih uređaja nakon listopada 2017. Znači li to nužno da su TCL i ZTE krivi? Da i ne. Iako je sramotno za tvrtke krivo predstavljati razinu sigurnosne zakrpe, SRL ističe da su za to često krivi proizvođači čipova: uređaji koji se prodaju s MediaTek čipovima često nemaju mnogo kritičnih sigurnosnih zakrpa jer MediaTek ne osigurava potrebne zakrpe proizvođačima uređaja. S druge strane, Samsung, Qualcomm i HiSilicon su daleko manje vjerojatno propustili osigurati sigurnosne zakrpe za uređaje koji rade na njihovim čipsetovima.
Što se tiče Googleovog odgovora na ovo istraživanje, tvrtka priznaje njegovu važnost i pokrenula je istragu o svakom uređaju s istaknutim "patch gap". Još nema riječi o tome kako točno Google planira spriječiti ovu situaciju u budućnosti jer Google ne provodi nikakve obavezne provjere kako bi osigurao da uređaji rade na razini sigurnosne zakrpe za koju tvrde da jesu trčanje. Ako vas zanima koje zakrpe nedostaju vašem uređaju, stvorio ih je tim SRL labsa Android aplikacija koja analizira firmware vašeg telefona za instalirane i sigurnosne zakrpe koje nedostaju. Sva potrebna dopuštenja za aplikaciju i trebate im pristupiti možete pogledati ovdje.
Cijena: besplatno.
4.
Nedavno smo izvijestili da se Google možda sprema podijelite razinu Android Framework i Vendor Security Patch. U svjetlu ovih nedavnih vijesti, ovo se sada čini vjerojatnijim, pogotovo jer velik dio krivnje ide na dobavljače koji ne pružaju zakrpe za čipset na vrijeme za svoje kupce.