Biztonsági kutatók felfedezték, hogy több Android OEM-gyártó hazudik vagy hamisan mutatja be, hogy milyen biztonsági javítások vannak telepítve az eszközére. Néha még a biztonsági javítási karakterláncot is frissítik anélkül, hogy bármit is javítanának!
Mintha nem is lehetne rosszabb az Android biztonsági frissítéseinek helyzete, úgy tűnik, hogy néhány Android-eszközgyártót azon kaptak, hogy hazudnak arról, mennyire biztonságosak telefonjaik. Más szavakkal, néhány eszközgyártó azt állítja, hogy telefonjaik megfelelnek egy bizonyos biztonsági javítási szintnek, miközben a valóságban a szoftverükből hiányoznak a szükséges biztonsági javítások.
Ez szerint Vezetékes amely beszámolt a készülő kutatásokról holnap jelent meg a Hack in the Box biztonsági konferencián. Karsten Nohl és Jakob Lell, a Security Research Labs kutatói az elmúlt két évet fordított tervezéssel töltötték. több száz Android-eszközt annak ellenőrzésére, hogy az eszközök valóban biztonságosak-e az általuk biztonságosnak mondott fenyegetésekkel szemben ellen. Az eredmények megdöbbentőek – a kutatók jelentős "patch rést" találtak a sok telefon között jelentést biztonsági javítási szintként, és hogy ezek a telefonok milyen biztonsági réseket védenek valójában ellen. A „patch gap” eszközönként és gyártónként eltérő, de a Google havi biztonsági közleményekben felsorolt követelményei alapján egyáltalán nem szabadna léteznie.
A Google Pixel 2 XL fut az elsőn Android P fejlesztői előnézet val vel 2018. márciusi biztonsági javítások.
A kutatók szerint egyes Android-eszközgyártók egészen addig is eljutottak, hogy szándékosan félreértelmezték az eszköz biztonsági javítási szintjét azzal, hogy egyszerűen módosítsa a Beállításokban látható dátumot anélkül, hogy ténylegesen bármilyen javítást telepítene. Ezt hihetetlenül egyszerű meghamisítani – akár te vagy én is megtehetjük egy rootolt eszközön, ha módosítod ro.build.version.security_patch
a build.prop.
A több mint tucatnyi készülékgyártó 1200 telefonja közül, amelyeket a kutatók teszteltek, a csapat megállapította, hogy még a csúcskategóriás eszközgyártók eszközei is voltak "patch résekkel", bár a kisebb készülékgyártók általában még rosszabb eredményeket értek el ezen a területen. A Google telefonjai biztonságosnak tűnnek, mivel a Pixel és a Pixel 2 sorozat nem mutatta be félre a biztonsági javításokat.
Egyes esetekben a kutatók emberi hibának tulajdonították: Nohl úgy véli, hogy néha az olyan cégek, mint a Sony vagy a Samsung, véletlenül kihagytak egy-két javítást. Más esetekben nem volt ésszerű magyarázat arra, hogy egyes telefonok miért állítottak bizonyos sebezhetőségeket, miközben valójában több kritikus javítás hiányzott.
Az SRL Labs csapata összeállított egy diagramot, amely aszerint kategorizálja a főbb eszközgyártókat, hogy hány javítást hagytak ki 2017 októberétől. Minden olyan eszköz esetében, amely legalább egy biztonsági javítás frissítést kapott október óta, az SRL meg akarta nézni, melyik eszköz a gyártók voltak a legjobbak, és melyek voltak a legrosszabbul abban, hogy pontosan javítsák eszközeiket az adott hónap biztonságához képest közlöny.
Egyértelműen a Google, a Sony, a Samsung és a kevésbé ismert Wiko áll a lista élén, míg a TCL és a ZTE a legvégén. Ez azt jelenti, hogy az utóbbi két cég legalább 4 javítást kihagyott az egyik eszközük 2017 októbere utáni biztonsági frissítése során. Ez feltétlenül azt jelenti, hogy a TCL és a ZTE a hibás? Igen és nem. Noha szégyenletes a cégek számára, hogy hamisan adják meg a biztonsági javítások szintjét, az SRL rámutat, hogy gyakran a chipgyártók a hibásak: a MediaTek chipekkel értékesített eszközökön gyakran hiányzik számos kritikus biztonsági javítás mert a MediaTek nem tudja biztosítani a szükséges javításokat az eszközgyártóknak. Másrészt a Samsung, a Qualcomm és a HiSilicon sokkal kevésbé valószínű, hogy elmulasztja a lapkakészletükön futó eszközök biztonsági javításait.
Ami a Google erre a kutatásra adott válaszát illeti, a vállalat elismeri annak fontosságát, és vizsgálatot indított minden egyes olyan eszközzel kapcsolatban, amelynél "patch gap" van. Arról még nincs hír, hogy pontosan hogyan A Google azt tervezi, hogy megakadályozza ezt a helyzetet a jövőben, mivel a Google nem hajt végre kötelező ellenőrzéseket annak biztosítására, hogy az eszközök az általuk állított biztonsági javítási szinten futnak-e. futás. Ha érdekli, hogy milyen javítások hiányoznak a készülékéből, az SRL labs csapata elkészítette egy Android-alkalmazás, amely elemzi a telefon firmware-jét a telepített és hiányzó biztonsági javítások tekintetében. Az alkalmazáshoz és az alkalmazáshoz szükséges összes engedély el kell érni, itt megtekinthető.
Ár: Ingyenes.
4.
Nemrég beszámoltunk arról, hogy a Google készülhet erre osztja fel az Android Framework és a Vendor Security Patch szintjét. A közelmúltbeli hírek fényében ez most hihetőbbnek tűnik, különösen azért, mert a legtöbb hibás a gyártókat terheli, akik nem biztosítanak időben chipkészlet-javításokat ügyfeleik számára.