I ricercatori di sicurezza hanno scoperto che diversi OEM Android hanno mentito o travisato le patch di sicurezza installate sui loro dispositivi. A volte aggiornano persino la stringa della patch di sicurezza senza effettivamente applicare alcuna patch!
Come se la situazione degli aggiornamenti di sicurezza di Android non potesse peggiorare, sembra che alcuni produttori di dispositivi Android siano stati sorpresi a mentire su quanto siano realmente sicuri i loro telefoni. In altre parole, alcuni produttori di dispositivi affermano che i loro telefoni soddisfano un certo livello di patch di sicurezza quando in realtà al loro software mancano le patch di sicurezza richieste.
Questo secondo Cablato che ha riferito sulla ricerca destinata a essere pubblicato domani alla conferenza sulla sicurezza Hack in the Box. I ricercatori Karsten Nohl e Jakob Lell dei Security Research Labs hanno trascorso gli ultimi due anni a fare reverse engineering centinaia di dispositivi Android per verificare se i dispositivi sono realmente sicuri contro le minacce che dichiarano sicure contro. I risultati sono sorprendenti: i ricercatori hanno scoperto un significativo "gap di patch" tra molti telefoni segnalare il livello delle patch di sicurezza e quali vulnerabilità questi telefoni sono effettivamente protetti contro. Il "gap di patch" varia a seconda del dispositivo e del produttore, ma dati i requisiti di Google elencati nei bollettini mensili sulla sicurezza, non dovrebbe esistere affatto.
IL GooglePixel2XL correndo sul primo Anteprima per sviluppatori Android P con Patch di sicurezza di marzo 2018.
Secondo i ricercatori, alcuni produttori di dispositivi Android sono arrivati addirittura a travisare intenzionalmente il livello delle patch di sicurezza del dispositivo semplicemente modificando la data mostrata in Impostazioni senza effettivamente installare alcuna patch. È incredibilmente semplice falsificare: anche tu o io potremmo farlo su un dispositivo rooted modificandolo ro.build.version.security_patch in build.prop.
Dei 1.200 telefoni di oltre una dozzina di produttori di dispositivi testati dai ricercatori, il team ha scoperto questo anche i dispositivi dei produttori di dispositivi di alto livello presentavano "lacune nelle patch" sebbene i produttori di dispositivi più piccoli tendessero ad avere risultati ancora peggiori in quest'area. I telefoni di Google sembrano essere sicuri, tuttavia, poiché le serie Pixel e Pixel 2 non hanno travisato le patch di sicurezza di cui disponevano.
In alcuni casi, i ricercatori lo hanno attribuito a un errore umano: Nohl ritiene che a volte aziende come Sony o Samsung abbiano perso accidentalmente una o due patch. In altri casi, non c’era alcuna spiegazione ragionevole del motivo per cui alcuni telefoni affermavano di correggere determinate vulnerabilità quando in realtà mancavano più patch critiche.
Il team di SRL Labs ha messo insieme una tabella che classifica i principali produttori di dispositivi in base al numero di patch mancate da ottobre 2017 in poi. Per ogni dispositivo che ha ricevuto almeno un aggiornamento delle patch di sicurezza da ottobre, SRL voleva vedere quale dispositivo i produttori erano i migliori e quali erano i peggiori nell'applicare accuratamente le patch ai loro dispositivi rispetto alla sicurezza di quel mese bollettino.
Chiaramente Google, Sony, Samsung e il meno conosciuto Wiko sono in cima alla lista, mentre TCL e ZTE sono in fondo. Ciò significa che queste ultime due società hanno perso almeno 4 patch durante un aggiornamento di sicurezza per uno dei loro dispositivi dopo ottobre 2017. Ciò significa necessariamente che la colpa è di TCL e ZTE? Sì e no. Anche se è vergognoso per le aziende rappresentare in modo errato il livello delle patch di sicurezza, SRL sottolinea che spesso la colpa è dei fornitori di chip: i dispositivi venduti con chip MediaTek spesso mancano di molte patch di sicurezza critiche perché MediaTek non riesce a fornire le patch necessarie ai produttori di dispositivi. D'altra parte, Samsung, Qualcomm e HiSilicon erano molto meno propensi a non fornire patch di sicurezza per i dispositivi in esecuzione sui loro chipset.
Per quanto riguarda la risposta di Google a questa ricerca, l'azienda ne riconosce l'importanza e ha avviato un'indagine su ciascun dispositivo con una nota "gap di patch". Non si sa ancora come esattamente Google prevede di prevenire questa situazione in futuro poiché non prevede alcun controllo obbligatorio da parte di Google per garantire che i dispositivi eseguano il livello di patch di sicurezza dichiarato corsa. Se sei interessato a vedere quali patch mancano al tuo dispositivo, il team di SRL Labs ha creato un'applicazione Android che analizza il firmware del tuo telefono per patch di sicurezza installate e mancanti. Tutte le autorizzazioni necessarie per l'app e il file necessità di accedervi possono essere visualizzati qui.
Prezzo: gratuito.
4.
Recentemente abbiamo riferito che Google potrebbe prepararsi a farlo suddividere i livelli del framework Android e delle patch di sicurezza del fornitore. Alla luce di queste recenti notizie, ciò sembra ora più plausibile, soprattutto perché gran parte della colpa va ai fornitori che non riescono a fornire le patch per i chipset in tempo ai propri clienti.