כמה יצרני OEM של אנדרואיד נתפסו משקרים לגבי תיקוני אבטחה

חוקרי אבטחה גילו שכמה יצרני OEM של אנדרואיד שיקרו או הציגו מצג שווא אילו תיקוני אבטחה מותקנים במכשיר שלהם. לפעמים, הם אפילו מעדכנים את מחרוזת תיקון האבטחה מבלי לתקן שום דבר!

כאילו מצב עדכון האבטחה של אנדרואיד לא יכול להחמיר, נראה שיצרניות מכשירי אנדרואיד נתפסו משקרים לגבי מידת האבטחה של הטלפונים שלהם באמת. במילים אחרות, חלק מיצרני המכשירים טוענים שהטלפונים שלהם עומדים ברמת תיקון אבטחה מסוימת כאשר בפועל חסרים לתוכנה שלהם תיקוני אבטחה נדרשים.

זה לפי חוטי אשר דיווח על מחקר שהוגדר פורסם מחר בכנס האבטחה Hack in the Box. החוקרים Karsten Nohl ו-Jakob Lell ממעבדות מחקר אבטחה בילו את השנתיים האחרונות בהנדסה לאחור מאות מכשירי אנדרואיד על מנת לבדוק אם המכשירים באמת מאובטחים מפני האיומים שלטענתם הם מאובטחים מול. התוצאות מדהימות - החוקרים מצאו "פער תיקון" משמעותי בין מספר הטלפונים דווח כרמת תיקון האבטחה ואיזה נקודות תורפה הטלפונים האלה מוגנים בפועל מול. "פער התיקון" משתנה בין מכשיר ליצרן, אך בהתחשב בדרישות של גוגל כפי שמופיעות בעלוני האבטחה החודשיים - הוא לא אמור להתקיים כלל.

ה גוגל פיקסל 2 XL פועל על הראשון תצוגה מקדימה של מפתח Android P עם מרץ 2018 תיקוני אבטחה.

לטענת החוקרים, חלק מיצרניות מכשירי אנדרואיד אפילו הרחיקו לכת עד להצגת מצג שווא של רמת תיקון האבטחה של המכשיר פשוט על ידי כך. שינוי התאריך המוצג בהגדרות מבלי להתקין טלאים כלשהם. זה פשוט להפליא לזייף - אפילו אתה או אני יכולים לעשות זאת במכשיר שורשי על ידי שינוי ro.build.version.security_patch ב-build.prop.

מתוך 1,200 טלפונים של יותר מתריסר יצרני מכשירים שנבדקו על ידי החוקרים, הצוות מצא כי אפילו למכשירים של יצרניות מכשירים מהשורה הראשונה היו "פערי תיקון", למרות שיצרניות מכשירים קטנים יותר נטו להיות בעלי רקורד גרוע עוד יותר בתחום זה. נראה שהטלפונים של גוגל בטוחיםעם זאת, מכיוון שסדרות ה-Pixel ו-Pixel 2 לא הציגו כוזב אילו תיקוני אבטחה היו להם.

במקרים מסוימים, החוקרים ייחסו זאת לטעות אנוש: נוהל מאמין שלפעמים חברות כמו סוני או סמסונג החמיצו בטעות תיקון או שניים. במקרים אחרים, לא היה הסבר הגיוני מדוע טלפונים מסוימים טענו שהם מתקינים פגיעויות מסוימות כאשר למעשה חסרו להם מספר תיקונים קריטיים.

הצוות במעבדות SRL הרכיב תרשים שמסווג את יצרני המכשירים הגדולים לפי כמה תיקונים הם החמיצו מאוקטובר 2017 ואילך. עבור כל מכשיר שקיבל לפחות עדכון תיקון אבטחה אחד מאז אוקטובר, SRL רצה לראות איזה מכשיר היצרנים היו הטובים ביותר ומי היו הגרועים ביותר בתיקון מדויק של המכשירים שלהם כנגד האבטחה של אותו חודש עָלוֹן.

מקור: Security Research Labs/Wired

ברור שגוגל, סוני, סמסונג ו-Wiko הפחות מוכרות נמצאות בראש הרשימה, בעוד TCL ו-ZTE נמצאות בתחתית. המשמעות היא ששתי החברות האחרונות החמיצו לפחות 4 תיקונים במהלך עדכון אבטחה עבור אחד מהמכשירים שלהן לאחר אוקטובר 2017. האם זה אומר בהכרח ש-TCL ו-ZTE אשמים? כן ולא. למרות שזה מביש עבור החברות להציג מצג שווא של רמת תיקון אבטחה, SRL מציינת שלעתים קרובות ספקי שבבים אשמים: התקנים הנמכרים עם שבבי MediaTek חסרים לעתים קרובות תיקוני אבטחה קריטיים רבים כי MediaTek לא מצליחה לספק את התיקונים הדרושים ליצרני המכשירים. מצד שני, סמסונג, קוואלקום ו-HiSilicon היו בסבירות נמוכה בהרבה לפספס את אספקת תיקוני אבטחה למכשירים הפועלים על ערכות השבבים שלהם.

מקור: Security Research Labs/Wired

באשר לתגובתה של גוגל למחקר זה, החברה מכירה בחשיבותו ופתחה בחקירה לגבי כל מכשיר עם "פער תיקון". אין עדיין מילה על איך בדיוק גוגל מתכננת למנוע מצב זה בעתיד מכיוון שאין בדיקות מחייבות מגוגל כדי לוודא שהמכשירים פועלים ברמת תיקון האבטחה שהם טוענים שהם רץ. אם אתה מעוניין לראות אילו תיקונים חסרים למכשיר שלך, הצוות במעבדות SRL יצר יישום אנדרואיד שמנתח את הקושחה של הטלפון שלך עבור תיקוני אבטחה מותקנים וחסרים. כל ההרשאות הנדרשות עבור האפליקציה וה- צריך לגשת אליהם ניתן לראות כאן.

סנופ סניץ'מפתח: מעבדות מחקר אבטחה

מחיר: חינם.

4.

הורד

לאחרונה דיווחנו שייתכן שגוגל מתכוננת לכך לפצל את רמות Android Framework ואת רמות תיקון האבטחה של ספקים. לאור החדשות האחרונות, זה נראה סביר יותר, במיוחד מכיוון שחלק גדול מהאשמה נופלת על ספקים שלא מצליחים לספק תיקוני ערכת שבבים בזמן ללקוחות שלהם.