一部の Android OEM がセキュリティ パッチについて嘘をついていたことが発覚

セキュリティ研究者は、いくつかの Android OEM が自社のデバイスにインストールされているセキュリティ パッチについて嘘をついているか、虚偽の説明をしていることを発見しました。 場合によっては、実際には何もパッチを当てずにセキュリティ パッチ文字列を更新することさえあります。

Android のセキュリティ アップデートの状況がこれ以上悪化することはないと思われるかのように、一部の Android デバイス メーカーが自社の携帯電話の実際の安全性について嘘をついていたことが発覚したようです。 言い換えれば、一部のデバイス メーカーは、実際にはソフトウェアに必要なセキュリティ パッチが適用されていないにもかかわらず、自社の携帯電話が特定のセキュリティ パッチ レベルを満たしていると主張しています。

これは、によると、 有線 とされる研究について報告した 明日出版される ハック・イン・ザ・ボックスのセキュリティカンファレンスにて。 セキュリティ研究所の研究者 Karsten Nohl 氏と Jakob Lell 氏は、過去 2 年間をかけてリバース エンジニアリングを行ってきました。 安全であると主張する脅威に対してデバイスが本当に安全かどうかを確認するために、数百台の Android デバイスを調査 に対して。 その結果は驚くべきものです。研究者らは、多くの携帯電話間に重大な「パッチ ギャップ」があることを発見しました。 セキュリティパッチレベルとしてレポートし、これらの電話が実際にどのような脆弱性を保護しているかを報告します に対して。 「パッチ ギャップ」はデバイスやメーカーによって異なりますが、毎月のセキュリティ情報に記載されている Google の要件を考慮すると、パッチ ギャップはまったく存在しないはずです。

Google ピクセル 2 XL 最初に実行中 Android P 開発者プレビュー2018 年 3 月のセキュリティ パッチ.

研究者らによると、一部の Android デバイス メーカーは、単にデバイスのセキュリティ パッチ レベルを意図的に偽ってさえいたそうです。 実際にパッチをインストールせずに、設定に表示される日付を変更する. これは、偽装するのが信じられないほど簡単です。あなたや私でも、次のコードを変更することで root 化されたデバイス上で偽装を行うことができます。 ro.build.version.security_patch build.prop内。

研究者らがテストした十数社のデバイスメーカーの1,200台の携帯電話のうち、チームは次のことを発見した。 一流のデバイスメーカーのデバイスでも「パッチギャップ」がありました。 ただし、小規模なデバイス メーカーは、この分野での実績がさらに悪い傾向がありました。 Googleの携帯電話は安全なようだただし、Pixel および Pixel 2 シリーズは、どのセキュリティ パッチが適用されているかを偽ってはいませんでした。

場合によっては、研究者らは人的ミスが原因であると考えています。ノール氏は、ソニーやサムスンのような企業が誤ってパッチを 1 つか 2 つ見逃してしまうことがあると考えています。 他のケースでは、実際には複数の重要なパッチが欠落しているにもかかわらず、一部の携帯電話が特定の脆弱性にパッチを適用していると主張している理由について合理的な説明がありませんでした。

SRL labs のチームは、2017 年 10 月以降に適用されなかったパッチの数に応じて主要なデバイス メーカーを分類する表を作成しました。 SRL は、10 月以降に少なくとも 1 つのセキュリティ パッチ アップデートを受信したデバイスについて、どのデバイスが該当するかを確認したいと考えていました。 その月のセキュリティに対してデバイスに正確にパッチを適用するのが最も優れたメーカーと最も悪かったメーカー 速報。

出典: Security Research Labs/Wired

明らかに、Google、Sony、Samsung、およびあまり知られていない Wiko がリストの上位にあり、TCL と ZTE が下位にあります。 これは、後者 2 社が 2017 年 10 月以降、自社デバイスの 1 台のセキュリティ アップデート中に少なくとも 4 つのパッチを適用しなかったことを意味します。 それは必然的にTCLとZTEに過失があることを意味するのでしょうか? はいといいえ。 企業がセキュリティパッチレベルを偽るのは恥ずべきことだが、責任はチップベンダーにあることが多いとSRLは指摘する。 MediaTek チップを搭載して販売されるデバイスには、多くの重要なセキュリティ パッチが欠けていることがよくあります MediaTek がデバイス メーカーに必要なパッチを提供していないためです。 一方、Samsung、Qualcomm、HiSilicon は、自社のチップセットで実行されているデバイスにセキュリティ パッチを提供し忘れる可能性ははるかに低かったです。

出典: Security Research Labs/Wired

この調査に対するGoogleの対応については、同社はその重要性を認めており、「パッチギャップ」が指摘されている各デバイスの調査を開始した。 正確にどのようにするかについてはまだ何も語られていない デバイスが主張するセキュリティ パッチ レベルを実行していることを確認するための Google からの強制的なチェックが実施されていないため、Google は将来的にこの状況を防止する予定です。 ランニング。 デバイスにどのパッチが欠けているかを知りたい場合は、SRL labs のチームが作成したパッチを参照してください。 携帯電話のファームウェアを分析して、インストールされているセキュリティ パッチや不足しているセキュリティ パッチを確認する Android アプリケーション。 アプリと アクセスする必要があります。ここで表示できます.

スヌープスニッチ開発者: セキュリティ研究所

価格:無料。

4.

ダウンロード

Google が次の準備をしている可能性があることを最近報告しました。 Android フレームワークとベンダー セキュリティ パッチ レベルを分割する. この最近のニュースを考慮すると、特に責任の多くはチップセットのパッチを顧客に予定通りに提供できなかったベンダーにあるため、このことはよりもっともらしいと思われます。