უსაფრთხოების მკვლევარებმა აღმოაჩინეს, რომ Android-ის რამდენიმე OEM ატყუებდა ან არასწორად წარმოაჩენს, თუ რა უსაფრთხოების პატჩებია დაინსტალირებული მათ მოწყობილობაზე. ზოგჯერ, ისინი აახლებს უსაფრთხოების პატჩის სტრიქონს, რეალურად არაფრის შესწორების გარეშე!
თითქოს ანდროიდის უსაფრთხოების განახლების ვითარება ვერ გაუარესდება, როგორც ჩანს, Android მოწყობილობების ზოგიერთი მწარმოებელი ცრუობს იმის შესახებ, თუ რამდენად დაცულია მათი ტელეფონები. სხვა სიტყვებით რომ ვთქვათ, ზოგიერთი მოწყობილობის მწარმოებელი ამტკიცებს, რომ მათი ტელეფონები აკმაყოფილებს უსაფრთხოების პაჩის გარკვეულ დონეს, როდესაც რეალურად მათ პროგრამულ უზრუნველყოფას აკლია უსაფრთხოების საჭირო პატჩები.
ამის მიხედვით სადენიანი რომელიც მოხსენებული კვლევის შესახებ უნდა იყოს ხვალ გამოქვეყნდება Hack in the Box უსაფრთხოების კონფერენციაზე. მკვლევარებმა კარსტენ ნოლმა და იაკობ ლელმა უსაფრთხოების კვლევითი ლაბორატორიებიდან ბოლო ორი წელი გაატარეს საპირისპირო ინჟინერიაში. ასობით Android მოწყობილობა, რათა შეამოწმონ, არის თუ არა მოწყობილობები ნამდვილად დაცული იმ საფრთხეებისგან, რომლებსაც ისინი აცხადებენ, რომ უსაფრთხოა წინააღმდეგ. შედეგები გამაოგნებელია - მკვლევარებმა აღმოაჩინეს მნიშვნელოვანი "პაჩი უფსკრული" ბევრ ტელეფონს შორის შეატყობინეთ, როგორც უსაფრთხოების პაჩის დონე და რა დაუცველობით არის დაცული ეს ტელეფონები წინააღმდეგ. "პაჩის უფსკრული" განსხვავდება მოწყობილობასა და მწარმოებელს შორის, მაგრამ Google-ის მოთხოვნების გათვალისწინებით, რომლებიც მითითებულია ყოველთვიურ უსაფრთხოების ბიულეტენებში - ის საერთოდ არ უნდა არსებობდეს.
The Google Pixel 2 XL პირველზე გაშვებული Android P დეველოპერის გადახედვა თან 2018 წლის მარტის უსაფრთხოების პატჩები.
მკვლევარების აზრით, Android მოწყობილობების ზოგიერთი მწარმოებელი იქამდეც კი წავიდა, რომ განზრახ არასწორად წარმოაჩინა მოწყობილობის უსაფრთხოების პაჩის დონე უბრალოდ პარამეტრებში ნაჩვენები თარიღის შეცვლა ყოველგვარი პაჩების დაყენების გარეშე. ეს წარმოუდგენლად მარტივია გაყალბებისთვის - მე ან თქვენ შეგვეძლო ამის გაკეთება root მოწყობილობებზე შეცვლით ro.build.version.security_patch
მშენებლობაში.საყრდენი.
ათზე მეტი მოწყობილობის მწარმოებლის 1200 ტელეფონიდან, რომლებიც გამოსცადეს მკვლევარებმა, ჯგუფმა დაადგინა, რომ უმაღლესი დონის მოწყობილობების მწარმოებლების მოწყობილობებსაც კი ჰქონდათ "პაჩის ხარვეზები", თუმცა უფრო მცირე ზომის მოწყობილობების მწარმოებლებს, როგორც წესი, ჰქონდათ კიდევ უფრო უარესი ჩანაწერები ამ სფეროში. როგორც ჩანს, Google-ის ტელეფონები უსაფრთხოათუმცა, რადგან Pixel-ისა და Pixel 2-ის სერიებმა არასწორად წარმოაჩინა, თუ რა უსაფრთხოების პატჩები ჰქონდათ.
ზოგიერთ შემთხვევაში, მკვლევარებმა ეს მიაწერეს ადამიანურ შეცდომებს: ნოლი თვლის, რომ ზოგჯერ ისეთი კომპანიები, როგორიცაა Sony ან Samsung, შემთხვევით გამოტოვებენ ერთ-ორ პატჩს. სხვა შემთხვევებში, არ არსებობდა გონივრული ახსნა იმის შესახებ, თუ რატომ აცხადებდნენ ზოგიერთ ტელეფონს გარკვეული დაუცველობის შესწორება, როდესაც სინამდვილეში მათ რამდენიმე კრიტიკული პატჩი აკლია.
SRL ლაბორატორიების გუნდმა შეადგინა დიაგრამა, რომელიც ანაწილებს მოწყობილობების მთავარ მწარმოებლებს იმის მიხედვით, თუ რამდენი პატჩი გამოტოვეს 2017 წლის ოქტომბრიდან მოყოლებული. ნებისმიერი მოწყობილობისთვის, რომელმაც მიიღო მინიმუმ ერთი უსაფრთხოების პაჩის განახლება ოქტომბრიდან მოყოლებული, SRL-ს სურდა ენახა რომელი მოწყობილობა მწარმოებლები იყვნენ საუკეთესო და ყველაზე ცუდები თავიანთი მოწყობილობების ზუსტად შესწორებაში იმ თვის უსაფრთხოების წინააღმდეგ ბიულეტენი.
ცხადია, Google, Sony, Samsung და ნაკლებად ცნობილი Wiko არიან სიის სათავეში, ხოლო TCL და ZTE ბოლოში. ეს ნიშნავს, რომ ამ უკანასკნელმა ორმა კომპანიამ გამოტოვა მინიმუმ 4 პატჩი მათი ერთ-ერთი მოწყობილობის უსაფრთხოების განახლების დროს 2017 წლის ოქტომბრის შემდეგ. ეს აუცილებლად ნიშნავს, რომ TCL და ZTE არიან დამნაშავე? Კი და არა. მიუხედავად იმისა, რომ კომპანიებისთვის სამარცხვინოა უსაფრთხოების პაჩის დონის არასწორად წარმოდგენა, SRL აღნიშნავს, რომ ხშირად ჩიპების გამყიდველები არიან დამნაშავე: MediaTek-ის ჩიპებით გაყიდულ მოწყობილობებს ხშირად არ აქვთ უსაფრთხოების მრავალი კრიტიკული პატჩი რადგან MediaTek ვერ აწვდის საჭირო პატჩებს მოწყობილობის შემქმნელებს. მეორეს მხრივ, Samsung, Qualcomm და HiSilicon ნაკლებად სავარაუდოა, რომ გამოტოვებდნენ უსაფრთხოების პატჩების მიწოდებას მოწყობილობებისთვის, რომლებიც მუშაობენ მათ ჩიპსეტებზე.
რაც შეეხება Google-ის პასუხს ამ კვლევაზე, კომპანია აცნობიერებს მის მნიშვნელობას და დაიწყო გამოძიება თითოეულ მოწყობილობაზე, რომელსაც აქვს აღნიშნული "patch gap". ჯერ არ არის ინფორმაცია იმის შესახებ, თუ როგორ ზუსტად Google გეგმავს მომავალში ამ სიტუაციის თავიდან აცილებას, რადგან არ არსებობს რაიმე სავალდებულო შემოწმება Google-ისგან იმის უზრუნველსაყოფად, რომ მოწყობილობები მუშაობენ უსაფრთხოების პაჩის დონეზე, როგორც აცხადებენ. სირბილი. თუ გაინტერესებთ, რა პატჩები აკლია თქვენს მოწყობილობას, SRL ლაბორატორიების გუნდმა შექმნა Android აპლიკაცია, რომელიც აანალიზებს თქვენი ტელეფონის პროგრამულ უზრუნველყოფას დაინსტალირებული და დაკარგული უსაფრთხოების პატჩებისთვის. ყველა საჭირო ნებართვა აპლიკაციისთვის და მათზე წვდომის საჭიროება შეგიძლიათ ნახოთ აქ.
ფასი: უფასო.
4.
ჩვენ ცოტა ხნის წინ გავრცელდა ინფორმაცია, რომ Google შესაძლოა ემზადება გაყავით Android Framework-ისა და გამყიდველის უსაფრთხოების პაჩის დონეები. ამ ბოლოდროინდელი ამბების ფონზე, ეს ახლა უფრო დამაჯერებლად გამოიყურება, განსაკუთრებით იმიტომ, რომ ბრალის დიდი ნაწილი მიმწოდებლებს ეკისრებათ, რომლებიც ვერ უზრუნველყოფენ ჩიპსეტის პატჩებს დროულად თავიანთი მომხმარებლებისთვის.