보안 연구원들은 여러 Android OEM이 자신의 기기에 어떤 보안 패치가 설치되어 있는지 거짓말을 하거나 허위로 표시하고 있음을 발견했습니다. 때로는 실제로 패치를 적용하지 않고 보안 패치 문자열을 업데이트하기도 합니다.
안드로이드 보안 업데이트 상황이 더 이상 악화될 수 없는 것처럼, 일부 안드로이드 기기 제조사들이 자신들의 휴대폰이 실제로 얼마나 안전한지에 대해 거짓말을 한 것으로 보입니다. 즉, 일부 장치 제조업체는 실제로는 소프트웨어에 필수 보안 패치가 누락되어 있음에도 휴대폰이 특정 보안 패치 수준을 충족한다고 주장해 왔습니다.
이는 다음과 같습니다. 열광한 연구 세트에 대해 보고된 것은 다음과 같습니다. 내일 출판됨 Hack in the Box 보안 컨퍼런스에서 Security Research Labs의 연구원 Karsten Nohl과 Jakob Lell은 지난 2년 동안 리버스 엔지니어링을 진행해 왔습니다. 장치가 안전하다고 주장하는 위협으로부터 장치가 실제로 안전한지 확인하기 위해 수백 대의 Android 장치 에 맞서. 결과는 놀랍습니다. 연구원들은 많은 휴대폰 사이에 상당한 "패치 격차"가 있음을 발견했습니다. 보안 패치 수준으로 보고하고 이러한 전화기가 실제로 보호되는 취약점은 무엇입니까? 에 맞서. '패치 격차'는 기기와 제조업체에 따라 다르지만 월간 보안 게시판에 나열된 Google 요구사항을 고려하면 전혀 존재해서는 안 됩니다.
그만큼 구글 픽셀 2 XL 첫 번째로 실행 Android P 개발자 미리보기 ~와 함께 2018년 3월 보안 패치.
연구원에 따르면 일부 Android 기기 제조업체는 단순히 기기의 보안 패치 수준을 의도적으로 허위로 표시하기까지 했습니다. 실제로 패치를 설치하지 않고 설정에 표시된 날짜 변경. 이것은 믿을 수 없을 만큼 간단하게 위조할 수 있습니다. 여러분이나 나조차도 루팅된 장치에서 다음을 수정하여 위조할 수 있습니다. ro.build.version.security_patch build.prop에 있습니다.
연구진이 테스트한 12개 이상의 장치 제조업체의 1,200개 휴대폰 중에서 팀은 다음과 같은 사실을 발견했습니다.
어떤 경우에는 연구원들이 이를 인간의 실수로 돌렸습니다. Nohl은 때때로 Sony나 Samsung과 같은 회사가 실수로 패치 한두 개를 놓친 경우가 있다고 믿습니다. 다른 경우에는 일부 전화기에 실제로 여러 개의 중요한 패치가 누락되어 있음에도 특정 취약점을 패치한다고 주장하는 이유에 대한 합리적인 설명이 없었습니다.
SRL 연구소 팀은 2017년 10월부터 놓친 패치 수에 따라 주요 장치 제조업체를 분류하는 차트를 작성했습니다. SRL은 10월 이후 보안 패치 업데이트를 하나 이상 받은 모든 장치에 대해 어떤 장치가 있는지 확인하고 싶었습니다. 해당 달의 보안에 맞춰 장치를 정확하게 패치하는 데 있어 제조업체는 최고였고 최악이었습니다. 회보.
분명히 Google, Sony, Samsung 및 덜 알려진 Wiko가 목록의 맨 위에 있고 TCL과 ZTE가 맨 아래에 있습니다. 이는 후자의 두 회사가 2017년 10월 이후 자사 장치 중 하나에 대한 보안 업데이트 중에 최소 4개의 패치를 놓쳤음을 의미합니다. 그렇다면 반드시 TCL과 ZTE에 잘못이 있다는 뜻인가요? 예, 아니오. 회사가 보안 패치 수준을 잘못 표현하는 것은 수치스러운 일이지만 SRL은 종종 칩 공급업체에 책임이 있다고 지적합니다. MediaTek 칩과 함께 판매되는 장치에는 중요한 보안 패치가 부족한 경우가 많습니다. MediaTek이 장치 제조업체에 필요한 패치를 제공하지 못하기 때문입니다. 반면, 삼성, Qualcomm, HiSilicon은 자사 칩셋에서 실행되는 장치에 대한 보안 패치 제공을 놓칠 가능성이 훨씬 적습니다.
이 연구에 대한 Google의 대응과 관련하여 회사는 그 중요성을 인정하고 알려진 "패치 격차"가 있는 각 장치에 대한 조사를 시작했습니다. 정확히 어떻게 될지는 아직 알려진 바가 없습니다. 기기가 주장하는 보안 패치 수준을 실행하는지 확인하기 위해 Google에서 의무적으로 검사하는 것이 없기 때문에 Google은 앞으로 이러한 상황을 방지할 계획입니다. 달리기. 장치에 누락된 패치가 무엇인지 알고 싶으시다면 SRL 연구소 팀이 만든 패치를 확인하세요. 설치된 보안 패치와 누락된 보안 패치가 있는지 휴대폰의 펌웨어를 분석하는 Android 애플리케이션입니다. 앱과 해당 앱에 필요한 모든 권한 액세스해야 하는 경우 여기에서 볼 수 있습니다..
가격: 무료.
4.
최근 Google이 다음을 준비하고 있다고 보고했습니다. Android 프레임워크와 공급업체 보안 패치 수준을 분할합니다.. 최근 뉴스에 비추어 볼 때 특히 고객에게 칩셋 패치를 제때 제공하지 못한 공급업체에 많은 책임이 있기 때문에 이는 이제 더욱 그럴듯해 보입니다.