Saugumo tyrinėtojai išsiaiškino, kad keli „Android“ originalios įrangos gamintojai melavo arba klaidingai nurodė, kokios saugos pataisos yra įdiegtos jų įrenginyje. Kartais jie netgi atnaujina saugos pataisų eilutę nieko nepataisydami!
Atrodo, kad „Android“ saugos naujinimo padėtis negalėjo pablogėti, atrodo, kad kai kurie „Android“ įrenginių gamintojai buvo sugauti meluojant apie tai, koks iš tikrųjų yra jų telefonų saugumas. Kitaip tariant, kai kurie įrenginių gamintojai teigė, kad jų telefonai atitinka tam tikrą saugos pataisos lygį, nors iš tikrųjų jų programinėje įrangoje trūksta reikalingų saugos pataisų.
Tai pagal Laidinis kuri pranešė apie numatomus tyrimus paskelbtas rytoj saugumo konferencijoje „Hack in the Box“. Tyrėjai Karstenas Nohlas ir Jakobas Lellas iš Saugumo tyrimų laboratorijos pastaruosius dvejus metus skyrė atvirkštinei inžinerijai šimtus „Android“ įrenginių, kad patikrintų, ar įrenginiai tikrai apsaugoti nuo grėsmių, kurios, jų teigimu, yra saugios prieš. Rezultatai yra stulbinantys – mokslininkai nustatė, kad tarp daugybės telefonų yra didelis „lopo tarpas“. pranešti kaip saugos pataisos lygį ir kokie pažeidžiamumai iš tikrųjų yra apsaugoti prieš. Įrenginio ir gamintojo „lopo tarpas“ skiriasi, tačiau atsižvelgiant į „Google“ reikalavimus, išvardytus mėnesiniuose saugos biuleteniuose, jo iš viso neturėtų būti.
The „Google Pixel 2 XL“. bėga ant pirmo Android P kūrėjo peržiūra su 2018 m. kovo mėn. saugos pataisos.
Tyrėjų teigimu, kai kurie „Android“ įrenginių gamintojai netgi tyčia klaidingai nurodė įrenginio saugos pataisos lygį paprasčiausiai pakeisti datą, rodomą nustatymuose, neįdiegę jokių pataisų. Tai neįtikėtinai paprasta suklastoti – net jūs arba aš galėtume tai padaryti įsišaknijusiame įrenginyje modifikuodami ro.build.version.security_patch in build.prop.
Iš 1200 telefonų iš daugiau nei tuzino įrenginių gamintojų, kuriuos išbandė tyrėjai, komanda nustatė, kad net aukščiausio lygio įrenginių gamintojų įrenginiuose buvo „pataisymo spragų“, nors mažesni prietaisų gamintojai šioje srityje turėjo dar blogesnius rezultatus. „Google“ telefonai atrodo saugūsTačiau Pixel ir Pixel 2 serijos neklaidino, kokios saugos pataisos turi.
Kai kuriais atvejais mokslininkai tai priskyrė žmogiškosioms klaidoms: Nohlas mano, kad kartais tokios kompanijos kaip „Sony“ ar „Samsung“ netyčia praleido vieną ar dvi pataisas. Kitais atvejais nebuvo pagrįsto paaiškinimo, kodėl kai kurie telefonai teigė pataisę tam tikrus pažeidžiamumus, nors iš tikrųjų jiems trūksta kelių svarbių pataisų.
SRL laboratorijų komanda sudarė diagramą, kurioje pagrindiniai įrenginių gamintojai skirstomi į kategorijas pagal tai, kiek pataisų jie praleido nuo 2017 m. spalio mėn. Bet kurio įrenginio, kuris gavo bent vieną saugos pataisos naujinį nuo spalio mėnesio, SRL norėjo sužinoti, kuris įrenginys kūrėjai buvo geriausi, o kurie prasčiausiai tiksliai pataisė savo įrenginius nuo to mėnesio saugumo biuletenis.
Akivaizdu, kad Google, Sony, Samsung ir mažiau žinomas Wiko yra sąrašo viršuje, o TCL ir ZTE yra apačioje. Tai reiškia, kad pastarosios dvi įmonės praleido mažiausiai 4 pataisas atnaujindamos vieną iš savo įrenginių po 2017 m. spalio mėn. Ar tai būtinai reiškia, kad kalti TCL ir ZTE? Taip ir ne. Nors įmonėms yra gėdinga klaidingai pateikti saugos pataisos lygį, SRL pabrėžia, kad dažnai kalti lustų pardavėjai: įrenginiuose, parduodamuose su „MediaTek“ lustais, dažnai trūksta daug svarbių saugos pataisų nes MediaTek nesugeba pateikti reikalingų pataisų įrenginių gamintojams. Kita vertus, „Samsung“, „Qualcomm“ ir „HiSilicon“ buvo daug mažiau tikėtina, kad nepateiks saugos pataisų įrenginiams, kuriuose veikia jų mikroschemų rinkiniai.
Kalbant apie „Google“ atsakymą į šį tyrimą, bendrovė pripažįsta jo svarbą ir pradėjo tyrimą dėl kiekvieno įrenginio, turinčio pažymėtą „lopo spragą“. Kol kas nėra žodžio, kaip tiksliai „Google“ planuoja užkirsti kelią tokiai situacijai ateityje, nes „Google“ neatlieka jokių įpareigojančių patikrų, kurios užtikrintų, kad įrenginiuose veikia saugos pataisos lygis, kaip jie teigia esantys. bėgimas. Jei norite sužinoti, kokių pataisų jūsų įrenginiui trūksta, SRL laboratorijų komanda sukūrė „Android“ programa, kuri analizuoja jūsų telefono programinę-aparatinę įrangą, ar nėra įdiegtų ir trūkstamų saugos pataisų. Visi reikalingi programos ir programos leidimai reikia juos pasiekti, galite peržiūrėti čia.
Kaina: Nemokama.
4.
Neseniai pranešėme, kad „Google“ gali ruoštis padalinti „Android Framework“ ir tiekėjo saugos pataisos lygius. Atsižvelgiant į šias naujausias naujienas, tai dabar atrodo labiau tikėtina, ypač todėl, kad didžioji dalis kaltės tenka pardavėjams, kurie savo klientams laiku nepateikia mikroschemų rinkinio pataisų.