Drošības pētnieki ir atklājuši, ka vairāki Android oriģinālo iekārtu ražotāji melo vai sniedz nepatiesu informāciju par to, kādi drošības ielāpi ir instalēti viņu ierīcē. Dažreiz viņi pat atjaunina drošības ielāpu virkni, faktiski neko nelabojot!
It kā Android drošības atjauninājumu situācija nevarētu pasliktināties, šķiet, ka daži Android ierīču ražotāji ir pieķerti melos par to, cik droši patiesībā ir viņu tālruņi. Citiem vārdiem sakot, daži ierīču ražotāji ir apgalvojuši, ka viņu tālruņi atbilst noteiktam drošības ielāpu līmenim, lai gan patiesībā viņu programmatūrai trūkst nepieciešamo drošības ielāpu.
Tas ir saskaņā ar Vadu kas ziņoja par gaidāmajiem pētījumiem publicēts rīt drošības konferencē Hack in the Box. Pētnieki Karsten Nohl un Jakob Lell no Security Research Labs pēdējos divus gadus ir veltījuši reverso inženieriju simtiem Android ierīču, lai pārbaudītu, vai ierīces patiešām ir aizsargātas pret draudiem, par kuriem tās apgalvo, ka tās ir drošas pret. Rezultāti ir pārsteidzoši — pētnieki atklāja ievērojamu "plākstera atstarpi" starp daudziem tālruņiem ziņot kā drošības ielāpa līmeni un kādas ievainojamības šie tālruņi faktiski ir aizsargāti pret. Ierīces un ražotāja “ielāpu atstarpe” atšķiras, taču, ņemot vērā Google prasības, kas norādītas ikmēneša drošības biļetenos, tai vispār nevajadzētu pastāvēt.
The Google Pixel 2 XL skrien uz pirmo Android P izstrādātāja priekšskatījums ar 2018. gada marta drošības ielāpi.
Pēc pētnieku domām, daži Android ierīču ražotāji pat tīši maldināja ierīces drošības ielāpa līmeni, vienkārši mainīt iestatījumos parādīto datumu, faktiski neinstalējot nevienu ielāpu. To ir neticami vienkārši viltot — pat jūs vai es varētu to izdarīt ierīcē ar sakņu sistēmu, modificējot ro.build.version.security_patch in build.prop.
No 1200 tālruņiem no vairāk nekā duci ierīču ražotājiem, kurus pārbaudīja pētnieki, komanda atklāja, ka pat augstākā līmeņa ierīču ražotāju ierīcēs bija “plāksteri nepilnības”, lai gan mazākiem ierīču ražotājiem šajā jomā bija vēl sliktāki sasniegumi. Šķiet, ka Google tālruņi ir drošitomēr, tā kā Pixel un Pixel 2 sērijās netika sagrozīti to drošības ielāpi.
Dažos gadījumos pētnieki to attiecināja uz cilvēka kļūdām: Nohls uzskata, ka dažreiz tādi uzņēmumi kā Sony vai Samsung nejauši palaiduši garām vienu vai divus ielāpus. Citos gadījumos nebija saprātīga izskaidrojuma, kāpēc daži tālruņi apgalvoja, ka ir aizlāpuši noteiktas ievainojamības, lai gan patiesībā tiem trūka vairāku kritisku ielāpu.
SRL laboratoriju komanda izveidoja diagrammu, kurā lielākie ierīču ražotāji ir klasificēti atkarībā no tā, cik ielāpu viņi palaiduši garām, sākot no 2017. gada oktobra. Jebkurai ierīcei, kurā kopš oktobra ir saņemts vismaz viens drošības ielāpa atjauninājums, SRL vēlējās noskaidrot, kura ierīce ražotāji bija labākie un kuri bija sliktākie, lai precīzi salabotu savas ierīces pret šī mēneša drošību biļetens.
Skaidrs, ka Google, Sony, Samsung un mazāk zināmais Wiko ir saraksta augšgalā, bet TCL un ZTE atrodas apakšā. Tas nozīmē, ka pēdējie divi uzņēmumi pēc 2017. gada oktobra drošības atjauninājuma laikā vienai no savām ierīcēm ir palaiduši garām vismaz 4 ielāpus. Vai tas noteikti nozīmē, ka vainīgi ir TCL un ZTE? Jā un nē. Lai gan ir apkaunojoši, ka uzņēmumi sniedz nepatiesu informāciju par drošības ielāpu līmeni, SRL norāda, ka bieži vien vainīgi ir mikroshēmu pārdevēji: ierīcēm, kas tiek pārdotas ar MediaTek mikroshēmām, bieži trūkst daudzu svarīgu drošības ielāpu jo MediaTek nespēj nodrošināt nepieciešamos ielāpus ierīču ražotājiem. No otras puses, Samsung, Qualcomm un HiSilicon, visticamāk, nepalaida garām drošības ielāpus ierīcēm, kas darbojas to mikroshēmojumos.
Kas attiecas uz Google atbildi uz šo pētījumu, uzņēmums atzīst tā nozīmi un ir uzsācis izmeklēšanu par katru ierīci, kurā ir atzīmēta "plākstera atstarpe". Par to, kā tieši, vēl nav neviena vārda Google plāno novērst šo situāciju nākotnē, jo no Google nav veiktas nekādas obligātās pārbaudes, lai nodrošinātu, ka ierīcēs darbojas drošības ielāpu līmenis, kādu viņi apgalvo. skrienot. Ja vēlaties uzzināt, kādu ielāpu jūsu ierīcei trūkst, SRL laboratoriju komanda ir izveidojusi Android lietojumprogramma, kas analizē tālruņa programmaparatūru, lai atrastu instalētos un trūkstošos drošības ielāpus. Visas vajadzīgās atļaujas lietotnei un nepieciešamību tiem piekļūt, var apskatīt šeit.
Cena: bezmaksas.
4.
Mēs nesen ziņojām, ka Google, iespējams, gatavojas sadaliet Android Framework un Vendor Security Patch līmeņus. Ņemot vērā šīs nesenās ziņas, tas tagad šķiet ticamāk, jo īpaši tāpēc, ka lielākā daļa vainas tiek uzlikta pārdevējiem, kuri saviem klientiem nespēj savlaicīgi nodrošināt mikroshēmojumu ielāpus.