Beveiligingsonderzoekers hebben ontdekt dat verschillende Android-OEM's liegen of een verkeerde voorstelling geven van de beveiligingspatches die op hun apparaat zijn geïnstalleerd. Soms werken ze zelfs de reeks beveiligingspatches bij zonder daadwerkelijk iets te patchen!
Alsof de situatie van de Android-beveiligingsupdate niet nog erger kan worden, lijkt het erop dat sommige makers van Android-apparaten zijn betrapt op liegen over hoe veilig hun telefoons werkelijk zijn. Met andere woorden: sommige fabrikanten van apparaten beweren dat hun telefoons aan een bepaald niveau van beveiligingspatches voldoen, terwijl in werkelijkheid de vereiste beveiligingspatches in hun software ontbreken.
Dit blijkt uit Bedrade die rapporteerde over onderzoek dat zou plaatsvinden morgen gepubliceerd op de Hack in the Box-beveiligingsconferentie. Onderzoekers Karsten Nohl en Jakob Lell van Security Research Labs hebben de afgelopen twee jaar aan reverse-engineering gewerkt honderden Android-apparaten om te controleren of apparaten echt veilig zijn tegen de bedreigingen waarvan zij beweren dat ze veilig zijn tegen. De resultaten zijn opzienbarend: de onderzoekers ontdekten een aanzienlijke 'patch gap' tussen het aantal telefoons rapporteren als het niveau van de beveiligingspatch en welke kwetsbaarheden deze telefoons daadwerkelijk zijn beschermd tegen. De 'patch gap' varieert per apparaat en fabrikant, maar gezien de vereisten van Google zoals vermeld in de maandelijkse beveiligingsbulletins zou deze helemaal niet moeten bestaan.
De Google Pixel 2 XL loopt op de eerste Preview voor Android P-ontwikkelaars met Beveiligingspatches van maart 2018.
Volgens de onderzoekers gingen sommige makers van Android-apparaten zelfs zo ver dat ze opzettelijk het niveau van de beveiligingspatch van het apparaat verkeerd voorstelden door simpelweg het wijzigen van de datum die wordt weergegeven in Instellingen zonder daadwerkelijk patches te installeren. Dit is ongelooflijk eenvoudig te vervalsen; zelfs jij of ik zouden het op een geroot apparaat kunnen doen door het aan te passen ro.build.version.security_patch
in bouwprop.
Van de 1.200 telefoons van meer dan een dozijn apparaatfabrikanten die door de onderzoekers werden getest, ontdekte het team dat zelfs apparaten van de beste apparaatfabrikanten hadden 'patchgaten', hoewel kleinere fabrikanten van apparaten op dit gebied doorgaans nog slechtere resultaten hadden. De telefoons van Google lijken veilig te zijn, aangezien de Pixel- en Pixel 2-series echter geen verkeerde voorstelling gaven van de beveiligingspatches die ze hadden.
In sommige gevallen schreven de onderzoekers dit toe aan menselijke fouten: Nohl gelooft dat bedrijven als Sony of Samsung soms per ongeluk een paar patches hebben gemist. In andere gevallen was er geen redelijke verklaring waarom sommige telefoons beweerden bepaalde kwetsbaarheden te patchen, terwijl ze in werkelijkheid meerdere kritieke patches misten.
Het team van SRL Labs heeft een grafiek samengesteld waarin grote apparaatfabrikanten worden gecategoriseerd op basis van het aantal patches dat ze vanaf oktober 2017 hebben gemist. Van elk apparaat dat sinds oktober minimaal één beveiligingspatchupdate heeft ontvangen, wilde SRL zien welk apparaat makers waren de beste en de slechtste in het nauwkeurig patchen van hun apparaten tegen de beveiliging van die maand bulletin.
Het is duidelijk dat Google, Sony, Samsung en het minder bekende Wiko bovenaan de lijst staan, terwijl TCL en ZTE onderaan staan. Dit betekent dat deze laatste twee bedrijven minimaal 4 patches hebben gemist tijdens een beveiligingsupdate voor een van hun toestellen na oktober 2017. Betekent dit noodzakelijkerwijs dat TCL en ZTE schuldig zijn? Ja en nee. Hoewel het schandelijk is voor de bedrijven om het niveau van een beveiligingspatch verkeerd voor te stellen, wijst SRL erop dat chipleveranciers vaak de schuldige zijn: apparaten die met MediaTek-chips worden verkocht, missen vaak veel kritieke beveiligingspatches omdat MediaTek er niet in slaagt de benodigde patches aan apparaatfabrikanten te leveren. Aan de andere kant was het veel minder waarschijnlijk dat Samsung, Qualcomm en HiSilicon beveiligingspatches zouden missen voor apparaten die op hun chipsets draaien.
Wat de reactie van Google op dit onderzoek betreft: het bedrijf erkent het belang ervan en is een onderzoek gestart naar elk apparaat met een opgemerkt 'patchgat'. Er is nog geen woord over hoe precies Google is van plan deze situatie in de toekomst te voorkomen, omdat er geen verplichte controles door Google zijn uitgevoerd om ervoor te zorgen dat apparaten het beveiligingspatchniveau uitvoeren dat zij beweren te hebben. rennen. Als u wilt zien welke patches uw apparaat mist, heeft het team van SRL Labs deze gemaakt een Android-applicatie die de firmware van uw telefoon analyseert op geïnstalleerde en ontbrekende beveiligingspatches. Alle vereiste machtigingen voor de app en de nodig hebt om toegang te krijgen, kunt u hier bekijken.
Prijs: gratis.
4.
We hebben onlangs gemeld dat Google zich mogelijk voorbereidt het splitsen van het Android Framework en de Vendor Security Patch-niveaus. In het licht van dit recente nieuws lijkt dit nu aannemelijker, vooral omdat een groot deel van de schuld bij leveranciers ligt die er niet in slagen om op tijd chipsetpatches aan hun klanten te leveren.