Sikkerhetsforskere har oppdaget at flere Android-OEM-er har løyet eller misforstått hvilke sikkerhetsoppdateringer som er installert på enheten deres. Noen ganger oppdaterer de til og med sikkerhetsoppdateringsstrengen uten å faktisk lappe noe!
Som om situasjonen for Android-sikkerhetsoppdateringer ikke kunne blitt verre, ser det ut til at noen produsenter av Android-enheter har blitt tatt for å lyve om hvor sikre telefonene deres egentlig er. Med andre ord, noen enhetsprodusenter har hevdet at telefonene deres oppfyller et visst sikkerhetsoppdateringsnivå når programvaren deres i virkeligheten mangler nødvendige sikkerhetsoppdateringer.
Dette er iht Kablet som rapporterte om forskning som skal være publisert i morgen på Hack in the Box-sikkerhetskonferansen. Forskerne Karsten Nohl og Jakob Lell fra Security Research Labs har brukt de siste to årene på omvendt utvikling hundrevis av Android-enheter for å sjekke om enhetene virkelig er sikre mot truslene som de hevder de er sikre imot. Resultatene er oppsiktsvekkende - forskerne fant et betydelig "patch gap" mellom mange telefoner rapporter som sikkerhetsoppdateringsnivå og hvilke sårbarheter disse telefonene faktisk er beskyttet imot. "Lettergapet" varierer mellom enhet og produsent, men gitt Googles krav som er oppført i de månedlige sikkerhetsbulletinene - burde det ikke eksistere i det hele tatt.
De Google Pixel 2 XL kjører på den første Android P-utviklerforhåndsvisning med Mars 2018 sikkerhetsoppdateringer.
I følge forskerne gikk noen Android-enhetsprodusenter så langt som med vilje å feilrepresentere sikkerhetsoppdateringsnivået til enheten ved ganske enkelt endre datoen vist i Innstillinger uten faktisk å installere noen patcher. Dette er utrolig enkelt å forfalske - til og med du eller jeg kan gjøre det på en rotfestet enhet ved å modifisere ro.build.version.security_patch i bygge.prop.
Av de 1200 telefonene fra over et dusin enhetsprodusenter som ble testet av forskerne, fant teamet at til og med enheter fra enhetsprodusenter på toppnivå hadde «patch gaps» selv om mindre enhetsprodusenter hadde en tendens til å ha enda dårligere resultater på dette området. Googles telefoner ser ut til å være trygge, men ettersom Pixel- og Pixel 2-seriene ikke feilpresenterte hvilke sikkerhetsoppdateringer de hadde.
I noen tilfeller tilskrev forskerne det til menneskelig feil: Nohl mener at noen ganger bommet selskaper som Sony eller Samsung ved et uhell en patch eller to. I andre tilfeller var det ingen rimelig forklaring på hvorfor noen telefoner hevdet å lappe visse sårbarheter mens de faktisk manglet flere kritiske oppdateringer.
Teamet ved SRL-laboratoriene har satt sammen et diagram som kategoriserer store enhetsprodusenter i henhold til hvor mange patcher de gikk glipp av fra oktober 2017 og utover. For enhver enhet som har mottatt minst én sikkerhetsoppdatering siden oktober, ønsket SRL å se hvilken enhet produsentene var de beste og som var de dårligste til å lappe enhetene sine nøyaktig mot den månedens sikkerhet bulletin.
Det er klart at Google, Sony, Samsung og den mindre kjente Wiko er øverst på listen, mens TCL og ZTE er nederst. Dette betyr at de to sistnevnte selskapene har gått glipp av minst 4 oppdateringer under en sikkerhetsoppdatering for en av enhetene deres etter oktober 2017. Betyr det nødvendigvis at TCL og ZTE har feil? Ja og nei. Selv om det er skammelig for selskapene å feilrepresentere et sikkerhetsoppdateringsnivå, påpeker SRL at det ofte er chipleverandører som har skylden: enheter som selges med MediaTek-brikker mangler ofte mange kritiske sikkerhetsoppdateringer fordi MediaTek ikke klarer å gi de nødvendige oppdateringene til enhetsprodusentene. På den annen side var det langt mindre sannsynlig at Samsung, Qualcomm og HiSilicon savnet å gi sikkerhetsoppdateringer for enheter som kjører på brikkesettene deres.
Når det gjelder Googles svar på denne undersøkelsen, erkjenner selskapet viktigheten og har startet en undersøkelse av hver enhet med et bemerket "patch gap". Det er ingen ord ennå om nøyaktig hvordan Google planlegger å forhindre denne situasjonen i fremtiden ettersom det ikke er noen pålagte kontroller på plass fra Google for å sikre at enhetene kjører sikkerhetsoppdateringsnivået de hevder de er løping. Hvis du er interessert i å se hvilke patcher enheten din mangler, har teamet ved SRL-labs laget en Android-applikasjon som analyserer telefonens fastvare for installerte og manglende sikkerhetsoppdateringer. Alle nødvendige tillatelser for appen og behov for å få tilgang til dem kan sees her.
Pris: Gratis.
4.
Vi rapporterte nylig at Google kanskje forbereder seg del opp Android Framework- og Leverandørsikkerhetspatch-nivåene. I lys av disse siste nyhetene, virker dette nå mer plausibelt, spesielt siden mye av skylden går til leverandører som ikke klarer å levere brikkesettpatcher i tide til kundene sine.