Niektórzy producenci OEM Androida zostali przyłapani na kłamstwie na temat poprawek zabezpieczeń

Badacze bezpieczeństwa odkryli, że kilku producentów OEM Androida kłamało lub błędnie informowało, jakie poprawki zabezpieczeń są zainstalowane na ich urządzeniach. Czasami nawet aktualizują ciąg łatek bezpieczeństwa, tak naprawdę niczego nie łatając!

Jakby sytuacja z aktualizacjami zabezpieczeń Androida nie mogła się pogorszyć, wygląda na to, że niektórzy producenci urządzeń z Androidem zostali przyłapani na kłamstwie na temat tego, jak naprawdę bezpieczne są ich telefony. Innymi słowy, niektórzy producenci urządzeń twierdzą, że ich telefony spełniają określony poziom poprawek zabezpieczeń, podczas gdy w rzeczywistości w ich oprogramowaniu brakuje wymaganych poprawek zabezpieczeń.

To jest wg Przewodowy który poinformował o badaniach opublikowana jutro na konferencji poświęconej bezpieczeństwu Hack in the Box. Badacze Karsten Nohl i Jakob Lell z Security Research Labs spędzili ostatnie dwa lata na inżynierii wstecznej setki urządzeń z systemem Android, aby sprawdzić, czy urządzenia są naprawdę bezpieczne przed zagrożeniami, które według nich są bezpieczne przeciwko. Wyniki są zaskakujące — badacze odkryli znaczną „lukę w łatach” między wieloma telefonami zgłoś jako poziom poprawki zabezpieczeń i jakie luki faktycznie chronią te telefony przeciwko. „Luka w poprawkach” różni się w zależności od urządzenia i producenta, ale biorąc pod uwagę wymagania Google wymienione w miesięcznych biuletynach bezpieczeństwa – nie powinna ona w ogóle istnieć.

The Google Pixel 2 XL biegnie na pierwszym Podgląd programisty Androida P z Poprawki zabezpieczeń z marca 2018 r.

Według badaczy niektórzy producenci urządzeń z Androidem posunęli się nawet do celowego błędnego przedstawienia poziomu poprawki zabezpieczeń urządzenia, po prostu zmieniając datę pokazaną w Ustawieniach bez faktycznego instalowania jakichkolwiek poprawek. Jest to niezwykle proste do sfałszowania — nawet Ty lub ja możemy to zrobić na zrootowanym urządzeniu, modyfikując ro.build.version.security_patch w build.prop.

Zespół stwierdził, że spośród 1200 telefonów kilkunastu producentów urządzeń przetestowanych przez badaczy nawet urządzenia czołowych producentów miały „luki w łatkach”, chociaż mniejsi producenci urządzeń mają zwykle jeszcze gorsze osiągnięcia w tej dziedzinie. Telefony Google wydają się być bezpieczne, ponieważ serie Pixel i Pixel 2 nie podały błędnie informacji o posiadanych poprawkach zabezpieczeń.

W niektórych przypadkach badacze przypisywali to błędowi ludzkiemu: Nohl uważa, że ​​czasami firmy takie jak Sony czy Samsung przypadkowo przegapiły jedną lub dwie łatki. W innych przypadkach nie było rozsądnego wyjaśnienia, dlaczego niektóre telefony twierdziły, że załatały pewne luki, podczas gdy w rzeczywistości brakowało im wielu krytycznych poprawek.

Zespół laboratoriów SRL przygotował wykres, który kategoryzuje głównych producentów urządzeń według liczby pominiętych poprawek od października 2017 r. W przypadku każdego urządzenia, które od października otrzymało co najmniej jedną aktualizację poprawki zabezpieczeń, firma SRL chciała sprawdzić, które urządzenie twórcy byli najlepsi, a którzy najgorsi w dokładnym łataniu swoich urządzeń pod kątem zabezpieczeń z danego miesiąca biuletyn.

Źródło: Laboratoria badawcze ds. bezpieczeństwa/Wired

Najwyraźniej na górze listy znajdują się Google, Sony, Samsung i mniej znane Wiko, a na dole TCL i ZTE. Oznacza to, że te dwie ostatnie firmy pominęły co najmniej 4 łatki podczas aktualizacji zabezpieczeń dla jednego ze swoich urządzeń po październiku 2017 r. Czy to koniecznie oznacza, że ​​winę ponoszą TCL i ZTE? Tak i nie. Choć fałszywe przedstawianie poziomu poprawki zabezpieczeń jest haniebne, SRL zwraca uwagę, że często winni są sprzedawcy chipów: urządzeniom sprzedawanym z chipami MediaTek często brakuje wielu krytycznych poprawek bezpieczeństwa ponieważ MediaTek nie dostarcza niezbędnych poprawek producentom urządzeń. Z drugiej strony Samsung, Qualcomm i HiSilicon znacznie rzadziej pomijały dostarczanie poprawek bezpieczeństwa dla urządzeń działających na ich chipsetach.

Źródło: Laboratoria badawcze ds. bezpieczeństwa/Wired

Jeśli chodzi o reakcję Google na to badanie, firma zdaje sobie sprawę z jego wagi i wszczęła dochodzenie w sprawie każdego urządzenia, w którym stwierdzono „lukę w łatce”. Nie ma jeszcze informacji, jak dokładnie Google planuje zapobiec tej sytuacji w przyszłości, ponieważ nie prowadzi żadnych obowiązkowych kontroli ze strony Google, które pozwalałyby upewnić się, że na urządzeniach działają poprawki zabezpieczeń na takim poziomie, na jakim rzekomo są działanie. Jeśli chcesz zobaczyć, jakich poprawek brakuje na Twoim urządzeniu, zespół SRL labs stworzył aplikacja na Androida, która analizuje oprogramowanie telefonu pod kątem zainstalowanych i brakujących poprawek zabezpieczeń. Wszystkie wymagane uprawnienia dla aplikacji i potrzebne do uzyskania dostępu, można zobaczyć tutaj.

SnoopSnitchDeweloper: Laboratoria badawcze dotyczące bezpieczeństwa

Cena: za darmo.

4.

Pobierać

Niedawno informowaliśmy, że Google może się do tego przygotować rozdziel poziomy Android Framework i poprawki zabezpieczeń dostawcy. W świetle tych ostatnich wiadomości wydaje się to teraz bardziej prawdopodobne, zwłaszcza że duża część winy spada na dostawców, którzy nie dostarczają swoim klientom poprawek do chipsetów na czas.