Pesquisadores de segurança descobriram que vários OEMs do Android mentiram ou deturparam quais patches de segurança estão instalados em seus dispositivos. Às vezes, eles até atualizam a sequência do patch de segurança sem realmente corrigir nada!
Como se a situação da atualização de segurança do Android não pudesse piorar, parece que alguns fabricantes de dispositivos Android foram pegos mentindo sobre o quão seguros seus telefones realmente são. Em outras palavras, alguns fabricantes de dispositivos afirmam que seus telefones atendem a um determinado nível de patch de segurança quando, na realidade, seu software não possui os patches de segurança necessários.
Isto está de acordo com Com fio que relatou pesquisas definidas para serem publicado amanhã na conferência de segurança Hack in the Box. Os pesquisadores Karsten Nohl e Jakob Lell, do Security Research Labs, passaram os últimos dois anos fazendo engenharia reversa centenas de dispositivos Android para verificar se os dispositivos estão realmente seguros contra as ameaças que afirmam ser seguras contra. Os resultados são surpreendentes – os pesquisadores descobriram uma “lacuna de patch” significativa entre o que muitos telefones relatar o nível do patch de segurança e quais vulnerabilidades esses telefones estão realmente protegidos contra. A “lacuna de patch” varia entre o dispositivo e o fabricante, mas dados os requisitos do Google listados nos boletins de segurança mensais – ela não deveria existir.
O Google Pixel 2XL correndo no primeiro Visualização do desenvolvedor Android P com Patches de segurança de março de 2018.
De acordo com os pesquisadores, alguns fabricantes de dispositivos Android chegaram ao ponto de deturpar intencionalmente o nível do patch de segurança do dispositivo, simplesmente alterando a data mostrada em Configurações sem instalar nenhum patch. Isso é incrivelmente simples de falsificar - até você ou eu poderíamos fazer isso em um dispositivo com acesso root, modificando ro.build.version.security_patch em build.prop.
Dos 1.200 telefones de mais de uma dúzia de fabricantes de dispositivos testados pelos pesquisadores, a equipe descobriu que até mesmo dispositivos de fabricantes de dispositivos de primeira linha tinham "lacunas de correção", embora os fabricantes de dispositivos menores tendam a ter históricos ainda piores nesta área. Os telefones do Google parecem seguros, no entanto, como as séries Pixel e Pixel 2 não deturparam os patches de segurança que possuíam.
Em alguns casos, os pesquisadores atribuíram isso a um erro humano: Nohl acredita que às vezes empresas como a Sony ou a Samsung perderam acidentalmente um ou dois patches. Em outros casos, não havia explicação razoável para o motivo pelo qual alguns telefones alegavam corrigir certas vulnerabilidades quando, na verdade, faltavam vários patches críticos.
A equipe dos laboratórios SRL elaborou um gráfico que categoriza os principais fabricantes de dispositivos de acordo com quantos patches eles perderam a partir de outubro de 2017. Para qualquer dispositivo que recebeu pelo menos uma atualização de patch de segurança desde outubro, a SRL queria ver qual dispositivo fabricantes foram os melhores e quais foram os piores em corrigir com precisão seus dispositivos contra a segurança daquele mês boletim.
Claramente, Google, Sony, Samsung e o menos conhecido Wiko estão no topo da lista, enquanto TCL e ZTE estão no final. Isto significa que as duas últimas empresas perderam pelo menos 4 patches durante uma atualização de segurança para um dos seus dispositivos após outubro de 2017. Isso significa necessariamente que a TCL e a ZTE são as culpadas? Sim e não. Embora seja vergonhoso para as empresas deturpar um nível de patch de segurança, SRL aponta que muitas vezes os fornecedores de chips são os culpados: dispositivos vendidos com chips MediaTek geralmente carecem de muitos patches de segurança críticos porque a MediaTek não fornece os patches necessários aos fabricantes de dispositivos. Por outro lado, Samsung, Qualcomm e HiSilicon eram muito menos propensos a deixar de fornecer patches de segurança para dispositivos executados em seus chipsets.
Quanto à resposta do Google a esta pesquisa, a empresa reconhece a sua importância e lançou uma investigação em cada dispositivo com uma notável “lacuna de patch”. Ainda não há nenhuma palavra sobre como exatamente O Google planeja evitar essa situação no futuro, pois não há verificações obrigatórias do Google para garantir que os dispositivos estejam executando o nível de patch de segurança que afirmam estar. correndo. Se você estiver interessado em ver quais patches estão faltando em seu dispositivo, a equipe do SRL labs criou um aplicativo Android que analisa o firmware do seu telefone em busca de patches de segurança instalados e ausentes. Todas as permissões necessárias para o aplicativo e o precisa acessá-los pode ser visualizado aqui.
Preço: Grátis.
4.
Recentemente, informamos que o Google pode estar se preparando para dividir a estrutura do Android e os níveis do patch de segurança do fornecedor. À luz dessas notícias recentes, isso agora parece mais plausível, especialmente porque grande parte da culpa recai sobre os fornecedores que não fornecem patches de chipset a tempo para seus clientes.