Cercetătorii în domeniul securității au descoperit că mai mulți OEM Android au mințit sau au denaturat corecțiile de securitate instalate pe dispozitivul lor. Uneori, chiar actualizează șirul de corecție de securitate fără a corecta nimic!
De parcă situația actualizării de securitate Android nu s-ar putea înrăutăți, se pare că unii producători de dispozitive Android au fost prinși mințind despre cât de sigure sunt cu adevărat telefoanele lor. Cu alte cuvinte, unii producători de dispozitive au susținut că telefoanele lor îndeplinesc un anumit nivel de corecție de securitate, când, în realitate, software-ul lor lipsește corecțiile de securitate necesare.
Aceasta este conform Cablat care a raportat despre cercetarea stabilită să fie publicat maine la conferința de securitate Hack in the Box. Cercetătorii Karsten Nohl și Jakob Lell de la Security Research Labs au petrecut ultimii doi ani făcând inginerie inversă sute de dispozitive Android pentru a verifica dacă dispozitivele sunt cu adevărat sigure împotriva amenințărilor pe care ele pretind că sunt sigure împotriva. Rezultatele sunt surprinzătoare – cercetătorii au descoperit un „decalaj” semnificativ între multe telefoane raportați ca nivel de corecție de securitate și ce vulnerabilități sunt protejate de fapt aceste telefoane împotriva. „Decalajul de corecție” variază între dispozitiv și producător, dar având în vedere cerințele Google, așa cum sunt enumerate în buletinele lunare de securitate, nu ar trebui să existe deloc.
The Google Pixel 2 XL alergând pe primul Previzualizare pentru dezvoltatori Android P cu Patch-uri de securitate martie 2018.
Potrivit cercetătorilor, unii producători de dispozitive Android au mers chiar până la a denatura în mod intenționat nivelul de corecție de securitate al dispozitivului pur și simplu schimbarea datei afișate în Setări fără a instala efectiv niciun patch-uri. Acest lucru este incredibil de simplu de falsificat – chiar și tu sau eu am putea face acest lucru pe un dispozitiv rootat prin modificare ro.build.version.security_patch în build.prop.
Dintre cele 1.200 de telefoane de la peste o duzină de producători de dispozitive care au fost testate de cercetători, echipa a descoperit că chiar și dispozitivele de la producătorii de dispozitive de top aveau „lacune de corecție”, deși producătorii de dispozitive mai mici au avut tendința de a avea antecedente și mai proaste în acest domeniu. Telefoanele Google par să fie în siguranță, cu toate acestea, deoarece seria Pixel și Pixel 2 nu au denaturat ce patch-uri de securitate aveau.
În unele cazuri, cercetătorii au atribuit-o erorii umane: Nohl crede că uneori companii precum Sony sau Samsung au ratat accidental un patch sau două. În alte cazuri, nu a existat o explicație rezonabilă pentru motivul pentru care unele telefoane pretindeau că corectează anumite vulnerabilități, când, de fapt, le lipseau mai multe patch-uri critice.
Echipa de la laboratoarele SRL a elaborat un grafic care clasifică producătorii importanți de dispozitive în funcție de câte patch-uri au ratat din octombrie 2017. Pentru orice dispozitiv care a primit cel puțin o actualizare de patch de securitate din octombrie, SRL a vrut să vadă ce dispozitiv producătorii au fost cei mai buni și care au fost cei mai prost în a-și corela cu acuratețe dispozitivele împotriva securității lunii respective buletin.
În mod clar, Google, Sony, Samsung și mai puțin cunoscutul Wiko sunt în fruntea listei, în timp ce TCL și ZTE sunt în partea de jos. Aceasta înseamnă că ultimele două companii au ratat cel puțin 4 patch-uri în timpul unei actualizări de securitate pentru unul dintre dispozitivele lor după octombrie 2017. Înseamnă asta neapărat că TCL și ZTE sunt de vină? Da și nu. Deși este o rușine pentru companii să denatureze nivelul de corecție de securitate, SRL subliniază că de multe ori vânzătorii de cipuri sunt de vină: Dispozitivele vândute cu cipuri MediaTek nu au adesea multe corecții critice de securitate deoarece MediaTek nu reușește să furnizeze patch-urile necesare producătorilor de dispozitive. Pe de altă parte, Samsung, Qualcomm și HiSilicon erau mult mai puțin probabil să nu furnizeze corecții de securitate pentru dispozitivele care rulează pe chipset-urile lor.
În ceea ce privește răspunsul Google la această cercetare, compania își recunoaște importanța și a lansat o investigație asupra fiecărui dispozitiv cu un „decalaj de patch-uri”. Încă nu se știe cum anume Google intenționează să prevină această situație în viitor, deoarece nu există verificări obligatorii din partea Google pentru a se asigura că dispozitivele rulează nivelul de corecție de securitate pe care pretind că sunt alergare. Dacă sunteți interesat să vedeți ce patch-uri lipsesc dispozitivului dvs., echipa de la SRL labs a creat o aplicație Android care analizează firmware-ul telefonului dvs. pentru corecțiile de securitate instalate și lipsă. Toate permisiunile necesare pentru aplicație și pentru nevoie pentru a le accesa pot fi vizualizate aici.
Pret: Gratuit.
4.
Am raportat recent că Google se poate pregăti împărțiți nivelul Android Framework și Vendor Security Patch. În lumina acestor știri recente, acest lucru pare acum mai plauzibil, mai ales că o mare parte din vina revine vânzătorilor care nu reușesc să furnizeze la timp patch-urile pentru chipset clienților lor.