Исследователи безопасности обнаружили, что несколько OEM-производителей Android лгали или искажали информацию о том, какие исправления безопасности установлены на их устройствах. Иногда они даже обновляют строку исправления безопасности, фактически ничего не исправляя!
Как будто ситуация с обновлениями безопасности Android не могла ухудшиться, похоже, что некоторые производители устройств Android были уличены во лжи о том, насколько на самом деле безопасны их телефоны. Другими словами, некоторые производители устройств заявляют, что их телефоны соответствуют определенному уровню исправлений безопасности, хотя на самом деле в их программном обеспечении отсутствуют необходимые исправления безопасности.
Это согласно Проводной который сообщил об исследовании, которое будет опубликовано завтра на конференции по безопасности Hack in the Box. Исследователи Карстен Нол и Якоб Лелль из Security Research Labs последние два года занимались реверс-инжинирингом. сотни устройств Android, чтобы проверить, действительно ли устройства защищены от угроз, о безопасности которых они заявляют. против. Результаты поразительны: исследователи обнаружили значительный «разрыв в исправлениях» между тем, что многие телефоны сообщать об уровне исправлений безопасности и о том, от каких уязвимостей на самом деле защищены эти телефоны против. «Разрыв в исправлениях» варьируется в зависимости от устройства и производителя, но, учитывая требования Google, перечисленные в ежемесячных бюллетенях по безопасности, его вообще не должно быть.
Гугл Пиксель 2 XL бегу на первом Предварительная версия Android P для разработчиков с Обновления безопасности за март 2018 г..
По мнению исследователей, некоторые производители устройств Android даже намеренно искажали уровень исправлений безопасности устройства, просто изменение даты, указанной в настройках, без фактической установки каких-либо патчей. Это невероятно просто подделать — даже вы или я могли бы сделать это на корневом устройстве, изменив ro.build.version.security_patch в build.prop.
Из 1200 телефонов от более чем дюжины производителей устройств, которые были протестированы исследователями, команда обнаружила, что даже устройства от ведущих производителей устройств имели «пробелы в исправлениях», хотя более мелкие производители устройств, как правило, имели еще худшие результаты в этой области. Телефоны Google кажутся безопасными, однако, поскольку серии Pixel и Pixel 2 не искажали, какие исправления безопасности у них были.
В некоторых случаях исследователи объясняли это человеческой ошибкой: Нол считает, что иногда такие компании, как Sony или Samsung, случайно пропускали один или два патча. В других случаях не было разумного объяснения того, почему некоторые телефоны заявляли, что исправили определенные уязвимости, хотя на самом деле на них отсутствовало несколько критических исправлений.
Команда лабораторий SRL составила диаграмму, в которой основные производители устройств классифицируются в зависимости от того, сколько обновлений они пропустили, начиная с октября 2017 года. Для любого устройства, получившего хотя бы одно обновление безопасности с октября, SRL хотела узнать, какое именно устройство производители были лучшими и худшими в точном обновлении своих устройств с точки зрения безопасности в этом месяце бюллетень.
Очевидно, что Google, Sony, Samsung и менее известная Wiko находятся на вершине списка, а TCL и ZTE — внизу. Это означает, что последние две компании пропустили как минимум 4 патча во время обновления безопасности для одного из своих устройств после октября 2017 года. Означает ли это, что виноваты TCL и ZTE? Да и нет. Хотя для компаний позорно искажать информацию об уровне исправлений безопасности, SRL отмечает, что часто виноваты производители чипов: устройства, продаваемые с чипами MediaTek, часто не имеют многих критических исправлений безопасности. потому что MediaTek не может предоставить необходимые исправления производителям устройств. С другой стороны, Samsung, Qualcomm и HiSilicon с гораздо меньшей вероятностью пропускали обновления безопасности для устройств, работающих на их чипсетах.
Что касается реакции Google на это исследование, компания признает его важность и начала расследование каждого устройства с отмеченным «пробелом в патче». Пока нет информации о том, как именно Google планирует предотвратить подобную ситуацию в будущем, поскольку Google не проводит никаких обязательных проверок, гарантирующих, что на устройствах установлен тот уровень исправлений безопасности, который, по их утверждениям, установлен. бег. Если вам интересно узнать, каких патчей не хватает на вашем устройстве, команда SRL labs создала приложение для Android, которое анализирует прошивку вашего телефона на предмет установленных и отсутствующих обновлений безопасности. Все необходимые разрешения для приложения и необходимо получить к ним доступ, можно посмотреть здесь.
Цена: Бесплатно.
4.
Недавно мы сообщили, что Google, возможно, готовится к разделить Android Framework и уровни исправлений безопасности поставщиков. В свете этих недавних новостей это теперь кажется более правдоподобным, тем более что большая часть вины лежит на производителях, которые не могут вовремя предоставить своим клиентам исправления для чипсетов.