Niektorí výrobcovia OEM systému Android boli prichytení pri klamstve o bezpečnostných záplatách

Výskumníci v oblasti bezpečnosti zistili, že niekoľko výrobcov Android OEM klame alebo nesprávne uvádza, aké bezpečnostné záplaty sú nainštalované na ich zariadení. Niekedy dokonca aktualizujú reťazec bezpečnostnej opravy bez toho, aby skutočne niečo opravili!

Ako keby sa situácia s bezpečnostnou aktualizáciou systému Android nemohla zhoršiť, zdá sa, že niektorí výrobcovia zariadení s Androidom boli prichytení pri klamstve o tom, aké bezpečné sú ich telefóny. Inými slovami, niektorí výrobcovia zariadení tvrdili, že ich telefóny spĺňajú určitú úroveň bezpečnostných záplat, hoci v skutočnosti ich softvéru chýbajú požadované bezpečnostné záplaty.

Toto je podľa Drôtové ktorý informoval o výskume, ktorý má byť zverejnené zajtra na bezpečnostnej konferencii Hack in the Box. Výskumníci Karsten Nohl a Jakob Lell z Security Research Labs strávili posledné dva roky reverzným inžinierstvom stovky zariadení so systémom Android s cieľom skontrolovať, či sú zariadenia skutočne zabezpečené proti hrozbám, o ktorých tvrdia, že sú bezpečné proti. Výsledky sú prekvapujúce – výskumníci našli medzi mnohými telefónmi výraznú „patch gap“. hlásiť ako úroveň bezpečnostnej opravy a aké zraniteľnosti sú tieto telefóny skutočne chránené proti. "Medzera v opravách" sa medzi zariadením a výrobcom líši, ale vzhľadom na požiadavky spoločnosti Google uvedené v mesačných bezpečnostných bulletinoch by vôbec nemala existovať.

The Google Pixel 2 XL beží na prvom Ukážka vývojára systému Android P s Bezpečnostné záplaty z marca 2018.

Podľa vedcov niektorí výrobcovia zariadení so systémom Android dokonca zašli tak ďaleko, že zámerne skreslili úroveň bezpečnostnej opravy zariadenia jednoduchým zmena dátumu zobrazeného v Nastaveniach bez skutočnej inštalácie akýchkoľvek záplat. Toto je neuveriteľne jednoduché sfalšovať – dokonca aj vy alebo ja by ste to mohli urobiť na zakorenenom zariadení úpravou ro.build.version.security_patch v build.prop.

Z 1200 telefónov od viac ako tucta výrobcov zariadení, ktoré výskumníci testovali, tím zistil, že dokonca aj zariadenia od špičkových výrobcov zariadení mali „medzery v opravách“, hoci menší výrobcovia zariadení mali tendenciu mať v tejto oblasti ešte horšie záznamy. Zdá sa, že telefóny Google sú bezpečné, keďže však série Pixel a Pixel 2 neskreslili, aké bezpečnostné záplaty majú.

V niektorých prípadoch to výskumníci pripisovali ľudskej chybe: Nohl sa domnieva, že spoločnostiam ako Sony alebo Samsung niekedy omylom unikla jedna alebo dve opravy. V iných prípadoch neexistovalo žiadne rozumné vysvetlenie, prečo niektoré telefóny tvrdili, že opravujú určité zraniteľnosti, hoci v skutočnosti im chýbalo viacero kritických opráv.

Tím laboratórií SRL zostavil tabuľku, ktorá kategorizuje hlavných výrobcov zariadení podľa toho, koľko opráv im chýbalo od októbra 2017. Pre každé zariadenie, ktoré od októbra dostalo aspoň jednu bezpečnostnú opravu, chcela SRL vidieť, ktoré zariadenie tvorcovia boli najlepší a ktorí boli najhorší v presnom opravovaní svojich zariadení proti bezpečnosti za daný mesiac bulletin.

Zdroj: Security Research Labs/Wired

Je zrejmé, že Google, Sony, Samsung a menej známe Wiko sú na vrchole zoznamu, zatiaľ čo TCL a ZTE sú na konci. To znamená, že posledné dve spoločnosti vynechali najmenej 4 opravy počas bezpečnostnej aktualizácie pre jedno zo svojich zariadení po októbri 2017. Znamená to nevyhnutne, že na vine sú TCL a ZTE? Áno a nie. Aj keď je pre spoločnosti hanebné skresľovať úroveň bezpečnostnej opravy, SRL poukazuje na to, že na vine sú často dodávatelia čipov: zariadeniam predávaným s čipmi MediaTek často chýba veľa dôležitých bezpečnostných záplat pretože MediaTek nedokáže poskytnúť výrobcom zariadení potrebné záplaty. Na druhej strane, Samsung, Qualcomm a HiSilicon oveľa menej pravdepodobne vynechali poskytovanie bezpečnostných záplat pre zariadenia bežiace na ich čipsetoch.

Zdroj: Security Research Labs/Wired

Pokiaľ ide o reakciu spoločnosti Google na tento výskum, spoločnosť uznáva jeho dôležitosť a začala vyšetrovanie každého zariadenia s uvedenou „medzerou v opravách“. Zatiaľ nie je známe, ako presne Google plánuje v budúcnosti tejto situácii zabrániť, pretože od spoločnosti Google nevykonáva žiadne povinné kontroly, ktoré by zaistili, že zariadenia používajú úroveň opráv zabezpečenia, o ktorej sa tvrdí beh. Ak máte záujem vidieť, aké záplaty vášmu zariadeniu chýbajú, tím v laboratóriách SRL vytvoril aplikácia pre Android, ktorá analyzuje firmvér vášho telefónu z hľadiska nainštalovaných a chýbajúcich bezpečnostných záplat. Všetky potrebné povolenia pre aplikáciu a potrebné k nim pristupovať si môžete pozrieť tu.

SnoopSnitchVývojár: Bezpečnostné výskumné laboratóriá

Cena: zadarmo.

4.

Stiahnuť ▼

Nedávno sme informovali, že Google sa na to možno pripravuje rozdeliť úrovne Android Framework a úrovne opráv zabezpečenia dodávateľa. Vo svetle týchto nedávnych správ sa to teraz zdá vierohodnejšie, najmä preto, že veľká časť viny je na strane predajcov, ktorí svojim zákazníkom neposkytujú záplaty čipsetov včas.