Истраживачи безбедности су открили да је неколико Андроид ОЕМ произвођача лагало или погрешно представљало које су безбедносне закрпе инсталиране на њиховом уређају. Понекад чак ажурирају низ безбедносних закрпа, а да заправо ништа не закрпе!
Као да ситуација са безбедносним ажурирањем за Андроид не може да се погорша, чини се да су неки произвођачи Андроид уређаја ухваћени у лажи о томе колико су њихови телефони заиста сигурни. Другим речима, неки произвођачи уређаја тврде да њихови телефони испуњавају одређени ниво безбедносне закрпе, док у стварности њиховом софтверу недостају потребне безбедносне закрпе.
Ово је према Виред који је известио о истраживању које ће бити објављено сутра на Хацк ин тхе Бок безбедносној конференцији. Истраживачи Карстен Нохл и Јакоб Лелл из лабораторија за истраживање сигурности провели су протекле двије године реверзни инжењеринг стотине Андроид уређаја како би проверили да ли су уређаји заиста безбедни од претњи за које тврде да су безбедни против. Резултати су запањујући - истраживачи су открили значајан "размак" између многих телефона пријавите као ниво безбедносне закрпе и које рањивости су ови телефони заправо заштићени против. „Размак у закрпи“ варира између уређаја и произвођача, али с обзиром на Гоогле-ове захтеве који су наведени у месечним безбедносним билтенима – уопште не би требало да постоји.
Тхе Гоогле Пикел 2 КСЛ трчећи на првом Андроид П Девелопер Превиев са Безбедносне закрпе за март 2018.
Према истраживачима, неки произвођачи Андроид уређаја су чак отишли толико далеко да су намерно лажно представили ниво безбедносне закрпе уређаја једноставно мењање датума приказаног у подешавањима без стварног инсталирања закрпе. Ово је невероватно једноставно лажирати - чак и ви или ја бисмо то могли да урадимо на роот-ованом уређају модификацијом ro.build.version.security_patch ин буилд.проп.
Од 1.200 телефона од преко десетина произвођача уређаја које су тестирали истраживачи, тим је открио да чак су и уређаји врхунских произвођача уређаја имали „празнине у закрпама“, иако су мањи произвођачи уређаја имали тенденцију да имају још лошије резултате у овој области. Чини се да су Гоогле-ови телефони безбедни, међутим, пошто серије Пикел и Пикел 2 нису погрешно представиле које безбедносне закрпе имају.
У неким случајевима, истраживачи су то приписали људској грешци: Нохл верује да су компаније попут Сони-а или Самсунг-а случајно пропустиле закрпу или два. У другим случајевима, није било разумног објашњења зашто су неки телефони тврдили да закрпе одређене рањивости, а у ствари им недостаје више критичних закрпа.
Тим у СРЛ лабораторијама саставио је графикон који категоризује главне произвођаче уређаја према томе колико су закрпа пропустили од октобра 2017. надаље. За сваки уређај који је примио најмање једно ажурирање безбедносне закрпе од октобра, СРЛ је желео да види који уређај произвођачи су били најбољи и који су били најгори у прецизном закрпању својих уређаја у односу на безбедност тог месеца билтен.
Јасно је да су Гоогле, Сони, Самсунг и мање познати Вико на врху листе, док су ТЦЛ и ЗТЕ на дну. То значи да су последње две компаније пропустиле најмање 4 закрпе током безбедносног ажурирања за један од својих уређаја после октобра 2017. Да ли то нужно значи да су ТЦЛ и ЗТЕ криви? Да и не. Иако је срамотно за компаније да погрешно представљају ниво безбедносне закрпе, СРЛ истиче да су добављачи чипова често криви: уређајима који се продају са МедиаТек чиповима често недостају многе критичне безбедносне закрпе јер МедиаТек не успева да обезбеди потребне закрпе произвођачима уређаја. Са друге стране, много је мање вероватно да ће Самсунг, Куалцомм и ХиСилицон пропустити обезбеђивање безбедносних закрпа за уређаје који раде на њиховим скуповима чипова.
Што се тиче Гоогле-овог одговора на ово истраживање, компанија признаје његову важност и покренула је истрагу о сваком уређају са примећеним „празнином у закрпи“. Још нема речи о томе како тачно Гоогле планира да спречи ову ситуацију у будућности јер не постоје никакве обавезне провере од стране Гоогле-а да би се уверио да уређаји користе ниво безбедносне закрпе за који тврде да јесу трчање. Ако сте заинтересовани да видите које закрпе недостају вашем уређају, тим у СРЛ лабораторијама је направио Андроид апликација која анализира фирмвер вашег телефона на инсталиране и недостајуће безбедносне закрпе. Све потребне дозволе за апликацију и морате да им приступите можете погледати овде.
Цена: бесплатно.
4.
Недавно смо известили да се Гоогле можда припрема за поделите нивое Андроид оквира и безбедносне закрпе добављача. У светлу ових недавних вести, ово се сада чини вероватнијим, посебно зато што велики део кривице сносе произвођачи који не успевају да обезбеде закрпе за чипсет на време за своје купце.