Säkerhetsforskare har upptäckt att flera Android OEM: er har ljugit eller felaktigt framställt vilka säkerhetskorrigeringar som är installerade på deras enhet. Ibland uppdaterar de till och med säkerhetskorrigeringssträngen utan att faktiskt korrigera någonting!
Som om situationen för Android-säkerhetsuppdateringen inte kunde bli värre, verkar det som att vissa Android-enhetstillverkare har ertappats med att ljuga om hur säkra deras telefoner verkligen är. Med andra ord har vissa enhetstillverkare hävdat att deras telefoner uppfyller en viss säkerhetskorrigeringsnivå när deras programvara i själva verket saknar nödvändiga säkerhetskorrigeringar.
Detta är enligt Trådbunden som rapporterade om forskning som kommer att bli publiceras imorgon på säkerhetskonferensen Hack in the Box. Forskarna Karsten Nohl och Jakob Lell från Security Research Labs har ägnat de senaste två åren åt reverse-engineering hundratals Android-enheter för att kontrollera om enheterna verkligen är säkra mot de hot som de hävdar att de är säkra mot. Resultaten är häpnadsväckande - forskarna fann ett betydande "patch gap" mellan vad många telefoner rapportera som säkerhetskorrigeringsnivå och vilka sårbarheter dessa telefoner faktiskt är skyddade mot. "Patch gapet" varierar mellan enhet och tillverkare, men med tanke på Googles krav som anges i de månatliga säkerhetsbulletinerna borde det inte existera alls.
De Google Pixel 2 XL kör på den första Android P Developer Preview med Säkerhetskorrigeringar för mars 2018.
Enligt forskarna gick vissa Android-enhetstillverkare till och med så långt som att avsiktligt missvisa säkerhetskorrigeringsnivån för enheten genom att helt enkelt ändra datumet som visas i Inställningar utan att faktiskt installera några patchar. Det här är otroligt enkelt att förfalska - även du eller jag skulle kunna göra det på en rotad enhet genom att modifiera ro.build.version.security_patch
i bygg.prop.
Av de 1 200 telefoner från över ett dussin enhetstillverkare som testades av forskarna fann teamet att till och med enheter från tillverkare av högklassiga enheter hade "lappluckor" även om mindre enhetstillverkare tenderade att ha ännu sämre meritlista på detta område. Googles telefoner verkar vara säkra, dock eftersom Pixel- och Pixel 2-serierna inte förvrängde vilka säkerhetskorrigeringar de hade.
I vissa fall tillskrev forskarna det till mänskliga fel: Nohl tror att företag som Sony eller Samsung av misstag missade en patch eller två. I andra fall fanns det ingen rimlig förklaring till varför vissa telefoner påstod sig korrigera vissa sårbarheter när de i själva verket saknade flera kritiska patchar.
Teamet på SRL-labb har satt ihop ett diagram som kategoriserar stora enhetstillverkare efter hur många patchar de missade från oktober 2017 och framåt. För alla enheter som har fått minst en säkerhetsuppdatering sedan oktober ville SRL se vilken enhet tillverkare var bäst och vilka var sämst på att korrekt patcha sina enheter mot den månadens säkerhet bulletin.
Det är uppenbart att Google, Sony, Samsung och den mindre kända Wiko är överst på listan, medan TCL och ZTE är längst ner. Det betyder att de två sistnämnda företagen har missat minst 4 patchar under en säkerhetsuppdatering för en av sina enheter efter oktober 2017. Betyder det nödvändigtvis att TCL och ZTE är fel? Ja och nej. Även om det är skamligt för företagen att felaktigt framställa en säkerhetskorrigeringsnivå, påpekar SRL att det ofta är chipleverantörer som bär skulden: enheter som säljs med MediaTek-chips saknar ofta många viktiga säkerhetskorrigeringar eftersom MediaTek misslyckas med att tillhandahålla nödvändiga patchar till enhetstillverkare. Å andra sidan var det mycket mindre sannolikt att Samsung, Qualcomm och HiSilicon missade att tillhandahålla säkerhetskorrigeringar för enheter som körs på deras styrkretsar.
När det gäller Googles svar på denna forskning, erkänner företaget dess betydelse och har inlett en undersökning av varje enhet med ett noterat "patch gap". Det finns ännu inga ord om exakt hur Google planerar att förhindra denna situation i framtiden eftersom det inte finns några obligatoriska kontroller på plats från Google för att säkerställa att enheter kör den säkerhetskorrigeringsnivå som de hävdar att de är löpning. Om du är intresserad av att se vilka patchar din enhet saknar har teamet på SRL labs skapat en Android-applikation som analyserar telefonens firmware för installerade och saknade säkerhetskorrigeringar. Alla nödvändiga behörigheter för appen och behöver komma åt dem kan ses här.
Pris: Gratis.
4.
Vi rapporterade nyligen att Google kanske förbereder sig dela upp nivåerna Android Framework och Vendor Security Patch. I ljuset av de senaste nyheterna verkar detta nu mer rimligt, särskilt eftersom mycket av skulden går till leverantörer som misslyckas med att tillhandahålla chipsetpatchar i tid till sina kunder.