นักวิจัยด้านความปลอดภัยได้ค้นพบว่า OEM ของ Android หลายรายโกหกหรือบิดเบือนความจริงว่ามีการติดตั้งแพตช์รักษาความปลอดภัยบนอุปกรณ์ของตนอย่างไร บางครั้งพวกเขาถึงกับอัปเดตสตริงแพตช์ความปลอดภัยโดยไม่ต้องแพตช์อะไรเลย!
ดูเหมือนว่าสถานการณ์การอัปเดตความปลอดภัยของ Android จะไม่เลวร้ายไปกว่านี้แล้ว ดูเหมือนว่าผู้ผลิตอุปกรณ์ Android บางรายถูกจับได้ว่าโกหกเกี่ยวกับความปลอดภัยของโทรศัพท์ของตน กล่าวอีกนัยหนึ่ง ผู้ผลิตอุปกรณ์บางรายอ้างว่าโทรศัพท์ของตนมีคุณสมบัติตรงตามระดับแพตช์รักษาความปลอดภัย เมื่อในความเป็นจริงซอฟต์แวร์ของตนไม่มีแพตช์รักษาความปลอดภัยที่จำเป็น
เป็นไปตามนี้ แบบมีสาย ซึ่งรายงานผลการวิจัยกำหนดไว้แล้ว เผยแพร่พรุ่งนี้ ในการประชุมความปลอดภัย Hack in the Box นักวิจัย Karsten Nohl และ Jakob Lell จาก Security Research Labs ใช้เวลาสองปีที่ผ่านมาในการทำวิศวกรรมย้อนกลับ อุปกรณ์ Android หลายร้อยเครื่องเพื่อตรวจสอบว่าอุปกรณ์มีความปลอดภัยจริง ๆ จากภัยคุกคามที่พวกเขาอ้างว่าปลอดภัยหรือไม่ ขัดต่อ. ผลลัพธ์ที่ได้น่าตกใจ นักวิจัยพบ "ช่องว่างแพตช์" ที่สำคัญระหว่างโทรศัพท์หลายรุ่น รายงานระดับแพตช์ความปลอดภัยและช่องโหว่ใดบ้างที่โทรศัพท์เหล่านี้ได้รับการปกป้องจริง ๆ ขัดต่อ. "ช่องว่างของแพตช์" จะแตกต่างกันไปตามอุปกรณ์และผู้ผลิต แต่ด้วยข้อกำหนดของ Google ตามที่ระบุไว้ในกระดานข่าวความปลอดภัยรายเดือน จึงไม่ควรมีเลย
ที่ กูเกิล พิกเซล 2 XL วิ่งเป็นคนแรก ตัวอย่างนักพัฒนา Android P กับ โปรแกรมปรับปรุงความปลอดภัยเดือนมีนาคม 2018.
ตามที่นักวิจัยระบุว่า ผู้ผลิตอุปกรณ์ Android บางรายถึงขั้นจงใจบิดเบือนระดับแพตช์ความปลอดภัยของอุปกรณ์เพียงเท่านั้น การเปลี่ยนวันที่ที่แสดงในการตั้งค่าโดยไม่ต้องติดตั้งแพตช์ใด ๆ. นี่เป็นการปลอมแปลงที่ง่ายดายอย่างเหลือเชื่อ แม้แต่คุณหรือฉันก็สามารถทำมันบนอุปกรณ์ที่รูทได้โดยการแก้ไข ro.build.version.security_patch ใน build.prop
จากโทรศัพท์ 1,200 เครื่องจากผู้ผลิตอุปกรณ์กว่าสิบรายที่ได้รับการทดสอบโดยนักวิจัย ทีมงานพบว่า แม้แต่อุปกรณ์จากผู้ผลิตอุปกรณ์ระดับแนวหน้าก็มี "ช่องว่างของแพตช์" แม้ว่าผู้ผลิตอุปกรณ์รายเล็กมีแนวโน้มที่จะมีประวัติที่แย่กว่านั้นในพื้นที่นี้ โทรศัพท์ของ Google ดูเหมือนจะปลอดภัยอย่างไรก็ตาม เนื่องจากซีรีส์ Pixel และ Pixel 2 ไม่ได้บิดเบือนความจริงเกี่ยวกับแพตช์รักษาความปลอดภัยที่พวกเขามี
ในบางกรณี นักวิจัยอ้างว่ามันเป็นข้อผิดพลาดของมนุษย์ Nohl เชื่อว่าบางครั้งบริษัทอย่าง Sony หรือ Samsung พลาดแพตช์หนึ่งหรือสองแพตช์โดยไม่ได้ตั้งใจ ในกรณีอื่นๆ ไม่มีคำอธิบายที่สมเหตุสมผลว่าเหตุใดโทรศัพท์บางรุ่นจึงอ้างว่าแก้ไขช่องโหว่บางอย่าง ทั้งที่ในความเป็นจริงแล้วไม่มีแพตช์สำคัญหลายรายการ
ทีมงานที่ห้องปฏิบัติการ SRL ได้รวบรวมแผนภูมิที่จัดหมวดหมู่ผู้ผลิตอุปกรณ์รายใหญ่ตามจำนวนแพตช์ที่พวกเขาพลาดไปตั้งแต่เดือนตุลาคม 2017 เป็นต้นไป สำหรับอุปกรณ์ใดๆ ที่ได้รับการอัปเดตแพตช์ความปลอดภัยอย่างน้อยหนึ่งครั้งตั้งแต่เดือนตุลาคม SRL ต้องการดูว่าอุปกรณ์ใด ผู้ผลิตเป็นสิ่งที่ดีที่สุดและแย่ที่สุดในการแพตช์อุปกรณ์ของตนกับความปลอดภัยของเดือนนั้นอย่างแม่นยำ กระดานข่าว
เห็นได้ชัดว่า Google, Sony, Samsung และ Wiko ที่ไม่ค่อยมีคนรู้จักอยู่ในอันดับต้นๆ ของรายการ ในขณะที่ TCL และ ZTE อยู่ที่ด้านล่าง ซึ่งหมายความว่าทั้งสองบริษัทพลาดแพตช์อย่างน้อย 4 แพตช์ระหว่างการอัปเดตความปลอดภัยสำหรับอุปกรณ์ตัวใดตัวหนึ่งของพวกเขาหลังเดือนตุลาคม 2017 นั่นหมายความว่า TCL และ ZTE เป็นฝ่ายผิดหรือไม่? ใช่และไม่. แม้ว่าจะเป็นเรื่องน่าอับอายสำหรับบริษัทต่างๆ ที่นำเสนอระดับแพตช์รักษาความปลอดภัยอย่างไม่ถูกต้อง แต่ SRL ชี้ให้เห็นว่าบ่อยครั้งที่ผู้จำหน่ายชิปมักถูกตำหนิ: อุปกรณ์ที่ขายพร้อมชิป MediaTek มักจะขาดแพตช์รักษาความปลอดภัยที่สำคัญมากมาย เนื่องจาก MediaTek ไม่สามารถจัดเตรียมแพตช์ที่จำเป็นให้กับผู้ผลิตอุปกรณ์ได้ ในทางกลับกัน Samsung, Qualcomm และ HiSilicon มีโอกาสน้อยมากที่จะพลาดการจัดหาแพตช์รักษาความปลอดภัยสำหรับอุปกรณ์ที่ทำงานบนชิปเซ็ตของตน
สำหรับการตอบสนองของ Google ต่อการวิจัยนี้ บริษัทได้รับทราบถึงความสำคัญและได้ดำเนินการตรวจสอบอุปกรณ์แต่ละเครื่องโดยมี "ช่องว่างของแพตช์" ที่ระบุไว้ ยังไม่มีคำว่าแน่ชัดว่าเป็นอย่างไร Google วางแผนที่จะป้องกันสถานการณ์นี้ในอนาคต เนื่องจากไม่มีการตรวจสอบตามคำสั่งจาก Google เพื่อให้แน่ใจว่าอุปกรณ์ใช้ระดับแพตช์ความปลอดภัยที่พวกเขาอ้างว่าเป็น วิ่ง. หากคุณสนใจที่จะดูว่าอุปกรณ์ของคุณขาดแพตช์ใดบ้าง ทีมงานที่แล็บ SRL ได้สร้างไว้แล้ว แอปพลิเคชัน Android ที่วิเคราะห์เฟิร์มแวร์ในโทรศัพท์ของคุณเพื่อหาแพตช์ความปลอดภัยที่ติดตั้งและขาดหายไป สิทธิ์ที่จำเป็นทั้งหมดสำหรับแอปและ จำเป็นต้องเข้าถึงสามารถดูได้ที่นี่.
ราคา: ฟรี
4.
เรารายงานเมื่อเร็ว ๆ นี้ว่า Google อาจเตรียมการ แยกระดับ Android Framework และ Vendor Security Patch. จากข่าวล่าสุดนี้ ตอนนี้ดูเหมือนว่าจะเป็นไปได้มากขึ้นโดยเฉพาะอย่างยิ่งเนื่องจากความผิดส่วนใหญ่ตกเป็นของผู้จำหน่ายที่ไม่สามารถจัดเตรียมแพตช์ชิปเซ็ตตรงเวลาให้กับลูกค้าของตน