Güvenlik araştırmacıları, birçok Android OEM'inin yalan söylediğini veya cihazlarında yüklü olan güvenlik yamalarını yanlış tanıttığını keşfetti. Hatta bazen hiçbir şeyi yamamadan güvenlik yaması dizisini bile güncelliyorlar!
Android güvenlik güncellemesi durumu bundan daha kötü olamazmış gibi, görünen o ki bazı Android cihaz üreticileri, telefonlarının gerçekte ne kadar güvenli olduğu konusunda yalan söylerken yakalandı. Başka bir deyişle, bazı cihaz üreticileri, telefonlarının belirli bir güvenlik yaması seviyesini karşıladığını iddia ederken gerçekte yazılımlarında gerekli güvenlik yamaları eksiktir.
Buna göre kablolu araştırma seti hakkında rapor edilen yarın yayınlandı Hack in the Box güvenlik konferansında. Güvenlik Araştırma Laboratuarlarından araştırmacılar Karsten Nohl ve Jakob Lell, son iki yılı tersine mühendislik yaparak geçirdiler Cihazların güvenli olduğunu iddia ettiği tehditlere karşı gerçekten güvenli olup olmadığını kontrol etmek amacıyla yüzlerce Android cihaz aykırı. Sonuçlar şaşırtıcı; araştırmacılar, birçok telefon arasında önemli bir "yama boşluğu" buldu. Güvenlik yaması düzeyi ve bu telefonların gerçekte hangi güvenlik açıklarından korunduğunu bildirin aykırı. "Yama boşluğu" cihaza ve üreticiye göre değişir, ancak Google'ın aylık güvenlik bültenlerinde listelenen gereksinimleri göz önüne alındığında, bunun hiç olmaması gerekir.
Google Piksel 2 XL ilk başta koşuyorum Android P Geliştirici Önizlemesi ile Mart 2018 Güvenlik Yamaları.
Araştırmacılara göre, bazı Android cihaz üreticileri, cihazın güvenlik yaması seviyesini kasıtlı olarak yanlış tanıtacak kadar ileri gittiler. Aslında herhangi bir yama yüklemeden Ayarlar'da gösterilen tarihi değiştirmek. Bunun sahtesini yapmak inanılmaz derecede basittir; siz veya ben bile bunu root erişimli bir cihazda değiştirerek yapabiliriz. ro.build.version.security_patch build.prop'ta.
Ekip, araştırmacılar tarafından test edilen bir düzineden fazla cihaz üreticisinin 1.200 telefonundan şunları buldu: üst düzey cihaz üreticilerinin cihazlarında bile "yama boşlukları" vardı küçük cihaz üreticilerinin bu alanda daha da kötü performans kayıtları olmasına rağmen. Google'ın telefonları güvenli görünüyorAncak Pixel ve Pixel 2 serisi hangi güvenlik yamalarına sahip olduklarını yanlış tanıtmadığı için.
Bazı durumlarda araştırmacılar bunu insan hatasına bağladılar: Nohl, bazen Sony veya Samsung gibi şirketlerin kazara bir veya iki yamayı kaçırdığına inanıyor. Diğer durumlarda, bazı telefonların aslında birden fazla kritik yamayı kaçırdığı halde neden belirli güvenlik açıklarını giderdiğini iddia ettiğine dair makul bir açıklama yoktu.
SRL laboratuvarlarındaki ekip, büyük cihaz üreticilerini Ekim 2017'den bu yana kaçırdıkları yama sayısına göre kategorize eden bir tablo hazırladı. SRL, Ekim ayından bu yana en az bir güvenlik yaması güncellemesi alan herhangi bir cihaz için hangi cihazın o ayın güvenliğine karşı cihazlarına doğru yama yapma konusunda en iyi ve en kötü üreticilerdi bülten.
Açıkçası Google, Sony, Samsung ve daha az bilinen Wiko listenin başında yer alırken, TCL ve ZTE en altta yer alıyor. Bu, son iki şirketin Ekim 2017'den sonra cihazlarından birine yönelik güvenlik güncellemesi sırasında en az 4 yamayı kaçırdığı anlamına geliyor. Bu mutlaka TCL ve ZTE'nin hatalı olduğu anlamına mı geliyor? Evet ve hayır. Şirketlerin bir güvenlik yaması seviyesini yanlış beyan etmesi utanç verici olsa da SRL, çoğu zaman çip satıcılarının suçlu olduğuna dikkat çekiyor: MediaTek çipleriyle satılan cihazlarda çoğu zaman birçok kritik güvenlik yaması eksiktir Çünkü MediaTek cihaz üreticilerine gerekli yamaları sağlayamıyor. Öte yandan Samsung, Qualcomm ve HiSilicon'un yonga setlerinde çalışan cihazlar için güvenlik yamaları sağlamayı kaçırma olasılıkları çok daha düşüktü.
Google'ın bu araştırmaya yanıtına gelince, şirket bunun önemini kabul ediyor ve "yama açığı" olduğu belirtilen her cihaz için bir araştırma başlattı. Tam olarak nasıl olduğuna dair henüz bir kelime yok Google, cihazların iddia ettikleri güvenlik yaması düzeyini çalıştırdığından emin olmak için Google tarafından herhangi bir zorunlu kontrol yapılmadığından gelecekte bu durumu önlemeyi planlamaktadır. koşma. Cihazınızda hangi yamaların eksik olduğunu öğrenmek istiyorsanız SRL laboratuvarlarındaki ekip şunu oluşturdu: Telefonunuzun donanım yazılımını yüklü ve eksik güvenlik yamaları açısından analiz eden bir Android uygulaması. Uygulama ve uygulama için gerekli tüm izinler bunlara erişmeniz gerekiyor buradan görüntülenebilir.
Fiyat: Ücretsiz.
4.
Kısa süre önce Google'ın şu adımları atmaya hazırlanabileceğini bildirmiştik: Android Framework ve Satıcı Güvenlik Yaması düzeylerini ayırın. Bu son haberlerin ışığında, özellikle suçun büyük kısmının müşterilerine yonga seti yamalarını zamanında sağlayamayan satıcılara ait olduğu göz önüne alındığında, bu artık daha makul görünüyor.