Дослідники безпеки виявили, що кілька виробників Android брешуть або неправдиво повідомляють про те, які патчі безпеки встановлено на їхніх пристроях. Іноді вони навіть оновлюють рядок виправлення безпеки, фактично нічого не виправляючи!
Начебто ситуація з оновленням системи безпеки Android не могла бути гіршою, схоже, деякі виробники пристроїв Android були спіймані на брехні про те, наскільки надійними є їхні телефони. Іншими словами, деякі виробники пристроїв стверджують, що їхні телефони відповідають певному рівню виправлень безпеки, хоча насправді в їхньому програмному забезпеченні відсутні необхідні виправлення безпеки.
Це згідно Провідний який повідомив про дослідження, яке має бути опубліковано завтра на конференції з безпеки Hack in the Box. Дослідники Карстен Ноль і Якоб Лелл з Security Research Labs витратили останні два роки на зворотне проектування сотні пристроїв Android, щоб перевірити, чи дійсно пристрої захищені від загроз, про які вони стверджують проти. Результати вражають: дослідники виявили значну «прогалину» між багатьма телефонами повідомте про рівень виправлення безпеки та які вразливості насправді захищені в цих телефонах проти. «Розрив у виправленні» залежить від пристрою та виробника, але, враховуючи вимоги Google, зазначені в щомісячних бюлетенях безпеки, його взагалі не повинно бути.
The Google Pixel 2 XL працює на першому Попередній перегляд розробника Android P з Виправлення безпеки за березень 2018 р.
За словами дослідників, деякі виробники пристроїв Android навіть навмисно спотворювали рівень виправлення безпеки пристрою, просто зміна дати, показаної в налаштуваннях, без фактичного встановлення будь-яких виправлень. Це неймовірно просто підробити — навіть ви чи я могли б зробити це на рутированому пристрої, змінивши ro.build.version.security_patch
у build.prop.
З 1200 телефонів від понад дюжини виробників пристроїв, які перевірили дослідники, команда виявила, що навіть пристрої від провідних виробників пристроїв мали «прогалини в латках», хоча менші виробники пристроїв, як правило, мали ще гірші результати в цій галузі. Телефони Google здаються безпечними, однак, оскільки серії Pixel і Pixel 2 не спотворювали, які виправлення безпеки вони мали.
У деяких випадках дослідники пояснювали це людською помилкою: Нол вважає, що іноді такі компанії, як Sony або Samsung, випадково пропускають один-два патчі. В інших випадках не було жодного розумного пояснення того, чому деякі телефони стверджували, що виправляють певні вразливості, хоча насправді в них не було кількох критичних виправлень.
Команда лабораторій SRL склала діаграму, яка класифікує основних виробників пристроїв відповідно до кількості виправлень, які вони пропустили з жовтня 2017 року. Для будь-якого пристрою, який отримав принаймні одне оновлення системи безпеки з жовтня, SRL хотіла дізнатися, який пристрій виробники були найкращими та які були найгіршими у точному виправленні своїх пристроїв проти безпеки того місяця бюлетень.
Зрозуміло, що Google, Sony, Samsung і менш відома Wiko очолюють список, а TCL і ZTE – у кінці. Це означає, що останні дві компанії пропустили принаймні 4 виправлення під час оновлення безпеки для одного зі своїх пристроїв після жовтня 2017 року. Чи обов’язково це означає, що TCL і ZTE винні? Так і ні. Хоча це ганебно для компаній спотворювати рівень виправлення безпеки, SRL зазначає, що часто винні постачальники мікросхем: пристрої, що продаються з чіпами MediaTek, часто не мають багатьох критичних виправлень безпеки оскільки MediaTek не надає необхідні виправлення виробникам пристроїв. З іншого боку, Samsung, Qualcomm і HiSilicon мали набагато менше шансів пропустити виправлення безпеки для пристроїв, що працюють на їхніх чіпсетах.
Що стосується відповіді Google на це дослідження, компанія визнає його важливість і розпочала розслідування щодо кожного пристрою із зазначеним «патчем». Поки немає інформації про те, як саме Google планує запобігти цій ситуації в майбутньому, оскільки Google не проводить обов’язкових перевірок, щоб гарантувати, що на пристроях працює той рівень виправлення безпеки, який вони стверджують. біг. Якщо вам цікаво дізнатися, які патчі відсутні на вашому пристрої, створила команда SRL labs програма для Android, яка аналізує мікропрограму вашого телефону на наявність встановлених і відсутніх виправлень безпеки. Усі необхідні дозволи для програми та потрібно отримати доступ до них можна переглянути тут.
Ціна: безкоштовно.
4.
Нещодавно ми повідомляли, що Google, можливо, готується до розділити рівні Android Framework і Vendor Security Patch. У світлі останніх новин це здається більш правдоподібним, особливо тому, що велика частина провини лежить на постачальниках, які не вчасно надають виправлення чіпсетів своїм клієнтам.