in der Box-Sicherheitskonferenz, Unternehmen Security Research Forscher Karsten Nohl und Jakob Lell Hack in Amsterdam vorgestellt, waren sie Contrarian Analyse für die Hunderte von Android Smartphone-Betriebssystem-Code der letzten zwei Jahren auf dem Markt, detailliert auf jedes Gerät tatsächlich installierten Sicherheits-Patches untersucht wurden sie, dass die gefundene „Pflaster Tür‚so genannte: in einigen Fällen benachrichtigt einige Hersteller alle Benutzer ein spezifisches Freigabedatum Sicherheits-Patches installiert haben, aber bieten nicht wirklich diesen Service Es handelt sich lediglich um eine gefälschte Benachrichtigung, daher sind diese Geräte sehr anfällig für Hacker.
‚Wir fanden heraus, dass die eigentliche Reparatur und Anbieter behaupten abgeschlossen haben, gibt es einen Unterschied zwischen der Anzahl der Sicherheitslücken behoben.‘ Der renommierten Sicherheitsforscher, Vertretung SRL Gründer Nohl. Er sagte, dass unter dem Worst-Case-Szenario, Android-Handy-Hersteller absichtlich mit Geräten Manipulation letzten Es ist an der Zeit, die Sicherheitslücke zu schließen. "Manche Anbieter ändern das Systemupdatedatum ohne Patching. Aus Marketinggründen legen sie lediglich das Installationsdatum des Patches auf einen bestimmten Zeitpunkt fest, nur um sicher zu gehen."
Selektiv ignorieren
SRL Statistiken Android-System im Jahr 2017 jedes Sicherheitsupdate, Test-Firmware von mehr als ein Dutzend Smartphone-Herstellern über 1200 Handys, diese Geräte von Google, Samsung, Motorola, HTC und anderen Mainstream-Android Handy-Herstellern und ZTE, Schwellen Hersteller TCL, und festgestellt, dass, zusätzlich zu dem Google-eigenen Pixeln und Pixel 2 weiteren Modellen, auch der internationale Top-Hersteller manchmal ein Patch für das Produkt zu installieren gab vor, nicht wirklich Update veröffentlicht. die zweite und dritte Stufe Die Bilanz des Herstellers ist noch schlechter.
Nohl wies darauf hin, dass dies eine schlimmere Folgen als Updateverhalten zu geben, und das Smartphone ein weit verbreitetes Phänomen geworden ist. In der Tat, im Fall sagen, der Benutzer keine Maßnahmen getroffen hat, um die Schwachstellen zu reparieren, für die Nutzer eine erstellen . Art von ‚falschen‘ Gefühl der Sicherheit Nohl sagte: ‚wir haben verschiedene Anbieter gefunden einige Patches nicht installiert, aber das Datum der letzten Änderung System-Update, das ein absichtlich täuscht, aber nicht üblich.‘
Nohl glaubt, dass häufige Situation ist wie Sony oder Samsung Top-Hersteller, weil einige unerwarteten Fehl eines oder zwei Patches Update aber in einem anderen Modell, die in verschiedenen Situationen erschienen ist: zum Beispiel der Samsung Galaxy 2016 Modelle J5-Modelle, wird es sehr deutlich die Benutzer sagen, was der Patch installiert wurde, das Patch nicht aktualisiert wird, aber der Körper der Galaxy J3 2016 Modelle, behauptet Samsung, dass alle Patches veröffentlicht wurden, aber fehlt nach wie vor nach einer Untersuchung 12 kritisch gefunden Das Update
"Angesichts der Tatsache, dass dies ein versteckter Modellunterschied ist, ist es für die Benutzer fast unmöglich zu verstehen, welche Updates tatsächlich installiert wurden", so Nohl. Um dem Mangel an Transparenz bei der Patch-Aktualisierung zu begegnen, hat SRL Labs auch eine Das Update der SnoopSnitch App für Android-Plattform ermöglicht es Benutzern, ihren Handy-Code einzugeben, um den aktuellen Status des Sicherheitsupdates jederzeit zu überprüfen.
Verschiedene Anbieter
Nach der Bewertung der Produkte jedes Lieferanten hat SRL Labs die folgenden Charts erstellt, die die Smartphone-Hersteller in drei Kategorien einteilen, basierend auf dem Übereinstimmungsgrad ihrer jeweiligen Anzahl von externen Patches und tatsächlich installierten Patches im Jahr 2017. , Einschließlich der Modelle, die mindestens einmal im Oktober 2017 oder später aktualisiert wurden.Haupt Android-Anbieter, einschließlich Xiaomi, Nokia, haben durchschnittlich 1 bis 3 Patch "verloren", während HTC, Motorola, LG und Huawei 3 haben Zu den 4 verlorenen Patches "TCL" und "ZTE" wurde die Anzahl der verlorenen Patches übertroffen. Die Anzahl der Updates von Google, Sony, Samsung usw. ist kleiner oder gleich 1.
SRL wies auch darauf hin, dass Chip-Anbieter einer der Gründe für das Fehlen von Patches sind: Beispielsweise haben Modelle mit Samsung-Chips selten Probleme, Aktualisierungen ignorieren zu ignorieren, während Geräte mit MediaTek-Chips einen durchschnittlichen fehlenden Patch von 9,7 aufweisen Es ist wahrscheinlich, dass aufgrund der Verwendung billigerer Chips die Wahrscheinlichkeit für das Fehlen von Patches höher ist.Es gibt auch eine Situation, in der die Schlupflöcher auf der Chipebene und nicht aufder Systemebene auftreten, so dass die Handyhersteller darauf angewiesen sind, dassdie Chiphersteller weiter vervollständigen Das Ergebnis ist, dass die billigeren Smartphones, die Chips von Low-End-Lieferanten beziehen, das "Missing Patch" -Problem fortsetzen. "Wenn Sie sich nach unserer Verifizierung für ein billigeres Produkt entscheiden, dann im Android-Ökosystem, Es wird in einer weniger respektierten Position sein. «Nohl sagte.
In der „Connection“ -Magazin Kontakt Google nach Google äußerte sich anerkennend über die Forschung des SRL, aber zur gleichen Zeit reagieren darauf hinweisen, dass einige der Geräte SRL Analyse nicht Android-System-Zertifizierung passieren kann, was bedeutet, dass sie nicht von Google Sicherheitsstandards begrenzt sind. Google Android-Smartphones haben die Sicherheitsfunktionen, auch in Abwesenheit des Patches, die Sicherheitslücken schwer zu knacken. in einigen Fällen ‚Patch fehlt‘ Fragen wird der Grund sein, warum, nur weil einige Handy-Hersteller Schwachstellen werden einfach entfernt anstatt repariert, oder einige Telefone haben diese Funktion überhaupt nicht.
Google sagte, es mit SRL Labs kooperieren würde, weitere eingehende Untersuchung ‚eine der vielen Ebenen von Sicherheitsupdates Android-Geräte und Benutzer zu schützen,‘ Scott Roberts Android Produktsicherheit eine Aussage über die „Connection“ -Magazin ausgegeben. ‚System Einbau-Plattform Schutzsysteme, wie zum Beispiel Anwendung Sandbox und Google Play Sicherheitsdienste sind gleichermaßen wichtig schützen. diese Multi-Level-Sicherheitsmaßnahmen, gepaart mit der Vielfalt des Android Ökosystems, so die Forscher zu dem Schluss gekommen, dass die Ferne Android-Geräte Die Entwicklung ist immer noch voller Herausforderungen. "
Als Reaktion auf Googles Schlussfolgerung, dass dem Anbieter Patches aufgrund der Entfernung von anfälligen Merkmalen fehlten, argumentierte Nohl, dass diese Situation ungewöhnlich ist und dass es unwahrscheinlich ist, dass sie auftritt.
Begrenzte Auswirkung von fehlenden Patches
Überraschenderweise ist es jedoch, dass Nohl eine andere Version von Google stimmt: Angriffe auf Android-Handys durch den Einsatz von fehlendem Patches, in der Tat, ist keine leichte Sache, und sogar einige nicht aktualisiert Patches Android-Handy-System ist umfangreicher. unter Sicherheitsmaßnahmen die Malware zu schützen, ist immer noch schwierig, den Einsatz von Lücken zu machen, wie aus der Android 4.0 Lollipop-Sandbox und anderen Funktionen entstehen begann, die Wahrscheinlichkeit von schädlichen Programmen Begrenzung auf das Gerät zuzugreifen.
Dies bedeutet, dass die meisten, wenn Hacker eine sogenannte ‚Schlupfloch‘ verwenden Kontrolle über Android-Geräte bekommen müssen eine Reihe von Lücken verwenden, nicht nur wegen des Mangels an einem Patch und einen erfolgreichen Angriff Nohl sagte: ‚Selbst wenn Fehl Einige Patches sind immer noch auf die anderen Sicherheitsfunktionen des Systems angewiesen, um die meisten Angriffe zu verhindern.
Daher sagte Nohl, dass Android-Geräte einfacher zu knacken seien, etwa im Google Play Store oder in inoffiziellen App-Stores.Nohl sagte: "Benutzer haben Raubkopien oder bösartige Software installiert. Es ist einfacher, ein Ziel für Hacker zu sein.