बॉक्स सुरक्षा सम्मेलन में, सुरक्षा अनुसंधान कंपनी शोधकर्ताओं कर्स्टन Nohl और जेकब Lell हैक एम्सटर्डम में पेश आयोजित की, वे बाजार पर एंड्रॉयड स्मार्टफोन ऑपरेटिंग सिस्टम कोड के पिछले दो वर्षों सैकड़ों के लिए विपरीत विश्लेषण थे, पर विस्तृत जानकारी दी उपकरण वास्तव में स्थापित सुरक्षा पैच के प्रत्येक टुकड़े वे कहते हैं कि पाया अध्ययन किया गया है तथाकथित "पैच दरवाजा ': कुछ मामलों में, कुछ निर्माताओं सभी उपयोगकर्ताओं के लिए एक विशिष्ट रिलीज की तारीख सुरक्षा पैच स्थापित सूचित करेंगे, लेकिन वास्तव में इस सेवा प्रदान नहीं करता सिर्फ एक झूठी अधिसूचना, इसलिए इन उपकरणों हैकर हमलों के लिए बहुत जोखिम रहता है।
'हमने पाया है कि वास्तविक मरम्मत और विक्रेताओं पूरा कर लिया है वहाँ तय कमजोरियों की संख्या के बीच एक अंतर है दावा करते हैं।' प्रख्यात सुरक्षा शोधकर्ताओं, SRL संस्थापक Nohl प्रतिनिधित्व। उन्होंने कहा कि बुरी से बुरी हालत के तहत, एंड्रॉयड फोन निर्माताओं जानबूझकर उपकरण पिछले के साथ छेड़छाड़ बग 'विपणन कारणों के लिए कुछ निर्माताओं पैच न किया गया तिथि सिस्टम अपडेट के मामले में बदल जाएगा।, वे सिर्फ पैच स्थापना की तारीख एक विशेष समय के लिए सेट कर दिया जाता है, लेकिन यह की खोज बहुत ही सुरक्षित लग रहा है।' समय ठीक करता है।
चयनात्मक ध्यान नहीं दिया
2017 में SRL आँकड़े एंड्रॉयड प्रणाली हर सुरक्षा अद्यतन, 1200 हैंडसेट से अधिक एक दर्जन से अधिक स्मार्ट फोन निर्माताओं से परीक्षण फर्मवेयर, गूगल, सैमसंग, मोटोरोला, एचटीसी और अन्य मुख्यधारा Android मोबाइल फोन निर्माताओं और जेडटीई से इन उपकरणों, उभरते निर्माता TCL, और पाया कि, Google की अपनी पिक्सेल और पिक्सेल 2 अन्य मॉडलों के अलावा, यहां तक कि शीर्ष अंतरराष्ट्रीय निर्माताओं कभी कभी स्थापित करने के लिए उत्पाद के लिए एक पैच वास्तव में अद्यतन जारी नहीं किया गया है नाटक किया। दूसरे और तीसरे स्तर निर्माता का रिकॉर्ड भी बदतर है
Nohl ने कहा कि यह एक और अधिक गंभीर परिणाम अद्यतन व्यवहार देने के लिए की तुलना में, और स्मार्ट फोन एक सामान्य घटना बन गया है। वास्तव में, मामले में उपयोगकर्ता कमजोरियों को सुधारने के लिए उपयोगकर्ताओं को एक बनाने के लिए किसी भी कार्रवाई नहीं की है बता । सुरक्षा Nohl की 'असत्य' भावना की तरह ने कहा: 'हम कई विक्रेताओं कुछ पैच स्थापित नहीं किया पाया है, लेकिन अंतिम संशोधित तिथि सिस्टम अपडेट है, जो भ्रामक है, लेकिन आम नहीं एक जानबूझकर है।'
Nohl का मानना है कि अधिक सामान्य स्थिति कुछ अप्रत्याशित याद आती है एक या दो पैच अद्यतन की वजह से लेकिन एक अलग मॉडल है जो विभिन्न स्थितियों में दिखाई दिया है में, इस तरह सोनी या सैमसंग की शीर्ष निर्माताओं के रूप में है: उदाहरण के लिए, सैमसंग गैलेक्सी 2016 मॉडल J5 मॉडल, यह बहुत स्पष्ट रूप से उपयोगकर्ता क्या पैच स्थापित किया गया है, जो पैच अपडेट नहीं होने पर बता देंगे, लेकिन गैलेक्सी जे 3 2016 मॉडल के शरीर, सैमसंग का दावा है कि सभी पैच जारी किया गया है, लेकिन अभी भी एक जांच के बाद 12 महत्वपूर्ण पाया याद आ रही है अपडेट
'ध्यान में रखते हुए इस एक पीछे हटने का मॉडल मतभेद है, तो उपयोगकर्ता को समझने के लिए क्या वास्तव में ही जो अद्यतन स्थापित कर रहे हैं लगभग असंभव है,' Nohl कहा। पारदर्शिता की इस स्थिति पैच अद्यतन कमी से निपटने के लिए SRL लैब्स भी एक के लिए जारी की अपने एंड्रॉयड प्लेटफॉर्म अनुप्रयोगों को अद्यतन SnoopSnitch, उन सुरक्षा अद्यतन की सही स्थिति को देखने के लिए किसी भी समय अपने फोन कोड दर्ज कर सकते हैं।
अलग विक्रेताओं
प्रत्येक विक्रेता के उत्पाद मूल्यांकन करने के बाद, SRL लैब्स इस निम्न चार्ट्स का एक सेट का उत्पादन किया, स्मार्ट फोन निर्माताओं प्रचार के प्रत्येक डिग्री और 2017 में स्थापित पैच की वास्तविक संख्या के लिए वर्गीकरण मैच के आधार पर तीन श्रेणियों में विभाजित मॉडल या अक्टूबर 2017 में कम से कम एक बार अपडेट प्राप्त बाद में, ज्वार, बाजरा सहित, नोकिया, 1-3 पैच की 'लापता' औसत और एचटीसी, मोटोरोला, एलजी और Huawei सहित प्रमुख एंड्रॉयड निर्माताओं, 3 है 4 पैच 'खो' के लिए, टीसीएल और जेडटीई ने पिछले स्थान पर खो दिया पैच की संख्या 4 से अधिक थी। गूगल, सोनी, सैमसंग इत्यादि द्वारा याद किए गए पैच अपडेट की संख्या 1 से कम या उसके बराबर है।
SRL यह भी कहा कि चिप आपूर्तिकर्ताओं इस तरह सैमसंग की चिप मॉडल के उपयोग के रूप लापता पैच, के लिए एक कारण है शायद ही कभी चुपचाप अद्यतन पर ध्यान नहीं दिया समस्याओं, और उपयोग MediaTek चिप उपकरण, अप करने के लिए 9.7 पैच के एक औसत हानि के साथ की है। कुछ मामलों में , सबसे सस्ता चिप के प्रयोग की वजह से होने की संभावना है, लापता पैच भी अधिक की संभावना। एक और मामला है क्योंकि चिप स्तर में खामियों की, बल्कि व्यवस्था के स्तर की तुलना में, चिप निर्माता पर भरोसा करने के लिए आगे पूरा हो जाएगा तो हैंडसेट निर्माताओं लो-एंड चिप आपूर्तिकर्ताओं से अपडेट किए गए परिणाम, हमारे सत्यापन के बाद खरीद सस्ते स्मार्ट फोन भी 'लापता पैच' समस्या बनी रहती है। 'अगर आप एक सस्ता उत्पाद चुनते हैं तो Android पारिस्थितिकी तंत्र, यह एक कम सम्मानित स्थिति में होगा। 'नोहल ने कहा।
"कनेक्टिंग" पत्रिका ने Google से संपर्क किए जाने के बाद, Google ने SRL के शोध की सराहना की, लेकिन जवाब दिया कि SRL द्वारा विश्लेषण किए गए कुछ उपकरणों को एंड्रॉइड द्वारा प्रमाणित नहीं किया जा सकता है, जिसका अर्थ है कि वे Google के सुरक्षा मानक द्वारा सीमित नहीं हैं कहा एंड्रॉयड स्मार्टफोन, सुरक्षा सुविधाओं है भी पैच के अभाव में, सुरक्षा कमजोरियों दरार करना मुश्किल है। कुछ मामलों में, 'पैच लापता' मुद्दों कारण होगा क्यों, सिर्फ इसलिए कि कुछ मोबाइल फोन निर्माताओं कमजोर सुविधाओं को मरम्मत की बजाय आसानी से हटा दिया जाता है, या कुछ फ़ोनों में यह सुविधा पहले स्थान पर नहीं होती है
गूगल ने कहा कि यह SRL लैब्स के साथ सहयोग करेंगे, आगे में गहराई से जांच के Android डिवाइस को सुरक्षित करने के सुरक्षा अद्यतन के कई स्तरों में से एक है, 'स्कॉट रॉबर्ट्स एंड्रॉयड उत्पाद सुरक्षा निदेशक "कनेक्शन" पत्रिका पर एक बयान जारी किया।' सिस्टम में निर्मित मंच इस तरह के आवेदन सैंडबॉक्सिंग और Google Play को सुरक्षित रखें सुरक्षा सेवाओं समान रूप से महत्वपूर्ण हैं के रूप में सुरक्षा प्रणालियों,। इन बहु स्तरीय सुरक्षा उपायों,, Android पारिस्थितिकी तंत्र की विविधता के साथ मिलकर इतना शोधकर्ताओं के निष्कर्ष पर पहुंचा है कि Android उपकरणों दूर से विकास अभी भी चुनौतियों से भरा है। '
कमजोर पैच निष्कर्ष लापता की वजह से समारोह को हटाने की वजह से निर्माताओं के लिए गूगल के जवाब में, Nohl मुकाबला किया कि इस स्थिति, आम नहीं है संभावना महान नहीं है।
लापता पैच का सीमित प्रभाव
हैरानी की बात है, हालांकि, यह है कि, Nohl गूगल का एक और संस्करण के लिए सहमत हैं है: लापता पैच के उपयोग के माध्यम Android फोन पर हमलों, वास्तव में, एक आसान बात नहीं है और यहां तक कि कुछ अद्यतन नहीं पैच एंड्रॉयड फोन प्रणाली अधिक व्यापक है। सुरक्षा उपायों की सुरक्षा के तहत, मैलवेयर अभी भी कमजोरियों का शोषण करने में कठिनाई कर रहा है, जैसे सैंडबॉक्स जो एंड्रॉइड 4.0 लॉलीपॉप में दिखना शुरू हो गए थे, डिवाइसों तक पहुँचने वाले दुर्भावनापूर्ण प्रोग्रामों की संभावना को सीमित करते हैं।
इसका मतलब यह है कि ज्यादातर अगर हैकर्स एक तथाकथित 'बचाव' का उपयोग Android उपकरणों के नियंत्रण पाने के लिए खामियों की एक श्रृंखला है, न कि सिर्फ इसलिए कि एक पैच की कमी है और एक सफल हमले Nohl कहा की उपयोग करने की आवश्यकता: 'यहां तक कि याद आती है, तो कुछ पैच, अभी भी उनमें से अधिकांश हमलों का सामना करने के लिए अन्य सुरक्षा विशेषताओं पर भरोसा कर सकते हैं। '
इसलिए, Nohl कहा, Android उपकरणों के लिए आसान और अधिक आसान तरीका में से कुछ, इस तरह Google Play स्टोर या एप्लिकेशन स्टोर आवेदन अनौपचारिक Nohl में स्थापित में प्रदर्शित होने के उन लोगों के रूप दुर्भावनापूर्ण अनुप्रयोगों, दरार ने कहा: 'उन पायरेटेड सॉफ्टवेयर या दुर्भावनापूर्ण स्थापित करने के लिए अधिक संभावना है हैकर्स के लिए एक लक्ष्य बन जाते हैं। '