alla conferenza di sicurezza di sicurezza, i ricercatori società di ricerca di sicurezza Karsten Nohl e Jakob Lell Hack introdotte ad Amsterdam svolgono, sono stati l'analisi contrarian per le centinaia di Android codice del sistema operativo per smartphone ultimi due anni sul mercato, dettagliate su ogni pezzo di patch di sicurezza di apparecchiature effettivamente installati sono stati studiati hanno scoperto che il cosiddetto "patch porta ': in alcuni casi, alcuni produttori notificherà a tutti gli utenti hanno una patch di sicurezza data di uscita specifici installati, ma in realtà non forniscono questo servizio solo un falso di notifica, per cui questi dispositivi sono molto vulnerabili agli attacchi degli hacker.
'Abbiamo scoperto che la riparazione reale e vendor sostengono di aver completato v'è una differenza tra il numero di vulnerabilità corrette.' I ricercatori di sicurezza di fama, SRL rappresentazione fondatore Nohl. Ha detto che sotto la peggiore delle ipotesi, i produttori di telefoni Android deliberatamente manomissione attrezzature di ultima È ora di correggere la vulnerabilità. "Alcuni fornitori modificheranno la data di aggiornamento del sistema senza patch: per ragioni di marketing, impostano semplicemente la data di installazione della patch in un momento specifico, solo per sembrare sicuri".
Ignorare selettivamente
SRL ha contato tutti gli aggiornamenti di sicurezza del sistema Android nel 2017 e ha testato il firmware di oltre 1200 smartphone di oltre una dozzina di produttori di smartphone, prodotti dai principali produttori di telefoni Android come Google, Samsung, Motorola e HTC, oltre a ZTE. TCL e altri produttori emergenti hanno scoperto che, oltre a Pixel e Pixel 2 di Google e altri modelli, a volte persino i maggiori produttori internazionali hanno mentito di aver installato un aggiornamento patch che non è stato effettivamente rilasciato. Il record del produttore è persino peggiore.
Nohl ha sottolineato che si tratta di un comportamento più serio che rinunciare alle conseguenze degli aggiornamenti ed è diventato un fenomeno comune nel settore degli smartphone, infatti non ha intrapreso alcuna azione per dire agli utenti di correggere le scappatoie e creare un Questo tipo di senso di sicurezza "falso" Nohl ha detto: "Abbiamo scoperto che diversi fornitori non hanno installato alcune patch, ma hanno cambiato la data dell'ultimo aggiornamento del sistema: si tratta di un inganno intenzionale ma non universale".
Nohl crede che la situazione più comune sia che i principali fornitori come Sony o Samsung perdano uno o due aggiornamenti patch a causa di alcuni incidenti, ma diversi modelli hanno situazioni diverse: ad esempio, Galaxy 2016 di Samsung Il modello J5 dirà chiaramente all'utente quali patch sono state installate e quali non sono state aggiornate.Tuttavia, nel Galaxy J3 del 2016, Samsung ha affermato che tutte le patch sono state rilasciate, ma il sondaggio ha rilevato che mancano ancora 12 chiavi. L'aggiornamento
"Dato che si tratta di una differenza di modello nascosta, è quasi impossibile per gli utenti capire quali aggiornamenti hanno effettivamente installato", ha affermato Nohl. Per risolvere la mancanza di trasparenza nell'aggiornamento delle patch, SRL Labs ha anche rilasciato un L'aggiornamento dell'app SnoopSnitch per piattaforma Android consente agli utenti di immettere il proprio codice di telefonia mobile per verificare lo stato attuale dell'aggiornamento della sicurezza in qualsiasi momento.
Venditori diversi
Dopo aver valutato i prodotti di ciascun fornitore, SRL Labs ha prodotto la seguente serie di grafici, che classificano i produttori di smartphone in tre categorie: la classificazione si basa sul grado corrispondente del rispettivo numero di patch esterne e installazioni effettive nel 2017. , Inclusi i modelli che hanno ricevuto almeno un aggiornamento a ottobre 2017 o versioni successive.I principali fornitori di Android, tra cui Xiaomi, Nokia, hanno una media di 1-3 patch "persi", mentre HTC, Motorola, LG e Huawei ne hanno 3 Alla quarta patch 'lost', TCL e ZTE classificate per ultime, il numero di patch perse ha superato 4. Il numero di aggiornamenti patch persi da Google, Sony, Samsung, ecc. È inferiore o uguale a 1.
SRL ha anche sottolineato che i fornitori di chip sono una delle ragioni della mancanza di patch: ad esempio, i modelli che utilizzano chip Samsung raramente hanno problemi a ignorare tranquillamente gli aggiornamenti, mentre i dispositivi che utilizzano i chip MediaTek hanno una patch mancante media di 9.7. , è probabile che a causa dell'uso di chip più economici, la probabilità di patch mancanti sia più alta, inoltre le falle appaiono a livello di chip e non a livello di sistema, quindi i produttori di cellulari si affidano ai fornitori di chip per completare ulteriormente Aggiornamento: il risultato è che gli smartphone meno costosi che generano chip da fornitori di fascia bassa continuano il problema della "mancanza di patch". "Dopo la verifica, se si sceglie un prodotto più economico, nell'ecosistema Android, Sarà in una posizione meno rispettata. "Disse Nohl.
Nel "Connessione" contatto magazine Google dopo che Google ha espresso apprezzamento per la ricerca della SRL, ma allo stesso tempo rispondere a sottolineare che alcune delle analisi Equipment Srl non può passare Android del sistema di certificazione, il che significa che non sono limitati per gli standard di sicurezza di Google. Google detto smartphone Android hanno caratteristiche di sicurezza, anche in assenza della patch, vulnerabilità di sicurezza è difficile da decifrare., in alcuni casi, 'patch mancante' problemi sarà il motivo per cui, solo perché alcuni produttori di telefoni cellulari funzione vulnerabili semplicemente rimosso, piuttosto che riparare, o alcuni telefoni, in via preliminare non hanno questa caratteristica.
Google ha detto che avrebbe collaborato con SRL Labs, ulteriormente approfondita indagine 'è uno dei molti livelli di aggiornamenti di sicurezza per proteggere i dispositivi e gli utenti Android,' Scott Roberts Android direttore della sicurezza dei prodotti ha rilasciato una dichiarazione sulla rivista "Connessione". 'Sistema Piattaforma integrata sistemi di protezione, come il sandboxing delle applicazioni e Google Play proteggere i servizi di sicurezza sono ugualmente importanti. queste misure di sicurezza multi-livello, insieme con la diversità dell'ecosistema Android, per cui i ricercatori sono giunti alla conclusione che i dispositivi Android da remoto lo sviluppo è ancora pieno di sfide '.
In risposta a Google per i produttori a causa della rimozione della funzione vulnerabili causato dalla patch mancanti conclusione, Nohl replicato che questa situazione non è comune, la probabilità non è grande.
patch mancanti impatto limitato
Sorprendentemente, però, è che, Nohl un'altra versione di Google è d'accordo: attacchi ai telefoni Android attraverso l'utilizzo di patch mancanti, infatti, non è una cosa facile e le patch, anche alcuni non ha aggiornato il sistema di telefono Android è più ampia. nel quadro di misure di sicurezza per proteggere il malware è ancora difficile fare uso di scappatoie, come ha cominciato ad emergere dal Android 4.0 Lollipop sandbox e altre funzioni, limitando la probabilità di programmi maligni per accedere al dispositivo.
Ciò significa che la maggior parte degli hacker che utilizzano determinate cosiddette "vulnerabilità" per ottenere il controllo di un dispositivo Android devono sfruttare una serie di vulnerabilità, non solo perché manca una patch e l'attacco ha esito positivo Nohl ha dichiarato: "Anche se è mancato Alcune patch si basano ancora sulle altre funzionalità di sicurezza del sistema per difendersi dalla maggior parte degli attacchi.
Pertanto, Nohl ha affermato che i dispositivi Android sono più facili da decifrare in alcuni modi più semplici, come quelli che appaiono nel Google Play Store o nelle app installate in app store non ufficiali Nohl ha dichiarato: "Gli utenti hanno installato software piratato o malevolo. , è più facile essere un bersaglio per gli hacker.