ボックスのセキュリティカンファレンスで、セキュリティ研究会社の研究者カルステンNohlとヤコブLellハックが開催されたアムステルダムで導入された、彼らは、市場での最後の2年間のAndroidスマートフォンのオペレーティングシステムコードの数百人のための逆張り分析した上で詳細に説明しますいくつかのケースでは、いくつかのメーカーは、すべてのユーザーが特定のリリース日のセキュリティパッチがインストールされている通知されますが、実際にこのサービスを提供していません:各機器は、実際にインストールされたセキュリティパッチは、彼らが「パッチドアいわゆる」ことがわかっ研究されていますそれはただの偽の通知なので、これらのデバイスはハッカーにとって非常に脆弱です。
「私たちは、実際の修理やベンダーが修正された脆弱性の数に差がある完了したと主張することがわかった。」有名なセキュリティ研究者、SRL創業者のNohl表現を。彼は、最悪のシナリオの下で、Androidの携帯電話メーカーが意図的に最後の機器を改ざんすることを言いましたバグは時間が修正されています。「いくつかのメーカーがパッチ未適用の日付システムの更新の場合に変更されます。マーケティング上の理由から、彼らはちょうどパッチのインストール日が特定の時刻に設定されているが、それの追求は非常に安全に見えます。」
選択的に無視する
2017年SRLの統計情報Androidシステムのすべてのセキュリティ更新プログラムは、Google、サムスン、モトローラ、HTCや他の主流のAndroid携帯電話メーカーとZTEから1200台の携帯電話、これらのデバイスの上にダース以上のスマートフォンメーカーからテストファームウェア、メーカーTCL新興、およびGoogleの自画素と画素2つの他のモデルに加えて、でも国際的なトップメーカーが時々製品のパッチをインストールするふり、ことがわかったが、実際にアップデートをリリースしていません。2番目と3番目の層レコード会社はさらに悪くなります。
Nohlが、これは更新動作を与えるために、そしてスマートフォンが一般的な現象となっている以上に深刻な結果であることを指摘した。実際には、場合にユーザーは、ユーザーが作成するための脆弱性を修復するために、任意のアクションを取られていない伝えます。セキュリティNohlの「偽の」感覚の種類は言った:「我々はいくつかのベンダーが、いくつかのパッチをインストールしていない見つけましたが、一般的な意図的欺瞞的ではなく、最終更新日時システムの更新、」
例えば、サムスンギャラクシー2016年モデル:Nohlは、より一般的な状況があるため、いくつかの予期せぬミス1または2つのパッチアップデートのが、さまざまな状況に登場している別のモデルでは、ソニーやサムスンのトップメーカーとしてであると考えていますJ5のモデルは、それは非常に明確にパッチが更新されていないパッチがインストールされているものをユーザーに、教えてくれますが、ギャラクシーJ3 2016年モデルのボディは、サムスンはすべてのパッチがリリースされていることを主張したが、調査は12クリティカルた後、まだ不足していますアップデート。
「これは劣性モデルの違いで考えると、ユーザーが実際に更新がインストールされている所有かを理解することはほとんど不可能である、」Nohlは言った。透明度のこのような状況のパッチ更新の不足に対処するために、SRL LabsはまたのためにリリースそのAndroidプラットフォームのアプリケーションを更新SnoopSnitch、ユーザーは、セキュリティ更新プログラムの真の状態を確認するために、いつでも自分の携帯電話のコードを入力することができます。
異なるベンダーの異なる状況
各ベンダーの製品を評価した後、SRL Labs社は、この下のチャートのセットを生産し、スマートフォンのメーカーが宣伝の各度と2017年にインストールされたパッチの実際の数の分類の一致に基づいて3つのカテゴリに分類しますモデルはキビを含め、後から2017年10月に少なくとも一度アップデートを受け取るかを含め、ノキア、「行方不明」1-3パッチの平均、およびHTC、モトローラ、LGとHuawei社などの主要なAndroidのメーカーは、3を持っています4つのパッチに「失われた」、TCLとZTEは、パッチの数が4以上が欠落し、最後にランク。とGoogle、ソニー、サムスンなど1以下アップデートパッチ番号を欠場。
SRLは、チップのサプライヤーは、そのようなことはほとんど最大9.7パッチの平均損失に問題黙って無視アップデート、および使用メディアテックチップ機器を、持っていないサムスンのチップモデルの使用などの不足しているパッチ、の理由であることを指摘した。いくつかのケースでは別のケースではなく、システム・レベルよりも、理由はチップレベルの抜け穴である可能性が高いので安くチップ、不足しているパッチの確率がさらに高いの使用。、チップメーカに依存するので、携帯電話メーカーは、さらに完了しますローエンドのチップサプライヤーから更新された結果は、安価なスマートフォンを購入するも、「不足しているパッチの問題を続けています。」私たちの検証の後、あなたは安い製品を選択した場合は、Androidのエコシステム、それはあまり尊敬されない立場にあるだろう」とノールは語った。
「接続」誌の接触ではGoogleのGoogleはSRLの研究のために感謝の意を表明し、彼らは、Googleの安全基準によって限定されるものではなく、意味の機器SRL分析の一部は、Androidシステムの認証を通過しないかもしれないことを指摘するために同じ時間応答、で。グーグル後割れすることは困難であるAndroidのスマートフォンは、さえパッチが存在しない場合には、セキュリティの脆弱性をセキュリティ機能を持っていると述べた。いくつかのケースでは、問題を「行方不明のパッチは、ただ一部の携帯電話メーカーので、理由になります脆弱な機能は修復されずに単に削除されるか、最初にこの機能が搭載されていない電話があります。
Googleはスコット・ロバーツのAndroid製品安全監督が「接続」誌に声明を発表した「Androidデバイスやユーザーを保護するためのセキュリティアップデートの多くのレベルの一つである」綿密な調査はさらに、それはSRL研究所に協力すると述べた。「システム内蔵のプラットフォームこのようなアプリケーションのサンドボックスやGoogleなどの保護システムは、セキュリティサービスを保護再生も同様に重要です。Androidのエコシステムの多様性と相まってこれらのマルチレベルのセキュリティ対策、研究者がリモートからAndroidデバイスの結論になってきたので、開発には依然として課題がたくさんあります。
Nohl氏は、脆弱な機能の削除により、ベンダーにパッチが紛失していたというGoogleの結論に応えて、この状況は一般的ではなく、発生確率は高くないと反論した。
パッチの欠落による影響の制限
しかし、驚くべきことに、それはNohlをGoogleの別のバージョンが同意、ということである:欠落しているパッチを使用することにより、Android携帯電話上の攻撃は、実際には、簡単なことではありませんし、さらにいくつかが更新されていないパッチのAndroid携帯電話システムは、より広範です。セキュリティ対策の下で、マルウェアは、Android 4.0 Lollipopに登場するようになったサンドボックスなどの脆弱性を悪用して悪質なプログラムがデバイスにアクセスする可能性を制限しています。
これは、ハッカーがAndroidデバイスの制御を取得するために、いわゆる「抜け穴」を使用する場合、ほとんどは抜け穴のシリーズを使用する必要があることを意味していないという理由だけで、パッチの欠如と攻撃が成功のNohlは言った。「でも、ミス場合一部のパッチは、ほとんどの攻撃に対して防御するためにシステムの他のセキュリティ機能に依存しています。
したがって、Nohlは言った、Androidデバイスは、より簡単に、より簡単な方法のいくつかをクラックするために、そのような非公式NohlにインストールGoogle PlayストアやApp Storeのアプリケーションに表示されているような悪質なアプリケーションは、言った:「ユーザーが海賊版ソフトウェアや悪意のあるをインストールしますハッカーのターゲットになる方が簡単です。