암스텔담에서 개최 된 Hack in the Box 보안 컨퍼런스에서 보안 연구의 Karsten Nohl과 Jakob Lell 연구원은 지난 2 년 간 판매 된 수백 개의 Android 스마트 폰에 대한 운영 체제 코드의 역 분석을 도입했습니다. 장비 실제로 설치된 보안 패치의 각 부분들이 발견 연구 된 "패치 문 소위 ': 경우에 따라, 일부 제조 업체는 모든 사용자가 설치 한 특정 출시일 보안 패치가 통지되지만, 실제로이 서비스를 제공하지 않습니다 , 그것은 가짜 알림이므로 이러한 장치는 해커에게 매우 취약합니다.
'우리는 실제 수리 및 공급 업체가 고정 된 취약점의 수 사이에 차이가 완료 주장하는 것을 발견했다.'유명한 보안 전문가, SRL 설립자 NOHL의 표현을. 그는 최악의 시나리오에서, 안드로이드 전화 제조 업체가 의도적으로 마지막으로 장비를 조작했다 취약점을 수정해야 할 때가 있습니다. "일부 공급 업체는 패치를 적용하지 않고 시스템 업데이트 날짜를 변경합니다. 마케팅 목적으로 패치를 설치 한 날짜를 특정 시간으로 설정하여 안전성을 확인했습니다.
선택 적으로 무시하십시오.
2017 년 SRL 통계 안드로이드 시스템의 모든 보안 업데이트, 1200 개 단말기를 통해 십여 스마트 폰 업체들의 테스트 펌웨어, 구글, 삼성, 모토로라, HTC 등 주요 안드로이드 휴대 전화 제조 업체와 ZTE에서 이러한 장치, 구글의 자신의 픽셀과 픽셀이 개 다른 모델뿐만 아니라, 심지어 최고 국제 제조 업체는 때때로 제품에 대한 패치가 실제로 업데이트를 출시되지 않은 설치 척, 해당 제조업체 TCL 신흥 발견. 두 번째와 세 번째 계층 제조업체의 기록은 더욱 심각합니다.
NOHL는이 업데이트 동작을 제공하고, 스마트 폰은 일반적인 현상이되었다보다 더 심각한 결과라고 지적했다. 사실,이 경우 사용자가 사용자가를 만드는 데에 대한 취약성을 복구하는 조치를 수행하지 않은 이야기 노울 (Nohl)은 "몇몇 벤더가 패치를 설치하지는 않았지만 시스템의 최종 업데이트 날짜를 변경했다"고 밝혔다. 이것은 의도적 인기만이지만 보편적 인 것은 아니다.
노힐 (Nohl)은 소니 나 삼성과 같은 톱 벤더들은 사고로 인해 하나 또는 두 개의 패치 업데이트를 놓칠 것이라는 일반적인 상황이 있다고 생각한다. 그러나 다른 모델은 상황이 다르다 : 예를 들어 삼성의 2016 갤럭시 J5 모델은 매우 명확 패치가 업데이트되지 않은 패치가 설치되어있는 것을 사용자를 말할 것이다,하지만 갤럭시 J3 2016 모델의 몸은, 삼성은 모든 패치가 릴리스되었습니다 주장하지만, 조사가 12 중요한 발견 후 아직 행방 불명입니다 업데이트.
노렐 (Nohl)은 "이것이 모델의 숨겨진 차이점을 감안할 때 사용자가 실제로 어떤 업데이트를 설치했는지 이해하는 것은 거의 불가능하다"고 덧붙였다. Android 플랫폼 용 SnoopSnitch 앱을 업데이트하면 사용자는 휴대 전화 코드를 입력하여 언제든지 보안 업데이트의 실제 상태를 확인할 수 있습니다.
다른 공급 업체
각 공급 업체의 제품을 평가 한 후, SRL 랩이 아래 차트의 세트를 제작, 스마트 폰 제조 업체는 선전의 각 학위와 2017 년 설치된 패치의 실제 수에 대한 분류 경기에 따라 세 가지 범주로 나누어 모델은 기장을 포함하여, 10 월 이후 2017 년에 한 번 이상 업데이트를 수신하거나 포함, 노키아, '실종'1-3 패치의 평균과 HTC, 모토로라, LG와 화웨이를 포함한 주요 안드로이드 제조사들은 3가 4 개의 패치 '분실', TCL 및 ZTE가 마지막으로 순위가 매겨지면 잃어버린 패치의 수가 4를 초과했습니다. Google, Sony, Samsung 등이 누락 한 패치 업데이트의 수는 1보다 작거나 같습니다.
SRL은 칩 공급 업체가 삼성의 칩 모델의 사용과 같은 실종 패치에 대한 이유는 지적 거의 최대 9.7 패치의 평균 손실이 자동으로 업데이트를 무시 문제점 및 사용 텍 칩 장비를이 없다. 어떤 경우에는 때문에 싼 칩의 사용 가능성이 누락 된 패치 더 높은 확률은. 또 다른 경우는 더욱 완료됩니다 칩 메이커에 의존하는 것이 아니라 시스템 레벨보다, 때문에 칩 레벨에서 허점 때문에 휴대폰 제조 업체입니다 저가형 칩 공급 업체에서 업데이트 된 결과는 싼 스마트 폰도 '실종 패치'문제를 계속 구입할 수 있습니다. '우리의 검증 후, 당신은 더 싼 제품을 선택한 경우, 다음 안드로이드 생태계, 그것은 덜 존중받는 위치에있게 될 것입니다. 'Nohl이 말했다.
"연결"잡지 접촉에서 구글 구글은 SRL의 연구에 대한 감사를 표하지만, 그들은 구글의 안전 기준에 의해 제한되지 의미 장비 SRL 분석 중 일부는 안드로이드 시스템 인증을 통과하지 수 있음을 지적하는 동시에 응답,시. 구글 후 보안 취약점이 균열하기 어려운 안드로이드 스마트 폰에도 패치가없는 경우, 보안 기능을 가지고있다. 어떤 경우에는, 이유가 될 것이다 문제를 '실종 패치'왜 그냥 휴대 전화 제조 업체 때문에 취약한 기능은 수리하지 않고 단순히 제거하거나 일부 전화기에는이 기능이 없습니다.
구글은 '안드로이드 기기와 사용자를 보호하기 위해 보안 업데이트의 여러 단계 중 하나 인'스콧 로버츠 안드로이드 제품 안전 감독 '. "연결"잡지에 시스템을 성명을 발표 내장 된 플랫폼은 조사가 더 깊이있는, SRL 연구소와 협력 것이라고 말했다 이러한 응용 프로그램 샌드 박스와 구글 보안 서비스가 똑같이 중요 보호 플레이로 보호 시스템. 연구자들은 결론에 도달했다, 그래서 안드로이드 생태계의 다양성과 함께 이러한 멀티 레벨 보안 조치, 즉 안드로이드 장치를 원격으로 개발은 여전히 도전으로 가득차 있습니다. '
Nohl은 취약한 기능의 제거로 인해 해당 공급 업체가 패치를 누락했다는 Google의 결론에 따라이 상황이 일반적이지 않으며 발생 확률이 높지 않다고 격찬했습니다.
누락 된 패치의 영향 최소화
놀랍게도, 그러나, NOHL 구글의 또 다른 버전이 동의한다는 것입니다 : 실종 패치의 사용을 통해 안드로이드 폰에 대한 공격은, 사실, 쉬운 일이 아니며, 심지어는 업데이트되지 패치 안드로이드 전화 시스템은 더 광범위하다. 보안 대책의 보호 아래 악성 프로그램은 여전히 Android 4.0 Lollipop에 표시되기 시작한 샌드 박스와 같은 취약점을 악용하여 악성 프로그램이 기기에 액세스 할 가능성을 제한합니다.
'비록 미스 경우 : 이것은 해커가 안드로이드 기기의 제어를 얻기 위해 소위'허점 '을 사용하는 대부분의 경우에 허점 일련 때문에 패치의 부족 NOHL 말했다 성공적인 공격의 단지를 사용할 필요가 있음을 의미 일부 패치는 여전히 시스템의 다른 보안 기능에 의존하여 대부분의 공격을 방어합니다.
따라서, NOHL 말했다 쉽게 안드로이드 장치가 더 간단한 방법의 일부, 같은 비공식 NOHL에 설치된 Google Play 스토어 또는 앱 스토어 응용 프로그램에 나타나는 것과 같은 악성 응용 프로그램을, 균열 말했다 : '사용자가 불법 복제 소프트웨어 나 악의를 설치 해커의 목표가되는 것이 더 쉽습니다.