na conferência de segurança Box, de investigação sobre segurança pesquisadores da empresa Karsten Nohl e Jakob Lell Corte introduzido em Amsterdam realizada, eles foram a análise contrária para as centenas de código do sistema operacional para smartphones Android últimos dois anos no mercado, detalhado na cada peça de patches de segurança do equipamento instalado na verdade têm sido estudados eles descobriram que os chamados "patches de porta ': em alguns casos, alguns fabricantes irá notificar todos os usuários tenham um patches de segurança data específica de lançamento instalados, mas na verdade não fornecer este serviço É apenas uma notificação falsa, então esses dispositivos são muito vulneráveis a hackers.
'Descobrimos que a reparação e fornecedores real afirmam ter concluído que há uma diferença entre o número de vulnerabilidades corrigidas.' Pesquisadores de segurança de renome, SRL representação fundador Nohl. Ele disse que sob o cenário de pior caso, os fabricantes de telefones Android se mexendo deliberadamente com equipamentos de última Hora de corrigir a vulnerabilidade. "Alguns fornecedores alterarão a data de atualização do sistema sem correção. Por motivos de marketing, eles apenas definem a data de instalação do patch para um horário específico, apenas para parecer seguro."
Ignorar seletivamente
SRL estatísticas sistema Android em 2017 a cada atualização de segurança, firmware teste de mais de uma dúzia de fabricantes de celulares inteligentes mais de 1200 aparelhos, estes dispositivos do Google, Samsung, Motorola, HTC e outros fabricantes de telefones celulares Android tradicionais e ZTE, fabricante TCL emergente, e descobriu que, além de próprias pixel e pixel 2 outros modelos do Google, até mesmo os principais fabricantes internacionais às vezes fingia instalar um patch para o produto não for realmente liberado atualização. a segunda e terceira divisão O registro do fabricante é ainda pior.
Nohl apontam para que este é um conseqüências mais graves do que para dar o comportamento de atualização, e o telefone inteligente tornou-se um fenômeno comum. Na verdade, no caso informar o usuário não tenha tomado qualquer ação para reparar as vulnerabilidades para os usuários a criar um . tipo de sentido 'falso' de segurança Nohl disse: 'encontramos vários fornecedores não instalar alguns patches, mas a última atualização do sistema data modificada, que é um deliberadamente enganosa, mas não é comum.'
Nohl acredita que situação mais comum é como principais fabricantes da Sony ou Samsung, por causa de alguma falta inesperada de um ou dois patches de atualização, mas em um modelo diferente que tem aparecido em diferentes situações: por exemplo, os modelos Samsung Galaxy 2016 modelos J5, ele vai dizer muito claramente ao usuário o que o patch foi instalado, o que patch não é atualizado, mas o corpo dos 2016 modelos Galaxy J3, Samsung afirma que todos os patches foram lançados, mas ainda está faltando após uma investigação descobriu 12 crítica A atualização
'Considerando que este é um recessivos diferenças modelo, o usuário é quase impossível entender o que realmente possuir quais atualizações são instaladas', disse Nohl. Para resolver esta atualização falta de patch situação de transparência, SRL Labs também lançou um A atualização do aplicativo SnoopSnitch para a plataforma Android permite que os usuários insiram o código do celular para verificar o status atual da atualização de segurança a qualquer momento.
Fornecedores diferentes
Depois de avaliar o produto de cada fornecedor, SRL Labs produziu um conjunto de gráficos abaixo disso, os fabricantes de telefones inteligentes divididos em três categorias com base no jogo de classificação para cada grau de propaganda e o número real de manchas instalado em 2017 incluindo modelos receber atualizações pelo menos uma vez outubro de 2017 ou mais tarde, incluindo milho, os principais fabricantes do Android, incluindo Nokia, uma média de 1-3 remendos 'desaparecidos', e HTC, Motorola, LG e Huawei tem 3 quatro patches de 'Lost', TCL e ZTE ficou em último, o número de patches faltando mais de quatro. e Google, Sony, Samsung e assim perder o número atualização do patch menor ou igual a 1.
SRL também apontou que fornecedores de chips é uma razão para correções ausentes, tais como o uso de modelos de chips da Samsung raramente têm problemas atualizações silenciosamente ignorados, eo uso MediaTek equipamentos de chip, com uma perda média de até 9,7 patch. Em alguns casos , provavelmente por causa do uso de chips mais baratos, a probabilidade de correções ausentes ainda maiores. Outro caso é por causa de brechas no nível do chip, ao invés do nível de sistema, então os fabricantes de celulares para contar com fabricante de chips irá completar mais resultados atualizados dos fornecedores de chips low-end comprar telefone inteligente barato também continua o problema 'correções ausentes'.' após nossa verificação, se você escolheu um produto mais barato, em seguida, o ecossistema Android, ele vai estar em uma posição relativamente negligenciada. 'representação Nohl.
Depois que a revista "Connecting" entrou em contato com o Google, o Google apreciou a pesquisa da SRL, mas respondeu que alguns dos dispositivos analisados pela SRL podem não ser certificados pelo Android, o que significa que eles não são limitados pelos padrões de segurança do Google. Como os smartphones Android têm recursos de segurança, mesmo na ausência de patches, as vulnerabilidades de segurança também são difíceis de serem quebradas, e em alguns casos, o problema de "perda de patches" ocorre porque os fabricantes de telefones celulares só Recursos vulneráveis são simplesmente removidos em vez de reparados, ou alguns telefones não têm esse recurso em primeiro lugar.
O Google disse que vai cooperar com a SRL Labs para realizar investigações mais aprofundadas. "Atualizações de segurança são um dos muitos níveis de proteção para dispositivos e usuários Android", disse Scott Roberts, chefe de segurança de produtos Android, em uma declaração na revista Wired. Sistemas de proteção, como caixas de proteção de aplicativos e serviços de segurança do Google Play Protect, são igualmente importantes.Estas abordagens de segurança em várias camadas, juntamente com a diversidade do ecossistema Android, levaram os pesquisadores a concluir que os dispositivos Android são remotos O desenvolvimento ainda está cheio de desafios.
Em resposta à conclusão do Google de que o fornecedor estava faltando patches devido à remoção de recursos vulneráveis, Nohl argumentou que essa situação é incomum e que é improvável que ocorra.
Impacto limitado de patches ausentes
Surpreendentemente, Nohl concorda com outra afirmação do Google: atacar telefones Android com patches perdidos não é uma tarefa fácil, e até mesmo alguns telefones Android sem patches de atualização estão mais disponíveis no sistema. Sob a proteção de medidas de segurança, o malware ainda tem dificuldade em explorar vulnerabilidades, como sandboxes que começaram a aparecer no Android 4.0 Lollipop, limitando a probabilidade de programas maliciosos acessarem dispositivos.
Isso significa que a maioria dos hackers que usam certas vulnerabilidades para obter o controle de um dispositivo Android precisa explorar uma série de vulnerabilidades, não apenas porque um patch está faltando e o ataque é bem-sucedido. Nohl disse: Alguns patches ainda contam com os outros recursos de segurança do sistema para se defender contra a maioria dos ataques.
Por isso, Nohl disse que os dispositivos Android são mais fáceis de decifrar de algumas maneiras mais simples, como os que aparecem na Google Play Store ou aplicativos instalados em lojas de aplicativos não oficiais.Nohl disse: 'Os usuários instalaram software pirata ou mal-intencionado. , é mais fácil ser um alvo para hackers.