در کنفرانس امنیتی جعبه، تحقیقات امنیت محققان شرکت کارلستن نول و یاکوب Lell هک در آمستردام برگزار شد معرفی، آنها تجزیه و تحلیل متضاد برای صدها نفر از آندروید عامل گوشی های هوشمند کد سیستم دو سال گذشته در بازار بودند، دقیق در هر قطعه ای از تجهیزات که خود نصب وصله های امنیتی مورد بررسی قرار گرفته که آنها دریافتند که به اصطلاح "درب تکه ': در برخی موارد، برخی از تولید کنندگان را مطلع خواهد کرد تمام کاربران باید یک تاریخ انتشار وصله های امنیتی نصب شده، اما در واقع این سرویس ارائه نمی ، این فقط یک اعلان جعلی است، بنابراین این دستگاه ها به هکرها بسیار آسیب پذیر است.
"ما در بر داشت که به تعمیر و فروشندگان واقعی را به پایان رسانده اند تفاوت بین تعداد آسیب پذیری های ثابت وجود دارد. محققان امنیتی مشهور، SRL نمایندگی بنیانگذار نول. او گفت که تحت بدترین حالت، تولید کنندگان گوشی های آندروید به عمد با تجهیزات آخرین دستکاری زمان رفع آسیب پذیری. برخی از فروشندگان سیستم به روز رسانی سیستم را بدون تکه تکه تغییر می دهند. به دلایل بازاریابی، آنها فقط تاریخ نصب پچ را به یک زمان خاص تنظیم می کنند تا فقط به دنبال نگاه امن باشند.
انتخابی نادیده بگیرید
SRL آمار سیستم آندروید در سال 2017 هر به روز رسانی های امنیتی، سیستم عامل آزمون از بیش از یک دوجین سازندگان تلفن های هوشمند بیش از 1200 گوشی، این دستگاه ها از گوگل، سامسونگ، موتورولا، HTC و دیگر جریان اصلی تولید کنندگان تلفن همراه آندروید و ZTE، در حال ظهور تولید TCL، و متوجه شد که، علاوه بر پیکسل و پیکسل را 2 مدل های دیگر گوگل، حتی تولید کنندگان بین المللی بالا گاهی اوقات تظاهر به نصب پچ برای محصول است که در واقع به روز رسانی منتشر نشده است. ردیف دوم و سوم رکورد تولید کننده حتی بدتر است.
نول اشاره کرد که این عواقب جدی بیش از به رفتار به روز رسانی، و تلفن های هوشمند تبدیل به یک پدیده شایع است. در واقع، در مورد به کاربر هیچ اقدام گرفته شده است برای تعمیر آسیب پذیری را برای کاربران به ایجاد یک . نوع حس 'غلط' امنیت نول گفت: "ما متوجه شدیم چند فروشنده برخی از تکه های نصب نیست، اما آخرین ویرایش به روز رسانی سیستم تاریخ است، که یک عمدا فریبنده، اما شایع نیست.
نول معتقد است که وضعیت شایع تر این است که تولید کنندگان بزرگ مانند سونی یا سامسونگ به دلیل برخی حوادث یک یا دو روز به روز رسانی پچ را از دست خواهند داد اما مدل های مختلف موقعیت های مختلفی دارند: به عنوان مثال، Galaxy 2016 سامسونگ مدل J5، آن را بسیار به وضوح خواهد کاربر چه پچ نصب شده است، که پچ به روز نکرده است بگویم، اما بدن از 2016 مدل های گلکسی J3، سامسونگ ادعا می کند که تمام تکه های آزاد شده اند، اما هنوز هم گم شده پس از بررسی 12 بحرانی یافت بروز رسانی
نول گفت: "با توجه به این تفاوت مدل مغلوب است، کاربر را تقریبا غیر ممکن است برای درک آنچه در واقع خود را که به روز رسانی نصب. برای رفع این پچ وضعیت عدم به روز رسانی از شفافیت، SRL آزمایشگاه نیز برای آزاد به روز رسانی نرم افزار SnoopSnitch برای پلت فرم آندروید به کاربران اجازه می دهد برای وارد کردن کد تلفن همراه خود برای بررسی وضعیت واقعی به روز رسانی امنیتی در هر زمان.
فروشندگان مختلف
پس از ارزیابی کالا هر فروشنده، SRL آزمایشگاه مجموعه ای از نمودار زیر این تولید، تولید کنندگان تلفن های هوشمند به سه دسته بر اساس طبقه بندی بازی برای هر درجه تبلیغات و تعداد واقعی تکه های نصب شده در سال 2017 تقسیم از جمله مدل های حداقل یک بار دریافت به روز رسانی در اکتبر سال 2017 یا بعد از آن، از جمله ارزن، از تولید کنندگان عمده آندروید، از جمله نوکیا، به طور متوسط 1/3 تکه، از دست رفته، و HTC، موتورولا، ال جی و هوآوی 3 به چهار تکه «گمشده»، TCL و ZTE در رتبه آخرین، تعداد تکه های گم شده بیش از چهار و گوگل، سونی، سامسونگ و غیره از دست ندهید تعداد به روز رسانی پچ کمتر از یا برابر با 1.
SRL همچنین اشاره کرد که تامین کننده تراشه یک دلیل برای تکه های از دست رفته، از جمله استفاده از مدل های تراشه سامسونگ است که به ندرت مشکلات در سکوت به روز رسانی را نادیده گرفته، و استفاده مدیاتک تجهیزات تراشه، با از دست دادن به طور متوسط تا 9.7 پچ دارند. در برخی از موارد احتمال دارد که با استفاده از تراشه های ارزان تر، احتمال تکه های از دست رفته بالاتر باشد. همچنین وضعیتی است که نقاط ضعف در سطح تراشه ظاهر می شوند و نه در سطح سیستم، بنابراین سازندگان گوشی باید به فروشندگان تراشه برای تکمیل بیشتر تکیه کنند به روز رسانی ها نتیجه می شود که گوشی های ارزان تر که تراشه های منبع را از منبع های پایین تر عرضه می کنند همچنان مشکل "missing patch" را ادامه می دهند. "پس از تایید ما، اگر یک محصول ارزان تر را انتخاب کنید، سپس در اکوسیستم Android، آن را در یک موقعیت نسبتا مورد غفلت قرار گرفته است. "نمایندگی نول.
در "اتصال" تماس مجله گوگل پس از گوگل قدردانی پژوهش SRL، اما در همان پاسخ زمان به اشاره است که برخی از تجزیه و تحلیل تجهیزات SRL ممکن است صدور گواهینامه سیستم آندروید عبور نمی کند، که بدان معنی است که آنها توسط استانداردهای ایمنی گوگل محدود نمی شود. گوگل گفت گوشی های آندروید دارای ویژگی های امنیتی، حتی در شرایطی که پچ، آسیب پذیری های امنیتی دشوار است به کرک. در برخی موارد، 'پچ گم شده' مسائل خواهد بود به همین دلیل، فقط به خاطر برخی از تولید کنندگان تلفن همراه ویژگی های آسیب پذیر به سادگی حذف می شود و نه تعمیر، و یا برخی از تلفن های این ویژگی در وهله اول وجود ندارد.
گوگل اعلام کرد که با SRL آزمایشگاه همکاری، بیشتر در عمق بررسی یکی از بسیاری از سطوح به روز رسانی امنیتی برای محافظت از دستگاه های آندروید و کاربران است، 'مدیر ایمنی محصول اسکات رابرتز آندروید بیانیه ای در "اتصال" مجله صادر شده است.' سیستم ساخته شده است در پلت فرم سیستم های حفاظت، مانند sandboxing نرم افزار و بازی گوگل محافظت از سرویس های امنیتی هستند به همان اندازه مهم است. این اقدامات امنیتی چند سطح، همراه با تنوع اکوسیستم آندروید، بنابراین محققان به این نتیجه رسیدند که دستگاه های آندروید از راه دور توسعه هنوز پر از چالش ها است. "
در پاسخ به نتیجه گیری گوگل که فروشنده به دلیل حذف ویژگی های آسیب پذیر از گم شدن پچ ها رنج می برد، نول تأکید کرد که این وضعیت معمول نیست و احتمال رخداد زیاد نیست.
تأثیر محدود تکه های گم شده
با کمال تعجب، با این حال، آن است که، نول نسخه دیگری از گوگل موافقت می کند: حمله به گوشی های آندروید از طریق استفاده از تکه های از دست رفته، در واقع، چیزی که آسان نیست و حتی برخی از تکه های به روز نمی سیستم تلفن آندروید گسترده تر است. تحت تدابیر امنیتی برای حفاظت از نرم افزارهای مخرب است که هنوز هم دشوار به استفاده از نقاط ضعف، مانند شروع به از آندروید 4.0 اب نبات چوبی گودال ماسهبازی و توابع دیگر ظهور، محدود کردن احتمال برنامه های مخرب برای دسترسی به دستگاه.
این به این معنی است که اکثر اگر هکرها با استفاده از یک به اصطلاح راه گریز را برای کنترل دستگاه های آندروید نیاز به استفاده از یک سری از نقاط ضعف، نه فقط به دلیل عدم وجود یک پچ و یک حمله موفق نول گفت: "حتی اگر از دست برخی از تکه ها هنوز هم می توانند بر روی سایر ویژگی های امنیتی سیستم متکی باشند تا از بسیاری از حملات دفاع کنند.
بنابراین، نول گفت که دستگاه های اندرویدی ساده تر هستند، مانند مواردی که در فروشگاه Google Play ظاهر می شوند، و یا برنامه های نصب شده در فروشگاه های نرم افزاری غیر رسمی. نول گفت: کاربران نرم افزار های مخرب و یا مخرب نصب کرده اند. ، آسان تر برای هدف هکرها است.