На конференции по безопасности Hack in the Box, проведенной в Амстердаме, исследователи Карстен Нол и Якоб Лелл из Security Research представили обратный анализ кода операционной системы для сотен смартфонов Android, продаваемых за последние два года. Была изучена фактическая установка патча безопасности для каждого устройства. Они обнаружили так называемые «патч-ворота»: в некоторых случаях некоторые поставщики сообщают пользователям, что исправления безопасности установлены во все конкретные даты, но они фактически не предоставили эту услугу. , Это просто фальшивое уведомление, поэтому эти устройства очень уязвимы для хакеров.
«Мы обнаружили, что существует разница в количестве лазеек между фактическим исправлением и утверждением поставщика о том, что ремонт был завершен», - сказал известный исследователь безопасности, основатель компании Nohl. Он сказал, что в худшем случае производители телефонов Android намеренно будут помечать устройство в последний раз. Время исправления уязвимости. «Некоторые поставщики изменят дату обновления системы без патчей. По соображениям маркетинга они просто устанавливают дату установки патча в определенное время, просто чтобы выглядеть в безопасности».
Выборочно игнорировать
SRL рассчитывает каждое обновление безопасности системы Android в 2017 году и тестирует микропрограмму из более чем 1200 смартфонов из десятков производителей смартфонов. Эти устройства принадлежат основным производителям телефонов Android, таким как Google, Samsung, Motorola и HTC, а также ZTE. TCL и другими развивающимися производителями.Они обнаружили, что, помимо собственных моделей Google Pixel и Pixel 2, даже лучшие международные производители иногда лгали, что они установили обновление исправлений, которое фактически не выпущено. Вторая и третья строки Запись производителя еще хуже.
Ноль отметил, что это более серьезное поведение, чем отказ от последствий обновлений, и стало обычным явлением в области смартфонов. Фактически, он не предпринял никаких действий, чтобы сообщить пользователям исправить лазейки и создать «Мы обнаружили, что некоторые поставщики не устанавливали некоторые исправления, но они изменили дату последнего обновления системы. Это преднамеренный обман, но не универсальный».
Ноль считает, что более распространенная ситуация заключается в том, что ведущие вендоры, такие как Sony или Samsung, будут пропускать один или два обновления патча из-за некоторых аварий. Но разные модели имеют разные ситуации: например, Samsung Galaxy Galaxy 2016 Galaxy Модель J5 ясно сообщит пользователю, какие исправления были установлены и какие из них не были обновлены. Однако в 2016 году Galaxy J3 Samsung заявила, что все исправления были выпущены, но опрос показал, что 12 ключей все еще отсутствуют. Обновление.
«Учитывая, что это скрытая разница в модели, пользователям практически невозможно понять, какие обновления они фактически установили», - сказал Нол. Чтобы устранить недостаток прозрачности в обновлении патча, SRL Labs также выпустила Обновление приложения SnoopSnitch для платформы Android позволяет пользователям вводить код своего мобильного телефона, чтобы проверить фактическое состояние обновления безопасности в любое время.
Различные поставщики
После оценки продуктов каждого поставщика SRL Labs выпустила следующий набор графиков, которые классифицируют производителей смартфонов на три категории. Классификация основана на степени соответствия их соответствующих номеров внешних патчей и фактических установок в 2017 году. , Включая модели, которые были обновлены не реже одного раза в октябре 2017 года или позже. Крупные производители Android, включая Xiaomi, Nokia, имеют в среднем от 1 до 3 патчей «потеряно», в то время как у HTC, Motorola, LG и Huawei есть 3 К 4 патчам «потерянный», TCL и ZTE занял последнее место, количество потерянных патчей превысило 4. Количество обновлений патча, пропущенных Google, Sony, Samsung и т. Д., Меньше или равно 1.
SRL также отметили, что поставщики чипов являются одной из причин отсутствия патчей. Например, модели с использованием чипов Samsung редко имеют проблемы, которые спокойно игнорируют обновления, а устройства, использующие чипы MediaTek, имеют средний недостающий патч 9,7. , вероятно, из-за использования более дешевых чипов вероятность отсутствия патчей выше. Существует также ситуация, когда лазейки появляются на уровне чипа, а не на системном уровне, поэтому производители телефонов должны полагаться на поставщиков чипов для дальнейшего Обновление. В результате более дешевые смартфоны, которые используют исходные чипы у поставщиков low-end, также продолжают проблему «пропавших патчей». «После нашей проверки, если вы выберете более дешевый продукт, то в экосистеме Android, Он будет в менее уважаемой позиции, - сказал Нол.
После того, как журнал «Подключение» связался с Google, Google высоко оценил исследование SRL, но ответил, что некоторые из устройств, проанализированных компанией SRL, не могут быть сертифицированы Android, а это означает, что они не ограничены стандартами безопасности Google. Сказал, что у Android-смартфонов есть функции безопасности, даже при отсутствии патчей, уязвимости безопасности также сложно взломать. В некоторых случаях причина проблемы «потерянного патча» заключается в том, что производители мобильных телефонов будут только Уязвимые функции просто удаляются, а не ремонтируются, или некоторые телефоны не имеют этой функции в первую очередь.
Google заявила, что будет сотрудничать с лабораториями SRL для проведения дальнейших углубленных исследований. «Обновления безопасности являются одним из многих уровней защиты для устройств и пользователей Android», - сказал Скотт Робертс, глава отдела безопасности продуктов Android, в заявлении в журнале Wired. «Встроенная платформа Такие системы защиты, как песочницы приложений и службы безопасности Google Play Protect, одинаково важны. Эти многоуровневые подходы безопасности в сочетании с разнообразием экосистемы Android заставили исследователей заключить, что устройства Android удалены Развитие по-прежнему полны вызовов ».
В ответ на вывод Google о том, что поставщику не хватало патчей из-за удаления уязвимых функций, Ноль возразил, что эта ситуация не является общей, а вероятность появления невелика.
Ограниченное влияние недостающих патчей
Удивительно, но Нол соглашается с другими утверждениями Google: атаковать Android-телефоны с отсутствующими патчами на самом деле нелегкая задача. Даже некоторые Android-телефоны без исправлений обновлений более широко доступны в системе. При защите мер безопасности вредоносное ПО по-прежнему испытывает трудности с использованием уязвимостей, таких как песочницы, которые начали появляться в Android 4.0 Lollipop, ограничивая вероятность попадания вредоносных программ на устройства.
Это означает, что большинство хакеров, использующих определенные так называемые «уязвимости» для управления Android-устройством, должны использовать ряд уязвимостей, а не только потому, что патч отсутствует, и атака удалась. Нохл сказал: «Даже если он пропущен Некоторые исправления могут по-прежнему полагаться на другие функции безопасности системы для защиты от большинства атак.
Поэтому Нол сказал, что Android-устройства легче взломать несколькими более простыми способами, такими как те, которые появляются в магазине Google Play, или приложения, установленные в неофициальных магазинах приложений. Nohl сказал: «Пользователи установили пиратское или вредоносное программное обеспечение. , легче стать мишенью для хакеров.