En la conferencia de seguridad Hack in the Box celebrada en Ámsterdam, los investigadores Karsten Nohl y Jakob Lell de Security Research introdujeron un análisis inverso del código del sistema operativo para cientos de teléfonos inteligentes Android comercializados en los últimos dos años. Se estudió la instalación real del parche de seguridad para cada dispositivo. Encontraron la llamada 'puerta de parche': en algunos casos, algunos proveedores informan a los usuarios que los parches de seguridad se han instalado en todas las fechas específicas, pero en realidad no han proporcionado este servicio. , Es solo una notificación falsa, por lo que estos dispositivos son muy vulnerables a los piratas informáticos.
'Hemos encontrado que la reparación y vendedores reales afirman haber completado existe una diferencia entre el número de vulnerabilidades fijos.' Investigadores de seguridad de renombre, la representación SRL fundador Nohl. Dijo que bajo el peor de los casos, los fabricantes de teléfonos Android manipulación deliberada con equipos de última Es hora de corregir la vulnerabilidad. Algunos proveedores cambiarán la fecha de actualización del sistema sin aplicar parches. Por razones de marketing, simplemente configuraron la fecha de instalación del parche a una hora específica, solo para verse seguros.
Ignorar selectivamente
estadísticas SRL sistema Android en 2017 todas las actualizaciones de seguridad, el firmware de prueba de más de una docena de fabricantes de teléfonos inteligentes más de 1200 dispositivos, estos dispositivos de Google, Samsung, Motorola, HTC y otros principales fabricantes de teléfonos móviles Android y ZTE, TCL y otros fabricantes emergentes descubrieron que, además de los propios Pixel y Pixel 2 de Google y otros modelos, incluso los principales fabricantes internacionales a veces mintieron que instalaron una actualización de parche que en realidad no se lanzó para el producto. La segunda y tercera línea El registro del fabricante es aún peor.
Nohl señaló que este es un comportamiento más serio que renunciar a las consecuencias de las actualizaciones, y se ha convertido en un fenómeno común en el campo de los teléfonos inteligentes. De hecho, no ha tomado ninguna medida para decirle a los usuarios que reparen las lagunas y creen un Este tipo de sensación de seguridad "falsa". Nohl dijo: "Descubrimos que varios proveedores no instalaron algunos parches, pero cambiaron la fecha de la última actualización del sistema. Esto es un engaño intencional, pero no universal".
Nohl cree que la situación más común es que los principales proveedores como Sony o Samsung perderán una o dos actualizaciones de parches debido a algunos accidentes. Pero los diferentes modelos tienen situaciones diferentes: por ejemplo, el Samsung Galaxy de Samsung en 2016 El modelo J5 le indicará claramente al usuario qué parches se han instalado y cuáles no se han actualizado. Sin embargo, en el Samsung Galaxy J3 2016, Samsung afirmó que todos los parches se han liberado, pero la encuesta encontró que aún faltan 12 claves. La actualización
"Dado que esta es una diferencia de modelo oculta, es casi imposible para los usuarios entender qué actualizaciones instalaron en realidad", dijo Nohl. Para solucionar la falta de transparencia en la actualización del parche, SRL Labs también lanzó un La actualización de la aplicación SnoopSnitch para la plataforma Android permite a los usuarios ingresar su código de teléfono móvil para verificar el estado real de la actualización de seguridad en cualquier momento.
Diferentes proveedores
Después de evaluar los productos de cada proveedor, SRL Labs elaboró el siguiente conjunto de gráficos, que clasifican a los fabricantes de teléfonos inteligentes en tres categorías según el grado coincidente de sus respectivos números de parches externos y parches reales instalados en 2017. , Incluidos los modelos que recibieron al menos una actualización en octubre de 2017 o posterior. Los principales proveedores de Android, incluidos Xiaomi y Nokia, tienen un promedio de 1 a 3 parches "perdidos", mientras que HTC, Motorola, LG y Huawei tienen 3 Para el parche 4 "perdido", TCL y ZTE estaban en el último lugar, el número de parches perdidos superó 4. El número de actualizaciones de parches perdidos por Google, Sony, Samsung, etc. es menor o igual a 1.
SRL también señaló que los proveedores de chips son una de las razones de la falta de parches. Por ejemplo, los modelos que usan chips Samsung rara vez tienen problemas para ignorar silenciosamente las actualizaciones, mientras que los dispositivos que usan chips MediaTek tienen un parche promedio de 9.7 faltante. Es probable que debido al uso de chips más baratos, la probabilidad de que falten parches sea mayor. También existe una situación donde las lagunas aparecen en el nivel de chip y no en el sistema, por lo que los fabricantes de dispositivos confían en los proveedores de chips para completar Actualización. El resultado es que los teléfonos inteligentes más baratos que obtienen chips de proveedores de bajo costo continúan con el problema del "parche faltante". Después de nuestra verificación, si eliges un producto más barato, entonces en el ecosistema de Android, Estará en una posición menos respetada ", dijo Nohl.
En el contacto de la revista "Conexión" Google después de que Google expresó su reconocimiento por la investigación de la SRL, pero al mismo tiempo responder a señalar que algunos de los análisis de equipos SRL no puede pasar la certificación del sistema Android, lo que significa que no están limitados por las normas de seguridad de Google. Google Dijo que los teléfonos inteligentes Android tienen características de seguridad, incluso en ausencia de parches, las vulnerabilidades de seguridad también son difíciles de descifrar. En algunos casos, el problema de la "pérdida de parches" se produce porque los fabricantes de teléfonos móviles solo Las características vulnerables simplemente se eliminan en lugar de repararse, o algunos teléfonos no tienen esta característica en primer lugar.
Google dijo que cooperaría con SRL Labs, más investigación en profundidad 'es uno de los muchos niveles de actualizaciones de seguridad para proteger los dispositivos y los usuarios de Android,' director de seguridad de los productos de Scott Roberts androide emitió un comunicado en la revista "Conexión". 'Sistema de plataforma integrado los sistemas de protección, como la zona de pruebas de aplicaciones y Google Play proteger los servicios de seguridad son igualmente importantes. estas medidas de seguridad multi-nivel, junto con la diversidad del ecosistema Android, por lo que los investigadores han llegado a la conclusión de que los dispositivos Android de forma remota El desarrollo todavía está lleno de desafíos ".
En respuesta a la conclusión de Google de que al proveedor le faltaban parches debido a la eliminación de características vulnerables, Nohl replicó que esta situación no es común y que la probabilidad de que ocurra no es alta.
Impacto limitado de parches faltantes
Sorprendentemente, sin embargo, es que, Nohl otra versión de Google está de acuerdo: los ataques a los teléfonos Android a través del uso de los parches que faltan, de hecho, no es una cosa fácil y parches incluso algunos no se actualiza sistema de teléfono Android es más extensa. bajo medidas de seguridad para proteger el malware sigue siendo difícil de hacer uso de lagunas, como empezaron a surgir desde el Android 4.0 Lollipop caja de arena y otras funciones, lo que limita la probabilidad de programas maliciosos para acceder al dispositivo.
Esto significa que la mayoría de los piratas informáticos que utilizan ciertas "vulnerabilidades" para obtener el control de un dispositivo Android necesitan explotar una serie de vulnerabilidades, no solo porque falta un parche y el ataque tiene éxito. Nohl dijo: "Incluso si se pierde" Algunos parches todavía se basan en otras características de seguridad del sistema para defenderse de la mayoría de los ataques.
Por lo tanto, Nohl dijo que los dispositivos Android son más fáciles de descifrar de formas más simples, como las que aparecen en la tienda de Google Play o las aplicaciones instaladas en tiendas de aplicaciones no oficiales. Nohl dijo: "Los usuarios han instalado software pirateado o malicioso. , es más fácil ser un objetivo para los piratas informáticos.