ในการประชุมการรักษาความปลอดภัยกล่องวิจัยการรักษาความปลอดภัย บริษัท วิจัย Karsten Nohl และจาคอบ Lell สับแนะนำในอัมสเตอร์ดัมจัดขึ้นพวกเขาวิเคราะห์ที่แตกหลายร้อย Android รหัสระบบปฏิบัติการมาร์ทโฟนสองปีที่ผ่านมาในตลาดที่มีรายละเอียดเกี่ยวกับ ชิ้นส่วนของอุปกรณ์ที่ติดตั้งจริงซอฟต์แวร์รักษาความปลอดภัยแต่ละได้รับการศึกษาที่พวกเขาพบว่าสิ่งที่เรียกว่า "แพทช์ประตู: ในบางกรณีผู้ผลิตบางรายจะแจ้งให้ผู้ใช้ทุกคนมีระดับการรักษาความปลอดภัยวันที่วางจำหน่ายติดตั้ง แต่ไม่จริงให้บริการนี้ เป็นเพียงการแจ้งเตือนปลอมดังนั้นอุปกรณ์เหล่านี้จึงเสี่ยงต่อการโจมตีโดยแฮกเกอร์
"เราพบว่าการซ่อมแซมและผู้ขายที่เกิดขึ้นจริงเรียกร้องให้ได้เสร็จสิ้นมีความแตกต่างระหว่างจำนวนของช่องโหว่ถาวร. วิจัยด้านความปลอดภัยที่มีชื่อเสียง SRL เป็นตัวแทนผู้ก่อตั้ง Nohl. เขากล่าวว่าภายใต้สถานการณ์ที่เลวร้ายที่สุดกรณีผู้ผลิตโทรศัพท์ Android จงใจยุ่งเกี่ยวกับอุปกรณ์ที่ผ่านมา แก้ไขข้อบกพร่องเวลา. 'ผู้ผลิตบางรายจะมีการเปลี่ยนแปลงในกรณีของการปรับปรุงระบบวันที่ยังไม่ได้แก้ไขได้. ด้วยเหตุผลทางการตลาดที่พวกเขาเพียงแค่วันที่ติดตั้งโปรแกรมแก้ไขการตั้งค่าสำหรับเวลาที่เฉพาะเจาะจง แต่การแสวงหาของมันมีลักษณะที่ปลอดภัยมาก.
เลือกละเว้น
SRL สถิติระบบ Android ในปี 2017 ทุกการปรับปรุงความปลอดภัยเฟิร์มแวทดสอบจากมากกว่าหนึ่งโหลผู้ผลิตโทรศัพท์สมาร์ทกว่า 1,200 โทรศัพท์มือถืออุปกรณ์เหล่านี้จาก Google, Samsung, Motorola, HTC และ Android ผลิตโทรศัพท์มือถือหลักอื่น ๆ และ ZTE, ที่เกิดขึ้นใหม่ผลิต TCL และพบว่านอกเหนือไปจากตัวเองและ Pixel พิกเซล 2 รุ่นอื่น ๆ ของ Google แม้ว่าผู้ผลิตชั้นนำจากนานาชาติบางครั้งแกล้งทำเป็นการติดตั้งแพทช์สำหรับผลิตภัณฑ์ที่ไม่ได้รับการปล่อยตัวจริงปรับปรุง. ชั้นที่สองและสาม เร็กคอร์ดของผู้ผลิตยิ่งแย่ลง
Nohl ชี้ให้เห็นว่านี่คือผลกระทบที่รุนแรงมากขึ้นกว่าที่จะให้พฤติกรรมการอัปเดตและโทรศัพท์สมาร์ทได้กลายเป็นปรากฏการณ์ที่พบบ่อย. ในความเป็นจริงในกรณีที่บอกผู้ใช้ยังไม่ได้ดำเนินการใด ๆ เพื่อซ่อมแซมช่องโหว่ให้ผู้ใช้สามารถสร้าง . ชนิดของความรู้สึก 'ผิด' ของการรักษาความปลอดภัย Nohl กล่าวว่า "เราพบว่าผู้ขายหลายไม่ได้ติดตั้งแพทช์บางส่วน แต่การปรับปรุงระบบวันที่แก้ไขล่าสุดซึ่งเป็นเจตนาหลอกลวง แต่ไม่ธรรมดา.
Nohl เชื่อว่าสถานการณ์ทั่วไปมากขึ้นเช่น Sony หรือซัมซุงผู้ผลิตด้านบนเพราะบางพลาดที่ไม่คาดคิดการปรับปรุงที่หนึ่งหรือสองแพทช์ แต่ในรูปแบบที่แตกต่างกันที่มีปรากฏอยู่ในสถานการณ์ที่แตกต่างกันเช่นรุ่น Samsung Galaxy 2016 รุ่น J5 มันอย่างชัดเจนจะบอกผู้ใช้สิ่งที่แพทช์ที่ได้รับการติดตั้งซึ่งแพทช์ไม่ได้ปรับปรุง แต่ร่างกายของกาแล็กซี่ J3 2016 รุ่นซัมซุงอ้างว่าแพทช์ทั้งหมดได้รับการปล่อยตัวออกมา แต่ยังขาดหายไปหลังจากการสืบสวนพบ 12 ที่สำคัญ การอัพเดท
'พิจารณานี้เป็นด้อยแตกต่างรูปแบบการใช้งานเป็นไปไม่ได้เกือบที่จะเข้าใจในสิ่งที่ตัวเองจริงซึ่งการปรับปรุงจะมีการติดตั้ง' Nohl กล่าว. จะอยู่ที่นี่ขาดการปรับปรุงสถานการณ์แพทช์ของความโปร่งใส SRL Labs ยังปล่อยให้ SnoopSnitch ปรับปรุงการใช้งานแพลตฟอร์มของ Android ผู้ใช้สามารถป้อนรหัสโทรศัพท์ของพวกเขาในเวลาใด ๆ ที่จะเห็นสภาพที่แท้จริงของการปรับปรุงความปลอดภัย
ผู้ขายที่แตกต่างกัน
หลังจากการประเมินผลิตภัณฑ์ของผู้จัดจำหน่ายแต่ละราย SRL Labs ได้สร้างแผนภูมิต่อไปนี้ซึ่งแบ่งประเภทผู้ผลิตสมาร์ทโฟนออกเป็น 3 ประเภทตามระดับการจับคู่ของแพทช์ภายนอกและแพทช์ที่ติดตั้งตามจริงในปีพ. ศ. รวมถึงรุ่นที่ได้รับการปรับปรุงอย่างน้อยหนึ่งครั้งในเดือนตุลาคมปีพ. ศ. 2517 หรือที่ใหม่กว่าผู้จำหน่าย Android รายใหญ่รวมทั้ง Xiaomi, Nokia มีค่าเฉลี่ย 1 ถึง 3 แพทช์ 'หาย' ในขณะที่ HTC, Motorola, LG และ Huawei มี 3 ส่วนที่สูญหายไปทั้งหมด 4 ชิ้น TCL และ ZTE อันดับที่แล้วจำนวนแพทช์ที่สูญหายเกินกว่า 4. จำนวนการปรับปรุงแก้ไขซึ่งพลาดโดย Google, Sony, Samsung ฯลฯ มีค่าน้อยกว่าหรือเท่ากับ 1
SRL ชี้ให้เห็นว่าผู้ขายชิพเป็นเหตุผลหนึ่งที่ทำให้ขาดแพทช์ตัวอย่างเช่นโมเดลที่ใช้ชิปซัมซุงไม่ค่อยมีปัญหาในการละเว้นการอัปเดตในขณะที่อุปกรณ์ที่ใช้ชิป MediaTek มีค่าเฉลี่ย 9.7 ที่หายไปในบางกรณี เป็นไปได้ว่าเนื่องจากการใช้ชิพที่ถูกกว่าความน่าจะเป็นของแพทช์ที่หายไปจะสูงขึ้นนอกจากนี้ยังมีสถานการณ์ที่ช่องโหว่ปรากฏในระดับชิปและไม่อยู่ในระดับระบบดังนั้นผู้ผลิตโทรศัพท์มือถือต้องพึ่งพาผู้ผลิตชิปเพื่อให้สมบูรณ์ต่อไป Update ผลที่ได้คือมาร์ทโฟนที่ถูกกว่าที่ชิปต้นทางจากซัพพลายเออร์ระดับต่ำจะดำเนินการแก้ไขปัญหา 'patch ที่หายไป' หลังจากการยืนยันของเราแล้วหากคุณเลือกผลิตภัณฑ์ราคาถูกกว่านั้นในระบบนิเวศของ Android, มันจะอยู่ในตำแหน่งที่ไม่ค่อยได้รับความนับถือ "Nohl กล่าว
หลังจากที่นิตยสาร "Connecting" ติดต่อ Google แล้ว Google ชื่นชมการวิจัยของ SRL แต่ตอบว่าอุปกรณ์บางอย่างที่ SRL วิเคราะห์อาจไม่ได้รับการรับรองโดย Android ซึ่งหมายความว่ามาตรฐานการรักษาความปลอดภัยของ Google ไม่ได้ จำกัด อยู่ กล่าวว่ามาร์ทโฟน Android มีคุณลักษณะด้านความปลอดภัยแม้ในกรณีที่ไม่มีแพทช์, ช่องโหว่ความปลอดภัยเป็นเรื่องยากที่จะแตก. ในบางกรณี 'แพทช์ที่หายไป' ประเด็นที่จะเป็นเหตุผลที่ว่าทำไมเพียงเพราะบางผู้ผลิตโทรศัพท์มือถือ คุณลักษณะที่มีช่องโหว่ถูกลบออกไปแทนที่จะซ่อมแซมหรือโทรศัพท์บางรุ่นไม่มีคุณลักษณะนี้ในตอนแรก
Google กล่าวว่ามันจะให้ความร่วมมือกับ SRL Labs เพิ่มเติมในเชิงลึกการตรวจสอบ 'เป็นหนึ่งในหลาย ๆ ระดับของการปรับปรุงการรักษาความปลอดภัยเพื่อปกป้องอุปกรณ์ Android และผู้ใช้' สกอตต์โรเบิร์ต Android อำนวยการความปลอดภัยของผลิตภัณฑ์ออกแถลงการณ์เกี่ยวกับ "การเชื่อมต่อ" นิตยสาร. ระบบในตัวแพลตฟอร์ม ระบบป้องกันต่างๆเช่นแซนด์บ็อกซ์แอพพลิเคชันและบริการรักษาความปลอดภัยของ Google Play Protect มีความสำคัญเท่าเทียมกันวิธีการรักษาความปลอดภัยแบบหลายชั้นเหล่านี้ควบคู่กับความหลากหลายของระบบนิเวศของ Android ทำให้นักวิจัยสรุปได้ว่าอุปกรณ์แอนดรอยด์อยู่ห่างไกล การพัฒนายังคงเต็มไปด้วยความท้าทาย
ในการตอบสนองต่อข้อสรุปของ Google ว่าผู้ขายได้สูญเสียแพทช์เนื่องจากการลบคุณลักษณะที่อ่อนแอ Nohl แย้งว่าสถานการณ์นี้เป็นเรื่องแปลกและไม่น่าเป็นไปได้ที่จะเกิดขึ้น
จำกัด ผลกระทบของแพทช์หายไป
น่าแปลกใจ แต่ก็คือว่า Nohl รุ่นอื่น ๆ ของ Google ตกลง: การโจมตีบนโทรศัพท์ Android ผ่านการใช้งานของแพทช์ที่ขาดหายไปในความเป็นจริงไม่ได้เป็นสิ่งที่ง่ายและแพทช์แม้กระทั่งบางคนไม่ได้ปรับปรุงระบบโทรศัพท์ Android เป็นอย่างกว้างขวางมากขึ้น ภายใต้การป้องกันมาตรการรักษาความปลอดภัยมัลแวร์ยังมีปัญหาในการใช้ประโยชน์จากช่องโหว่เช่นกล่องแซนด์บ็อกซ์ที่เริ่มปรากฏใน Android 4.0 Lollipop เพื่อจำกัดความน่าจะเป็นของโปรแกรมที่เป็นอันตรายในการเข้าถึงอุปกรณ์
ซึ่งหมายความว่าหากส่วนใหญ่แฮกเกอร์ใช้สิ่งที่เรียกว่า 'หนี' ที่จะได้รับการควบคุมของอุปกรณ์ Android จะต้องใช้ชุดของช่องโหว่ไม่เพียงเพราะขาดการแพทช์และการโจมตีที่ประสบความสำเร็จ Nohl กล่าวว่า: 'แม้ว่าพลาด แพทช์บางส่วนยังคงใช้คุณสมบัติความปลอดภัยอื่น ๆ ของระบบเพื่อป้องกันการโจมตีส่วนใหญ่
ดังนั้น Nohl กล่าวว่าอุปกรณ์ Android จะง่ายต่อการแตกด้วยวิธีที่ง่ายบางอย่างเช่นที่ปรากฏใน Google Play สโตร์หรือแอปที่ติดตั้งในร้านแอปพลิเคชันที่ไม่เป็นทางการ Nohl กล่าวว่าผู้ใช้ติดตั้งซอฟต์แวร์ที่ละเมิดลิขสิทธิ์หรือเป็นอันตราย มันง่ายกว่าที่จะเป็นเป้าหมายของแฮ็กเกอร์