Lorsque ce patch de sécurité arrive entre les mains des utilisateurs de téléphones mobiles Android, mais dépend également du modèle de téléphone mobile, les fabricants de téléphones Android peuvent également impliquer des opérateurs (tels que les États-Unis).
Maintenant, il y a le niveau de mise en œuvre du problème est exposé. Même l'engagement de mettre à jour les correctifs de sécurité, la plupart des fabricants de téléphones Android peut être manquant un certain nombre de correctifs de sécurité. Peu d'entreprises n'installent même pas des correctifs, des correctifs de sécurité en modifiant le temps, de sorte que le système de l'utilisateur il a été mis à niveau vers la dernière version. cela signifie que les fabricants de téléphones mobiles Android dans la sécurité du téléphone mobile peuvent dissimuler des informations.
conférence Hack à Amsterdam le 13 de la sécurité dans le Box, Laboratoire de recherche sur la sécurité société de sécurité (SRL) deux chercheurs ont publié un modèle pour des centaines d'Android deux années d'études, explore cette question.
Une partie de l'information a été publiée sur le site web du laboratoire de SRL, et l'interview du magazine Wired avec le fondateur de SRL Labs, Karsten Nohl, a également discuté de ce problème.
Selon certaines informations fournies par SRL et l'interview de "Connection", le rapport de SRL Labs a indiqué que la mise à jour des correctifs de sécurité pose un problème de fiabilité pour les fabricants de téléphones mobiles Android. Non installé
Section d'échantillonnage: peu pour 5-9, beaucoup pour 10-49, lots pour plus de 50 | Photo de: SRL Labs
Selon le rapport, certaines des raisons peuvent être liées aux fabricants de téléphones mobiles: les modèles Millet et Nokia ont en moyenne 1-3 correctifs de sécurité non installés, et en partie à cause des sociétés de puces. Besoin d'obtenir le patch fourni par la société de la puce.En général, les modèles bon marché utilisent des puces bas de gamme, il a également conduit à des modèles moins chers sont enclins à plus de lacunes.
Le nombre de correctifs de sécurité de téléphone portable manqués selon différents fabricants de puces | Image de: "Connexions"
Même dans le cas de modèles bon marché, il peut y avoir des différences de traitement: dans le rapport, SRL Labs a utilisé deux téléphones à bas prix de Samsung: le J3, lancé en 2016, prétendait avoir installé tous les correctifs de sécurité publiés en 2017; En fait, moins de 12 modèles J5 lancés la même année indiqueront à l'utilisateur quels correctifs ne sont pas encore installés.
Le laboratoire SRL a inversé le code système Android pour 1200 téléphones mobiles et a cherché à savoir si les correctifs de sécurité publiés en 2017 étaient réellement installés dans le système.Les modèles de téléphones mobiles doivent être conformes à la norme d'installation de ces modèles en octobre 2017 ou plus tard. Après un patch de sécurité.
1200 téléphone mobile des fabricants de combinés actuels majeurs Android, y compris Huawei, le millet, Samsung a vendu ces trois plus grandes entreprises, ainsi que un plus, HTC, LG, Motorola et d'autres marques.
Il est un phénomène plus fréquent est que l'ancien modèle des mises à jour de sécurité n'est pas opportune. SRL fondateur de laboratoire Karsten Nohl dit, les fabricants de téléphones Android pour ignorer les anciennes mises à niveau du système de modèle, les correctifs de sécurité, une Phénomène commun.
Mais il convient de noter que le rapport il y a quelques problèmes pour le dépistage des fabricants de téléphones mobiles, les modèles de téléphone mobile. OPPO VIVO deux fabricants de téléphones Android, y compris non seulement plusieurs téléphone Google échantillonnage de pixels plus de 50 ensembles d'équipements.
Mais ne pas avoir installé un correctif de sécurité ne signifie pas que les téléphones Android sont vulnérables aux attaques, ce que mentionne également SRL Labs.
En réponse au rapport de SRL, Google a répondu au magazine Wired, expliquant que les téléphones Android n'installaient pas de correctifs de sécurité, et qu'il coopérerait avec SRL Labs pour mener d'autres enquêtes. Il est possible de supprimer directement certaines des fonctionnalités vulnérables, ou certains téléphones mobiles n'ont pas la capacité de réparer en installant des correctifs.
D'un autre côté, même si le correctif de sécurité n'est pas installé, les fonctionnalités de sécurité de la configuration actuelle du téléphone Android rendent difficile l'attaque.Répondu que la mise à jour de sécurité est uniquement utilisée pour protéger les appareils Android et les utilisateurs. Services de sécurité Google Play Protect, etc.
Après les vulnérabilités de Stagefright en 2016, Google et certains fournisseurs Android ont accéléré la mise à jour des correctifs de sécurité, mais les progrès ne sont pas encore assez rapides.
En mars dernier, Google a également annoncé une liste de 16 téléphones mobiles Android dans ses commentaires annuels, montrant des modèles qui ont pu obtenir des mises à jour de correctifs de sécurité sur une base mensuelle, dont Nexus, la marque de téléphone mobile Pixel. , OPPO, vivo ont chacun un modèle.