Wenn diese Charge von Sicherheits-Patches in die Hände von Android Handy-Nutzer zu erreichen, sondern hängen auch von dem Handy-Modell, können Android-Handy-Hersteller auch beinhalten Operatoren (wie die USA).
Nun wurde ein Problem auf Implementierungsebene aufgedeckt: Selbst wenn versprochen wird, den Sicherheitspatch zu aktualisieren, verpassen die meisten Hersteller von Android-Telefonen möglicherweise mehrere Sicherheitspatches.Ein paar Hersteller installieren nicht einmal Patches, lassen den Benutzer das System durch Ändern der Sicherheitszeitspanne denken Wurde auf die neueste Version aktualisiert, was bedeutet, dass Hersteller von Android-Telefonen Informationen über die Sicherheit von Mobiltelefonen verstecken können.
Bei Hack in the Box, einer Sicherheitskonferenz in Amsterdam, Niederlande, am 13., veröffentlichten zwei Forscher des Security Research Laboratory (SRL) des Sicherheitsunternehmens einen zweijährigen Forschungsbericht über Hunderte von Android-Modellen und diskutierten das Thema.
Einige der Informationen wurden auf der Website der SRL Labs veröffentlicht, und das Interview von Wired Magazine mit dem Gründer von SRL Labs, Karsten Nohl, hat ebenfalls über dieses Problem gesprochen: Detailliertere Berichte müssen warten, bis die Rede der SRL abgeschlossen ist, bevor sie online gestellt werden.
Laut einiger Bericht-Informationen von SRL und dem Interview von "Connection", heißt es in dem Bericht von SRL Labs, dass es ein Problem bei der Zuverlässigkeit von Android-Handy-Herstellern gibt, Sicherheits-Patches zu aktualisieren. Die meisten Handy-Hersteller haben mehrere Sicherheits-Patches verloren. Nicht installiert.
Sampling Abschnitt: wenige für 5-9, viele für 10-49, Lots für mehr als 50 Fotos von: SRL Labs
Laut dem Bericht, einige der Gründe können im Zusammenhang mit Handy-Hersteller.Millet, Nokia-Modelle haben durchschnittlich 1-3 Sicherheits-Patches nicht installiert, und teilweise wegen der Chip-Unternehmen.Wenn es eine Chip-Hardware-Lücke ist, werden Android-Handy-Hersteller Benötigen Sie den Patch von der Chip-Firma zur Verfügung gestellt.Genau gesagt, billige Modelle verwenden Low-End-Chips, führte es auch zu billigeren Modellen sind anfällig für mehr Schlupflöcher.
Die Anzahl der verpassten Handy-Sicherheitspatches nach verschiedenen Chipherstellern | Bild von: "Connections"
Selbst bei billigen Modellen kann es Unterschiede in der Behandlung geben: In dem Bericht verwendeten SRL Labs zwei kostengünstige Samsung-Handys als Beispiele: Die beiden Samsung-Handys, der J3, der 2016 auf den Markt kam, behaupten, alle im Jahr 2017 veröffentlichten Sicherheitspatches installiert zu haben Tatsächlich geben weniger als 12 J5-Modelle, die im selben Jahr auf den Markt kommen, dem Benutzer an, welche Patches noch nicht installiert sind.
Das SRL-Labor entwickelte den Android-Systemcode für 1200 Mobiltelefone zurück und untersuchte, ob die im Jahr 2017 veröffentlichten Sicherheitspatches tatsächlich im System installiert waren und dass die Mobiltelefonmodelle den Standard erfüllen müssen, ab dem diese Modelle im Oktober 2017 installiert werden. Nach einem Sicherheitspatch.
1200 Mobilteile kommen von den wichtigsten Herstellern von Android-Mobiltelefonen, darunter Huawei, Xiaomi und Samsung, den drei größten Unternehmen im Vertrieb, sowie einem, HTC, LG und Motorola.
Das häufigere Phänomen ist, dass die Sicherheitspatches der alten Modelle nicht rechtzeitig aktualisiert werden.Karsten Nohl, Gründer von SRL Labs, sagte, dass Hersteller von Android-Mobiltelefonen Systemaktualisierungen ignorieren und Sicherheitspatches auf älteren Modellen installieren. Häufiges Phänomen.
Es ist jedoch erwähnenswert, dass dieser Bericht einige Probleme für Handy-Hersteller und Handy-Modelle hat.Oppo, vivo, die nicht in den beiden Android-Handy-Hersteller enthalten ist, nur ein paar Pixel-Handys Google mehr als 50 Geräte probiert.
Die Installation eines Sicherheitspatches bedeutet jedoch nicht, dass Android-Telefone anfällig für Angriffe sind.
Als Reaktion auf den Bericht von SRL reagierte Google auf das Wired-Magazin und erklärte, dass Android-Telefone keine Sicherheitspatches installiert hätten und dass es mit SRL Labs zusammenarbeiten würde, um weitere Untersuchungen durchzuführen Google erklärte, dass einige Android-Handy-Hersteller sogar Es ist möglich, einige der verwundbaren Funktionen direkt zu entfernen, oder einige Mobiltelefone können nicht reparieren, indem Patches installiert werden.
Selbst wenn der Sicherheitspatch nicht installiert ist, stellen die Sicherheitsfunktionen der aktuellen Android-Telefonkonfiguration einen Angriff dar. Google hat darauf geantwortet, dass das Sicherheitsupdate nur zum Schutz von Android-Geräten und -Nutzern verwendet wird, andere enthalten auch den Sandbox-Mechanismus. Google Play Protect Sicherheitsdienste usw.
Nach den Stagefright-Schwachstellen im Jahr 2016 haben Google und einige Android-Anbieter die Aktualisierung von Sicherheitspatches beschleunigt, der Fortschritt ist jedoch immer noch nicht schnell genug.
Im März letzten Jahres kündigte Google außerdem eine Liste von 16 Android-Telefonen in seinem jährlichen Feedback an, die Modelle zeigt, die bereits jeden Monat für die rechtzeitige Aktualisierung von Sicherheitspatches verfügbar sind, von denen 6 die Nexus-Marke von Google sind , OPPO, vivo haben jeweils ein Modell.