Quando questa patch di sicurezza arriva nelle mani degli utenti di cellulari Android, ma dipende anche dal modello di cellulare, i produttori di telefoni Android possono coinvolgere anche operatori (come gli Stati Uniti).
Ora, è stato esposto un problema a livello di implementazione: anche se promesso di aggiornare la patch di sicurezza, la maggior parte dei produttori di telefoni Android potrebbe perdere diverse patch di sicurezza Alcuni produttori non installano nemmeno le patch, consentono all'utente di pensare al sistema modificando il tempo di protezione della patch È stato aggiornato alla versione più recente. Ciò significa che i produttori di telefoni Android potrebbero nascondere informazioni sulla sicurezza dei dispositivi mobili.
A Hack in the Box, una conferenza sulla sicurezza ad Amsterdam, Paesi Bassi, il 13, due ricercatori della Security Security Laboratory (SRL) hanno pubblicato un rapporto di ricerca di due anni su centinaia di modelli Android e hanno discusso il problema.
Alcune informazioni sono state pubblicate sul sito Web di SRL Labs e l'intervista di Wired magazine al fondatore di SRL Labs, Karsten Nohl, ha anche discusso di questo problema: rapporti più dettagliati devono attendere che il discorso di SRL venga completato prima di essere pubblicato online.
Secondo alcune informazioni fornite da SRL e dall'intervista di "Connection", il rapporto di SRL Labs ha dichiarato che c'è un problema con l'affidabilità dei produttori di telefoni Android di aggiornare le patch di sicurezza.La maggior parte dei produttori di telefoni cellulari ha perso diverse patch di sicurezza. Non installato.
Sezione di campionamento: pochi per 5-9; molti per 10-49, molti per più di 50 | foto di: SRL Labs
Secondo il rapporto, alcuni dei motivi potrebbero essere legati ai produttori di telefoni cellulari: Millet, i modelli di Nokia hanno una media di 1-3 patch di sicurezza non installate e in parte a causa della società di chip.Se si tratta di una scappatoia hardware livello di chip, i produttori di telefoni Android È necessario ottenere la patch fornita dalla società di chip. In generale, i modelli economici utilizzano chip di fascia bassa, ma porta anche a modelli più economici soggetti a più scappatoie.
Il numero di patch di sicurezza del telefono cellulare mancanti in base ai diversi produttori di chip | Immagine da: "Collegamenti"
Anche i modelli a basso costo, il trattamento sarà diverso. Nel rapporto, i modelli di telefono SRL Laboratorio a buon mercato Samsung a partire dal 2 casi. Tutte le patch di sicurezza rilasciate nel 2017, Samsung ha lanciato due telefoni nel 2016 sostenendo installato J3, ma Infatti, meno di 12. I modelli J5 lanciati nello stesso anno diranno all'utente quali patch non sono ancora state installate.
SRL Laboratorio reverse engineering del codice per i 1200 modelli di telefoni cellulari del sistema Android, se lo studio 2017 ha pubblicato le patch di sicurezza effettivamente installate nel sistema. Modelli di telefono cellulare necessarie per soddisfare i criteri, questi modelli nel mese di ottobre 2017 o versione successiva Dopo una patch di sicurezza.
1200 portatili provengono dai principali produttori di dispositivi Android, tra cui Huawei, Xiaomi e Samsung, le tre più grandi aziende in vendita, più una, HTC, LG e Motorola.
Il fenomeno più comune è che le patch di sicurezza dei vecchi modelli non vengono aggiornate in tempo. Karsten Nohl, fondatore di SRL Labs, ha affermato che i produttori di telefoni Android ignorano gli aggiornamenti di sistema e installano patch di sicurezza su modelli precedenti. Fenomeno comune
Tuttavia, vale la pena notare che questo rapporto presenta alcuni problemi per i produttori di telefoni cellulari e i modelli di telefoni cellulari OPPO, vivo, che non è incluso nei due produttori di telefoni Android, solo pochi telefoni Pixel di Google hanno campionato più di 50 dispositivi.
Ma non installare una patch di sicurezza non significa che i telefoni Android siano vulnerabili agli attacchi.
In risposta al rapporto di SRL, Google ha risposto alla rivista Wired, spiegando che i telefoni Android non hanno installato alcune patch di sicurezza e ha anche detto che collaborerà con SRL Labs per condurre ulteriori indagini. È possibile rimuovere direttamente alcune delle funzionalità vulnerabili o alcuni telefoni cellulari non hanno la possibilità di riparare installando le patch.
D'altro canto, anche se la patch di sicurezza non è installata, le funzionalità di sicurezza dell'attuale configurazione del telefono Android rendono difficile l'attacco, Google ha risposto che l'aggiornamento per la protezione viene utilizzato solo per proteggere i dispositivi e gli utenti Android. Google Play Protect Security Services ecc.
Dopo le vulnerabilità di Stagefright nel 2016, Google e alcuni fornitori di Android hanno accelerato il passo dell'aggiornamento delle patch di sicurezza, ma i progressi non sono ancora abbastanza rapidi.
A marzo dello scorso anno, Google ha anche annunciato un elenco di 16 telefoni cellulari Android nel suo feedback annuale, che mostra modelli che sono stati in grado di ottenere aggiornamenti di patch di sicurezza su base mensile.Tra questi, 6 modelli sono Nexus di Google, marchio di telefoni cellulari Pixel. , OPPO, vivo ognuno ha un modello.