Quando este patch de segurança chega nas mãos dos usuários de telefones celulares Android, mas também depende do modelo de telefone celular, os fabricantes de telefones Android também podem envolver operadores (como os Estados Unidos).
Agora, um problema de nível de implementação foi exposto.Mesmo se prometeu atualizar o patch de segurança, a maioria dos fabricantes de telefones Android pode perder vários patches de segurança.Alguns fornecedores nem sequer instalar patches, deixe o usuário pensar que o sistema, modificando o tempo de patch de segurança Foi atualizado para a versão mais recente, o que significa que os fabricantes de telefones Android podem ocultar informações sobre segurança móvel.
Na Hack in the Box, uma conferência de segurança em Amsterdã, na Holanda, no dia 13, dois pesquisadores do Security Research Laboratory (SRL) da empresa de segurança publicaram um relatório de pesquisa de dois anos sobre centenas de modelos Android e discutiram o assunto.
Algumas das informações foram publicadas no site do laboratório da SRL, e a entrevista da revista Wired com o fundador da SRL Labs, Karsten Nohl, também discutiu essa questão.relatos mais detalhados precisam esperar até depois da conclusão do discurso da SRL.
De acordo com algumas informações do relatório fornecidas pela SRL e a entrevista da “Connection”, o relatório da SRL Labs afirmou que há um problema com a confiabilidade dos fabricantes de telefones celulares Android em atualizar os patches de segurança. Não instalado.
Seção de amostragem: Poucos para 5-9; Muitos para 10-49, Lotes para mais de 50 | Foto de: SRL Labs
Segundo o relatório, alguns dos motivos podem estar relacionados aos fabricantes de telefones celulares.Miller, modelos da Nokia têm uma média de 1-3 patches de segurança não instalados, e em parte por causa de empresas de chips.Se for uma lacuna de nível de hardware de chips, fabricantes de celulares Android Necessidade de obter o patch fornecido pela empresa de chips.Geralmente falando, modelos baratos usam chips low-end, também levou a modelos mais baratos são propensos a mais lacunas.
O número de patches de segurança de telefones celulares perdidos de acordo com diferentes fabricantes de chips | Image from: "Connections"
Mesmo no caso de modelos baratos, pode haver diferenças no tratamento.No relatório, a SRL Labs usou dois aparelhos de baixo custo da Samsung, como exemplos.Os dois aparelhos da Samsung, o J3, lançado em 2016 alegou ter instalado todos os patches de segurança lançados em 2017, mas De fato, menos de 12 modelos J5 lançados no mesmo ano dirão ao usuário quais patches ainda não estão instalados.
O laboratório SRL fez engenharia reversa do código do sistema Android para 1200 telefones celulares e pesquisou se os patches de segurança lançados em 2017 estavam realmente instalados no sistema.Os modelos de celular precisam atender ao padrão que esses modelos são instalados em outubro de 2017 ou mais tarde. Depois de um patch de segurança.
1200 aparelhos são dos principais fabricantes de aparelhos Android, incluindo Huawei, Xiaomi e Samsung, as três maiores empresas de vendas, além de OnePlus, HTC, LG e Motorola.
Um fenômeno mais comum é que os patches de segurança dos modelos antigos não são atualizados em tempo hábil.Karsten Nohl, fundador da SRL Labs, disse que os fabricantes de celulares Android ignoram as atualizações do sistema e instalam patches de segurança em modelos mais antigos. Fenômeno comum.
No entanto, vale a pena notar que este relatório tem alguns problemas para os fabricantes de telefones celulares e modelos de telefones móveis.POPO, vivo, que não está incluído nos dois fabricantes de telefones Android, apenas alguns telefones Pixel do Google amostrados mais de 50 dispositivos.
Mas não instalar um patch de segurança não significa que os telefones Android sejam vulneráveis a ataques, e a SRL Labs também mencionou isso.
Em resposta ao relatório da SRL, o Google respondeu à revista Wired, explicando que os telefones Android não instalaram alguns patches de segurança e disse que cooperaria com a SRL Labs para conduzir mais investigações. É possível remover diretamente alguns dos recursos vulneráveis, ou alguns telefones celulares não têm a capacidade de reparar por meio da instalação de patches.
Por outro lado, mesmo se não for instalado os patches de segurança, características de segurança agora configuração do telefone Android faz com que seja difícil de atacar. Google lado respondeu que a atualização de segurança apenas uma camada de proteção para dispositivos e usuários do Android. Outros também inclui o mecanismo de sandbox, O Google Play protege os serviços de segurança, etc.
Depois Stagefright vulnerabilidades evento em 2016, Google Android e alguns fabricantes têm acelerado a velocidade de atualização de patches de segurança, mas o progresso ainda não é rápido o suficiente.
Em março do ano passado, o Google também anunciou uma lista de 16 celulares Android em seu feedback anual, mostrando modelos que conseguiram atualizações mensais de patches de segurança, entre os quais 6 modelos da marca Nexus, Pixel, da Google. , OPPO, vivo cada um tem um modelo.