Когда этот патч безопасности попадает в руки пользователей мобильных телефонов Android, но также зависит от модели мобильного телефона, производители телефонов Android также могут привлекать операторов (например, США).
Теперь проблема с уровнем реализации была обнаружена. Даже если обещано обновить исправление безопасности, большинство производителей телефонов Android могут пропустить несколько патчей безопасности. Некоторые производители даже не устанавливают исправления, пусть пользователь считает, что система, изменяя время патча безопасности Обновлена до последней версии. Это означает, что производители телефонов Android могут скрывать информацию о безопасности мобильных устройств.
В «Hack in the Box» конференция по безопасности в Амстердаме, Нидерланды, 13-го числа, два исследователя в лаборатории безопасности Security Research Laboratory (SRL) опубликовали двухлетний исследовательский отчет о сотнях моделей Android и обсудили эту проблему.
Часть информации была опубликована на веб-сайте компании SRL, и в интервью Wired журнал с основателем компании «Lab Labs» Карстеном Нолем также обсуждался этот вопрос. Более подробные отчеты должны ждать до завершения выступления SRL.
Согласно некоторым отчетам, предоставленным компанией SRL, и собеседованию «Connection», в отчете Lab Lab говорится, что существует проблема с надежностью производителей мобильных телефонов Android для обновления патчей безопасности. Большинство производителей мобильных телефонов потеряли несколько патчей безопасности. Не установлен.
Секция отбора проб: Немного для 5-9, много для 10-49, лотов для более чем 50 | Фото из: SRL Labs
Сообщаются, что часть причины может быть связана с производителями сотовых телефонов, просо, модель Nokia имеет в среднем от одного до трех патчей безопасности не установлена ;. И отчасти из компании, если чип является аппаратной чип уровня уязвимости, Android производителей мобильных телефонов в необходимо получить патч чип компании. в целом, модель недорогой использовать низкий уровень конца чипы также привели к недорогим моделям более склонны к уязвимости.
В зависимости от производителей чипов, количество патчей мобильной безопасности отсутствует | изображения из: «Connection»
Даже в случае с дешевыми моделями могут быть различия в лечении. В отчете компания Lab Lab использовала два недорогих мобильных телефона Samsung в качестве примеров. Два мобильных телефона Samsung J3, выпущенные в 2016 году, заявили, что установили все исправления безопасности, выпущенные в 2017 году, но Фактически, менее 12 моделей J5, выпущенных в том же году, скажут пользователю, какие патчи еще не установлены.
Лаборатория SRL переделала системный код Android на 1200 мобильных телефонов и исследовала, были ли в системе установлены исправления безопасности, выпущенные в 2017 году. Модели мобильных телефонов должны соответствовать стандарту, установленному этими моделями в октябре 2017 года или позже. После исправления безопасности.
1200 телефонов выпускаются у основных производителей телефонов Android, в том числе Huawei, Xiaomi и Samsung, трех крупнейших компаний по продажам, плюс один, HTC, LG и Motorola.
Более распространенным явлением является то, что исправления безопасности старых моделей не обновляются своевременно. Karsten Nohl, основатель Lab Lab, сказал, что производители мобильных телефонов Android игнорируют обновления системы и устанавливают патчи безопасности на более старых моделях. Общее явление.
Тем не менее, стоит отметить, что этот отчет имеет определенные проблемы для производителей мобильных телефонов и моделей мобильных телефонов. OPPO, vivo Эти два производителя телефонов Android не включены, только Google из нескольких Pixel телефонов составляет более 50 устройств.
Но отсутствие установленного патча безопасности не означает, что Android-телефоны уязвимы для атак. В Lab Lab также упоминается об этом.
В ответ на отчет от SRL, Google ответил на журнал Wired, объяснив, что Android-телефоны не устанавливают некоторые исправления безопасности. Он также сказал, что будет сотрудничать с лабораториями SRL для проведения дальнейших исследований. Google объяснил, что некоторые производители мобильных телефонов Android даже Можно сразу удалить некоторые уязвимые функции, или некоторые мобильные телефоны не имеют возможности исправлять, установив патчи.
С другой стороны, даже если исправление безопасности не установлено, функции безопасности текущей конфигурации телефона Android затрудняют атаку. Google ответил, что обновление безопасности - это только уровень, используемый для защиты устройств Android и пользователей. Другие также включают механизм песочницы. Службы безопасности Google Play Protect и т. Д.
После уязвимостей Stagefright в 2016 году Google и некоторые производители Android ускорили темпы обновления патчей безопасности. Однако прогресс все еще не достаточно быстрый.
В марте прошлого года в ежегодной обратной связи Google также опубликовал список 16 Android телефона, дисплей может иметь своевременный доступ к моделям, которые имеют обновление безопасности ежемесячно, что 6 являются Nexus от Google, Pixel мобильного телефона марка Samsung , OPPO, vivo имеют модель.