Cuando este parche de seguridad llega a manos de los usuarios de teléfonos móviles de Android, pero también depende del modelo del teléfono móvil, los fabricantes de teléfonos Android también pueden involucrar a operadores (como Estados Unidos).
Ahora, se ha expuesto un problema de nivel de implementación. Incluso si se prometiera actualizar el parche de seguridad, la mayoría de los fabricantes de teléfonos Android pueden perder varios parches de seguridad. Algunos proveedores ni siquiera instalan parches, permiten que el usuario piense que el sistema modifica el parche de seguridad. Se ha actualizado a la última versión. Esto significa que los fabricantes de teléfonos Android pueden ocultar información sobre seguridad móvil.
En Hack in the Box, una conferencia de seguridad en Amsterdam, Países Bajos, el 13, dos investigadores del Security Research Laboratory (SRL) de la empresa de seguridad publicaron un informe de investigación de dos años sobre cientos de modelos de Android y discutieron el tema.
Parte de la información ha sido publicada en el sitio web del laboratorio de SRL, y la entrevista de la revista Wired con el fundador de SRL Labs, Karsten Nohl, también discutió este tema. Los informes más detallados deben esperar hasta después de la conclusión del discurso de SRL.
Según algunos informes de información proporcionada por SRL y la entrevista de "Conexión", el informe de SRL Labs indicó que hay un problema con la fiabilidad de los fabricantes de teléfonos móviles Android para actualizar parches de seguridad. La mayoría de los fabricantes de teléfonos móviles han perdido varios parches de seguridad. No instalado.
Sección de muestreo: pocos para 5-9; muchos para 10-49, lotes para más de 50 | Foto de: SRL Labs
Informó que parte de la razón puede estar relacionada con los fabricantes de teléfonos móviles, mijo, los modelos de Nokia tienen un promedio de uno a tres parches de seguridad no están instalados ;. Y en parte de la compañía si el chip es un vulnerabilidades de hardware a nivel de chip, los fabricantes de teléfonos móviles Android a necesita obtener un chip empresas parche. en general, modelos de bajo costo utilizan chips de gama baja también conducido a modelos de bajo costo más propensas a vulnerabilidades.
En función de los fabricantes de chips, el número de parches de seguridad móvil que faltan | imágenes de: "Conexión"
Incluso en el caso de modelos baratos, puede haber diferencias en el tratamiento. En el informe, SRL Labs utilizó los dos teléfonos de bajo costo de Samsung como ejemplos. Los dos teléfonos de Samsung, el J3, lanzado en 2016, afirmaron haber instalado todos los parches de seguridad lanzados en 2017, pero De hecho, menos de 12. Los modelos J5 lanzados en el mismo año le dirán al usuario qué parches aún no están instalados.
El laboratorio SRL modificó por ingeniería inversa el código del sistema Android para 1200 teléfonos móviles e investigó si los parches de seguridad lanzados en 2017 se instalaron realmente en el sistema. Los modelos de teléfonos móviles deben cumplir con el estándar de que estos modelos están instalados en octubre de 2017 o más adelante. Después de un parche de seguridad.
1200 teléfonos de los principales fabricantes de teléfonos con Android, incluidos Huawei, Xiaomi y Samsung, las tres compañías de ventas más grandes, además de OnePlus, HTC, LG y Motorola.
El fenómeno más común es que los parches de seguridad de los modelos antiguos no se actualizan a tiempo. Karsten Nohl, fundador de SRL Labs, dijo que los fabricantes de teléfonos Android ignoran las actualizaciones del sistema e instalan parches de seguridad en los modelos más antiguos. Fenómeno común.
Sin embargo, vale la pena señalar que este informe tiene ciertos problemas para los fabricantes de teléfonos móviles y los modelos de teléfonos móviles. OPPO, vivo, que no está incluido en los dos fabricantes de teléfonos Android, solo unos pocos teléfonos Pixel Google muestreó más de 50 dispositivos.
Pero no se ha instalado un parche de seguridad, no significa que los teléfonos Android son propensos a ser atacados. SRL Laboratorio también mencionó este punto.
Para informes SRL, Google en la revista "Conexión" respondió, parte de los teléfonos Android no instala los parches de seguridad explicó, añadiendo que la cooperación seguirá SRL Laboratorio para análisis adicionales. Google explicó que parte de los fabricantes de teléfonos móviles Android, incluso se puede eliminar directamente parte de la función vulnerable, o parte del teléfono que no hay necesidad de ser reparado mediante la instalación de la función de parche.
Por otro lado, incluso si el parche de seguridad no está instalado, las características de seguridad de la configuración actual del teléfono Android lo hacen difícil de atacar. Google respondió que la actualización de seguridad solo se usa para proteger dispositivos y usuarios de Android. Otros también incluyen el mecanismo de espacio aislado. Servicios de seguridad de Google Play Protect, etc.
Después de las vulnerabilidades de Stagefright en 2016, Google y algunos proveedores de Android aceleraron el ritmo de actualización de los parches de seguridad. Sin embargo, el progreso aún no es lo suficientemente rápido.
En marzo del año pasado, Google también anunció una lista de 16 teléfonos móviles Android en sus comentarios anuales, que muestran modelos que han podido obtener actualizaciones de parches de seguridad mensualmente. Seis de estos modelos son de la marca de teléfonos móviles Nexus, Pixel de Google. , OPPO, vivo cada uno tiene un modelo.