«Ces gars-là changent juste la date, ils n'ont aucun correctif.
Tout le long, Google efforçons de faire des dizaines de fabricants de smartphones Android, et des centaines d'opérateurs, pousser régulièrement des mises à jour de sécurité, mais une entreprise allemande de sécurité après une enquête sur des centaines de téléphones Android, a trouvé un moyen de faire Nouveaux problèmes non résolus: De nombreux fabricants de téléphones Android ont non seulement omis de fournir des correctifs aux utilisateurs, ou les ont retardés pendant des mois, ils ont même parfois dit aux utilisateurs que le micrologiciel du téléphone était déjà à jour, mais secrètement ignoré.
Lors de la conférence sur la sécurité de Hack at the Box hacker tenue vendredi à Amsterdam, les chercheurs ont examiné des centaines de codes de systèmes de téléphonie mobile Android au cours des deux dernières années, la plupart d'entre eux présentant des risques de sécurité. Le personnel de Nohl a déclaré: «Bien que le patch soit petit, il est très important pour la sécurité mobile.Dans le pire des cas, les fabricants de téléphones Android déforment délibérément les données sur l'appareil.
L'agence de sécurité SRL a testé 1 200 téléphones mobiles, y compris Google, ainsi que de grands fabricants de téléphones Android tels que Samsung, Motorola et HTC, ainsi que des entreprises chinoises telles que ZTE et TCL, ainsi que Pixel et Pixel 2. La machine, même les principaux fabricants de téléphones mobiles dans le patch de sécurité est assez confuse, et les dossiers de mise à jour des autres fabricants de deuxième et troisième rang sont encore plus confus. En réalité, cela n'a pas été le cas, créant ainsi un faux sentiment de sécurité, ce qui est une tromperie intentionnelle.
Les grandes entreprises ne corrigent pas agressivement
Il existe plusieurs types de situation plus commune est que, comme Sony ou une grande entreprise comme Samsung va manquer un patch ou deux. De nombreuses mises à jour importantes et non, par exemple Samsung 2016 J5 téléphone mobile ou J3, très franche pour indiquer à l'utilisateur ce que le patch a été installé, mais il lui manque beaucoup de mises à jour importantes, mais aussi le manque d'utilisateur rapide presque impossible de savoir quels correctifs sont installés. pour résoudre ce problème, laboratoire SRL appelé application Android a publié « SnoopSnitch », qui permet aux utilisateurs de visualiser le code de téléphone pour comprendre L'état actuel de sa mise à jour de sécurité.
Après avoir testé la pile de téléphones mobiles, SRL Labs a produit les graphiques suivants: Selon les correctifs effectués après octobre 2017, les fournisseurs ont été notés, le meilleur scénario étant l'absence de correctifs 0-1. Samsung, et le fabricant chinois inconnu Wiko; Xiaomi, Jiajia, Nokia ont perdu 1-3 patches en moyenne, HTC, Huawei, LG et Motorola ont perdu 3-4 patches, TCL et ZTE Plus de quatre correctifs de sécurité étaient les moins performants sur la liste - ils prétendaient avoir été installés mais pas.
Puce bas de gamme déclenche un cercle vicieux
Dans d'autres cas, il y a des failles dans la puce du téléphone mobile, pas dans le système d'exploitation.Si vous classifiez la puce que vous utilisez, le processeur de Samsung est meilleur.La puce de Qualcomm est également acceptable, mais utilisez MediaTek. Le téléphone portable de la puce a raté une moyenne de 9,7 correctifs.
Cette situation avec le téléphone sur les prix, les téléphones mobiles à bas prix utilisent généralement est puce peu coûteux (comme MediaTek à une plus grande proportion), n'ont pas prêté beaucoup d'attention à la sécurité. Ne pas attacher d'importance aux fabricants de combinés, les fournisseurs de puces comptent patch. Le résultat est que l'utilisation de pas cher puce téléphone mobile bas de gamme, l'usine de la puce héritera pas attention aux questions de sécurité, leader si vous choisissez les téléphones portables bon marché, va entrer dans un cercle vicieux sûr, obtenir moins bon entretien dans cet écosystème.
Google: la sécurité est plus que de simples correctifs
Lorsque le magazine Wired entrer en contact avec Google Inc., la réponse de l'entreprise a noté que certains téléphones analyse SRL ne peut pas être certifié les appareils Android, ce qui signifie qu'ils ne sont pas contrôlés par les normes de sécurité de Google.
En outre, Google a fait remarquer que même s'il y a des failles de sécurité non corrigées dans les téléphones Android, il est très difficile de les casser, car dans certains cas, l'appareil peut manquer certains correctifs, car les fabricants de téléphones mobiles bloquent simplement le téléphone. Une fonctionnalité vulnérable, pas un correctif.
Google a déclaré travailler avec SRL Labs pour approfondir les conclusions: «Les mises à jour de sécurité sont l'une des nombreuses protections pour les appareils et les utilisateurs Android.La protection de plate-forme intégrée, comme le sandbox et les services de sécurité, est également importante. Ces couches de sécurité combinent la diversité de l'écosystème Android.
Publicité
Le chercheur Nohl n'est pas d'accord avec cette affirmation: le correctif de sécurité est plus qu'une question numérique (il dit que chaque correctif de sécurité devrait être), mais il reconnaît que le téléphone Android est difficile à cracker, après Android 4.0, le programme est en mémoire. L'allocation aléatoire des emplacements et le mécanisme de sandboxing rendent difficile la réussite d'un programme malveillant.
La soi-disant «attaque téléphonique» moderne peut complètement contrôler le téléphone mobile Android cible, mais il est nécessaire d'utiliser une série de failles dans le système de logiciel de téléphonie mobile et pas seulement un.
Contrairement à l'approche 'hard-hacked', il devrait être protégé contre les logiciels malveillants, ceux qui sont des logiciels malveillants dans le Google Play Store, ou les logiciels qui incitent les utilisateurs à installer à partir de sources inconnues. La tromperie de logiciels gratuits ou piratés, cette méthode n'est pas riche en contenu technologique, en fait, appartient à la catégorie de l'ingénierie sociale.
La raison pour laquelle les fabricants et les utilisateurs recommandent que tous les correctifs de sécurité disponibles soient installés est d'éviter les failles de sécurité qui sont généralement découvertes immédiatement après avoir été exploitées par des personnes malintentionnées. Corriger des failles pour aider à attaquer Il y a donc un principe de sécurité "défense en profondeur": Chaque patch manqué est une couche de protection potentielle.Vous ne devriez pas laisser de potentiel pour les pirates, vous devriez installer tous les correctifs.