"Diese Typen ändern nur das Datum, sie haben überhaupt keine Flecken."
Google hat hart gearbeitet, um dutzende Android-Smartphone-Hersteller und Hunderte von Betreibern dazu zu bringen, Sicherheitsupdates regelmäßig zu pushen, aber ein deutsches Sicherheitsunternehmen hat nach der Untersuchung von hunderten von Android-Telefonen einen Auftrag entdeckt. Ungeklärte neue Probleme: Viele Hersteller von Android-Telefonen versäumten es nicht, Benutzern Patches zur Verfügung zu stellen oder sie Monate lang zu verzögern, manchmal sagten sie sogar, dass die Firmware des Telefons bereits aktuell sei, übersprang aber den Patch heimlich.
Freitag in Amsterdam ‚Hack in the Box‘ Hacker Sicherheitskonferenz statt, Forscher an Hunderten von Android-Handy-System-Code von den letzten zwei Jahren sahen, die meisten Sicherheitsrisiken auf dem Fehlen eines Telefon-Patch, eine Menge Forschung zu sehen Personal Nohl sagte: ‚Obwohl der Patch ist klein, aber sehr wichtig für die mobile Sicherheit schlimmsten Fällen Android Handy-Hersteller in das Gerät absichtlich die Tatsachen verzerren diese Jungs nur die Daten in einem Push geändert, um die Zeit zu aktualisieren, hat Patch nicht einmal ...‘
Die Sicherheitsagentur SRL testete 1.200 Mobiltelefone, darunter Google selbst, und große Android-Handy-Hersteller wie Samsung, Motorola und HTC sowie chinesische Unternehmen wie ZTE und TCL, die neben Google eigene Flaggschiffe wie Pixel und Pixel 2 vorfanden. Die Maschine, sogar die Top-Handy-Hersteller in der Sicherheits-Patch ist ziemlich verwirrt, und die Update-Aufzeichnungen von anderen Second-und Third-Tier-Hersteller sind noch verwirrender. Forscher Nohl sagte, dass dies vorgibt, den Patch installieren ist das schrecklichste Problem, sie sagte dem Benutzer dort, In der Tat hat es nicht, was ein falsches Gefühl der Sicherheit erzeugt. Dies ist eine vorsätzliche Täuschung.
Große Unternehmen patchten nicht aggressiv
In einer allgemeineren Situation werden große Unternehmen wie Sony oder Samsung auch ein oder zwei Patches vermissen.Viele wichtige Updates gibt es nicht, wie zum Beispiel Samsungs Handy J5 oder J3 2016. Sie sagen sehr offen, welche Patches installiert wurden. Viele wichtige Updates fehlen jedoch und es gibt keine Hinweise Es ist fast unmöglich für Benutzer zu wissen, welche Patches tatsächlich installiert wurden Um dieses Problem zu lösen, hat SRL Labs eine Android-Anwendung namens "SnoopSnitch" veröffentlicht, die den Benutzer den Code des Mobiltelefons zu verstehen Der tatsächliche Status des Sicherheitsupdates.
Nach dem Testen des Stapels von Mobiltelefonen stellte SRL Labs die folgende Tabelle her: Gemäß der Patch-Situation nach Oktober 2017 wurden die Anbieter bewertet. Das beste Szenario waren 0-1 Patches. Google, Sony, Samsung und der unbekannte chinesische Hersteller Wiko, Xiaomi, Jia Jia, Nokia verloren 1-3 Patches im Durchschnitt, HTC, Huawei, LG und Motorola verloren 3-4 Patches, TCL und ZTE Mehr als vier Sicherheitspatches waren die schlechtesten auf der Liste - sie behaupteten, installiert worden zu sein, aber nicht.
Low-End-Chip löst einen Teufelskreis aus
In anderen Fällen gibt es Schlupflöcher im Handy-Chip, nicht im Betriebssystem.Wenn Sie den Chip, den Sie verwenden, klassifizieren, ist Samsungs Prozessor besser, und der Qualcomm-Chip ist auch in Ordnung, aber verwenden Sie MediaTek. ) Das Handy des Chips verpasste durchschnittlich 9,7 Patches.
Diese Situation hängt mit der Preisgestaltung für Mobiltelefone zusammen: Billig-Mobiltelefone verwenden im Allgemeinen billige Chips (wie zum Beispiel MediaTek) und schenken der Sicherheit wenig Beachtung.Mobiltelefonhersteller achten nicht darauf, sich auf Chip-Anbieter zu verlassen, um Patches zur Verfügung zu stellen Low-End-Chips für Low-Cost-Handys werden die mangelnde Aufmerksamkeit des Chipherstellers auf die Sicherheit erben.Wenn Sie sich schließlich für günstigere Mobilteile entscheiden, geraten Sie in eine gefährliche Sicherheitsspirale, die in diesem Ökosystem nicht gut gepflegt wird.
Google: Sicherheit ist mehr als nur das Patchen
Als das Wired-Magazin in dieser Angelegenheit mit Google Kontakt aufnahm, antwortete das Unternehmen, dass einige der von SRL analysierten Telefone möglicherweise keine Android-zertifizierten Geräte sind, was bedeutet, dass sie nicht von den Sicherheitsstandards von Google kontrolliert werden.
Darüber hinaus wies Google darauf hin, dass es selbst bei ungepatchten Sicherheitslücken in Android-Telefonen sehr schwierig ist, sie zu knacken, da sie glauben, dass das Gerät in einigen Fällen einige Patches verpassen könnte, weil die Handyhersteller das Telefon einfach blockieren Ein anfälliges Feature, kein Fix.
Google sagte, dass sie mit SRL Labs zusammenarbeiten, um die Ergebnisse weiter zu untersuchen: "Sicherheitsupdates sind eine der vielen Schutzebenen für Android-Geräte und -Anwender. Ein integrierter Plattformschutz wie Anwendungs-Sandbox und Sicherheitsdienste, Google Game Protection ist ebenso wichtig. Diese Sicherheitsebenen kombinieren die Vielfalt des Android-Ökosystems.
Werbung
Forscher Nohl ist mit dieser Aussage nicht einverstanden.Der Sicherheitspatch ist mehr als ein digitales Problem (er sagte, dass jeder Sicherheits-Patch sein sollte), aber er stimmt zu, dass Googles "Android-Handy ist schwer zu knacken" -Aussage, nach Android 4.0, ist das Programm im Speicher Die zufällige Zuweisung von Standorten und der Sandbox-Mechanismus machen es für Malware schwierig, erfolgreich zu sein.
Der moderne so genannte "Telefonangriff" kann das Ziel Android-Handy vollständig steuern, aber es ist notwendig, eine Reihe von Schlupflöchern in der Handy-Software-System und nicht nur eine zu verwenden.
Im Gegensatz zum "hart-hacked" -Ansatz ist es besser, Soft-Hacks, diese betrügerische Software im Google Play Store, oder Software, die Benutzer aus unbekannten Quellen zur Installation verleitet, vor Leuten zu schützen Die freie oder raubkopierte Softwaretäuschung, diese Methode ist nicht hoch im Technologieinhalt, gehört tatsächlich der Kategorie des Social Engineering.
Der Grund, warum Hersteller und Anwender die Installation aller verfügbaren Sicherheitspatches empfehlen, besteht darin, Zero-Day-Lücken zu vermeiden, die in der Regel sofort nach der Ausnutzung durch böswillige Personen entdeckt werden Patching Schlupflöcher, um bei Angriff zu helfen.So gibt es ein "Verteidigung in Tiefe" -Sicherheitsprinzip: Jeder verpasste Patch ist eine mögliche Schutzebene.Sie sollten kein Potenzial für Hacker lassen, sollten Sie alle Patches installieren.