'ये लोग सिर्फ तारीख बदलने के लिए, पैच स्थापित नहीं किया'
Google नियमित रूप से सुरक्षा अपडेट को पुश करने के लिए दर्जनों एंड्रॉइड स्मार्टफोन निर्माताओं और सैकड़ों ऑपरेटरों को प्राप्त करने के लिए कड़ी मेहनत कर रहा है, लेकिन एक जर्मन सुरक्षा कंपनी ने सैकड़ों एंड्रॉइड फोनों की जांच के बाद एक आदेश की खोज की है। अस्थिर नई समस्याएं: कई एंड्रॉइड फोन निर्माता केवल पैच के साथ उपयोगकर्ताओं को प्रदान करने में विफल रहे, या उन्हें महीनों तक देरी नहीं की, उन्होंने कभी-कभी उपयोगकर्ताओं को बताया कि फोन का फर्मवेयर पहले से ही अद्यतित था, लेकिन चुपके से पैच को छोड़ दिया।
शुक्रवार को एम्स्टर्डम में आयोजित बॉक्स हैकर सुरक्षा सम्मेलन में हैक पर, शोधकर्ताओं ने पिछले दो सालों में सैकड़ों एंड्रॉइड मोबाइल फोन सिस्टम कोड देखे थे। उनमें से ज्यादातर सुरक्षा जोखिम हैं। मोबाइल फोन के कुछ पैच नहीं हैं कार्मिक नोहल ने कहा: 'हालांकि पैच छोटा है, यह मोबाइल सुरक्षा के लिए बहुत महत्वपूर्ण है। सबसे खराब मामले में, एंड्रॉइड हैंडसेट निर्माता जानबूझकर डिवाइस पर तथ्यों को बिगाड़ देते हैं। इन लोगों ने सिर्फ पुश करने पर अपडेट की तारीख को बदल दिया है, और कोई पैच नहीं है।'
सुरक्षा एजेंसियों SRL एक 1200 फोन, जिनसे आपको Google खुद को, और साथ ही सैमसंग, मोटोरोला, एचटीसी और अन्य प्रमुख एंड्रॉयड हैंडसेट निर्माताओं, साथ ही जेडटीई, TCL और अन्य चीनी कंपनियों का निर्माण किया है का परीक्षण किया। उन्होंने पाया कि, खुद पिक्सेल और पिक्सेल 2 और अन्य प्रमुख के रूप में गूगल के अलावा मशीन, भले ही सुरक्षा पैच में शीर्ष हैंडसेट निर्माताओं इस है काफी उलझन में है, अन्य दूसरे और तीसरे स्तर निर्माताओं अद्यतन रिकॉर्ड भ्रमित कर रहा है। शोधकर्ताओं Nohl कहा इस पैच स्थापित बहाना है कि समस्या सबसे भयानक है, वे उन से कहा, वास्तव में नहीं, सुरक्षा की झूठी भावना हो जाती है। इस एक विचार धोखा है।
बड़ी कंपनियां सक्रिय रूप से नहीं पैचिंग है
कर रहे हैं और अधिक सामान्य स्थिति के प्रकार है कि, सोनी या सैमसंग की इतनी बड़ी कंपनी की तरह एक या दो पैच याद करेंगे। कई महत्वपूर्ण अद्यतन और नहीं, उदाहरण के लिए सैमसंग 2016 मोबाइल फोन J5 या जे 3, बहुत उपयोगकर्ता क्या पैच स्थापित किया गया है बताने के लिए फ्रैंक, लेकिन कई महत्वपूर्ण अद्यतन का अभाव है, लेकिन यह भी शीघ्र उपयोगकर्ता लगभग पता करने के लिए जो पैच वास्तव में स्थापित कर रहे हैं। इस समस्या को हल करने के लिए असंभव की कमी, SRL प्रयोगशाला जारी 'SnoopSnitch' एंड्रॉयड आवेदन, उपयोगकर्ताओं को समझने के लिए फोन कोड देखने की अनुमति देता है जो कहा जाता है सुरक्षा इसकी वास्तविक स्थिति अद्यतन।
मोबाइल फोन के स्टैक की जांच करने के बाद, SRL लैब्स ने निम्नलिखित चार्ट्स का उत्पादन किया.ऑक्टोबर 2017 के बाद पैचिंग स्थिति के अनुसार, विक्रेताओं को वर्गीकृत किया गया.सबसे अच्छा मामला परिदृश्य 0-1 पैच से गुम था.गूगल, सोनी, सैमसंग, और अज्ञात चीनी निर्माता विलो, ज़ियाओमी, जियाजिया, नोकिया ने औसतन 1-3 पैच गंवाए; एचटीसी, हूवेई, एलजी और मोटोरोला 3-4 पैच खो गए; टीसीएल और जेडटीई इस सूची में चार से अधिक सुरक्षा पैच खराब प्रदर्शनकारियों थे - उन्होंने दावा किया है कि वे स्थापित हैं, लेकिन नहीं।
कम अंत चिप एक दुष्चक्र ट्रिगर
अन्य मामलों में, मोबाइल फोन चिप में कमियां हैं, न कि ऑपरेटिंग सिस्टम में। अगर आप चिप का वर्गीकरण करते हैं तो आप सैमसंग की प्रोसेसर बेहतर कर सकते हैं, और क्वॉलकॉम की चिप भी ठीक है, लेकिन मीडियाटेक का उपयोग करें। ) चिप का सेल फोन 9.7 पैच की औसत याद नहीं रहा।
मूल्य निर्धारण के बारे फोन के साथ यह स्थिति, कम लागत मोबाइल फोन के आम तौर पर उपयोग करने के भी सस्ती चिप, सुरक्षा के लिए अधिक ध्यान भुगतान नहीं किया है (जैसे कि एक बड़ा अनुपात के लिए मीडिया टेक के रूप में), चिप विक्रेताओं पैच भरोसा है। हैंडसेट निर्माताओं को महत्व देते हैं नहीं करता है। नतीजा है कि के उपयोग सस्ते लो-एंड मोबाइल फोन चिप, चिप संयंत्र अगर आप सस्ते मोबाइल फोन के लिए चुनते हैं, एक सुरक्षित दुष्चक्र में प्रवेश करेंगे, इस पारिस्थितिकी तंत्र में कम अच्छा रखरखाव पाने प्रमुख सुरक्षा मुद्दों पर ध्यान नहीं प्राप्त कर लेंगे,।
गूगल: न केवल सुरक्षा पैच है
जब वायर्ड पत्रिका गूगल इंक से संपर्क करें, कंपनी प्रतिक्रिया ने कहा कि कुछ फोन SRL विश्लेषण Android उपकरणों प्रमाणित नहीं किया जा सकता है, जिसका अर्थ है कि वे गूगल की सुरक्षा के द्वारा नियंत्रित नहीं कर रहे हैं।
इसके अलावा, गूगल ने कहा कि यहां तक कि पैच न किया गया सुरक्षा कमजोरियों के साथ वर्तमान Android फ़ोन, इसे तोड़ने के लिए मुश्किल है। उनका मानना है कि, कुछ मामलों में, डिवाइस कुछ पैच, वंचित हो सकते हैं क्योंकि मोबाइल फोन निर्माताओं हिंसक फोन से अवरुद्ध एक कमजोर समारोह, बल्कि मरम्मत की तुलना में।
गूगल ने कहा कि यह SRL प्रयोगशाला, आगे की जांच पड़ताल परिणामों के साथ काम कर रहा है: 'एक सुरक्षा अद्यतन, Android उपकरणों और उपयोगकर्ताओं की सुरक्षा के कई पहलुओं में से एक है में निर्मित मंच संरक्षण, इस तरह के आवेदन सैंडबॉक्स और सुरक्षा सेवाओं के रूप में, गूगल खेल संरक्षण उतना ही महत्वपूर्ण है। इन सुरक्षा परतों Android पारिस्थितिकी तंत्र की विविधता के साथ संयुक्त। '
विज्ञापन
शोधकर्ता नोहल इस कथन से सहमत नहीं हैं.सुरक्षा पैच डिजिटल समस्या से अधिक है (उन्होंने कहा कि हर सुरक्षा पैच होना चाहिए); लेकिन वह मानता है कि एंड्रॉइड 4.0 के बाद Google के 'एंड्रॉइड फोन मुश्किल से' स्थानों के यादृच्छिक आवंटन और सैंडबॉक्सिंग तंत्र मैलवेयर को सफल होने में मुश्किल बनाते हैं।
आधुनिक तथाकथित 'फ़ोन हमले' लक्ष्य एंड्रॉइड मोबाइल फोन को पूरी तरह से नियंत्रित कर सकता है, लेकिन मोबाइल फोन सॉफ्टवेयर सिस्टम में कई कमियों का उपयोग करना आवश्यक है और सिर्फ एक ही नहीं।
'कठिन-ब्रेकिंग' दृष्टिकोण के विपरीत, सॉफ्ट हैक्स के खिलाफ की रक्षा करना बेहतर है, Google Play Store में मौजूद उन दुष्ट सॉफ़्टवेयर या सॉफ़्टवेयर जो प्रयोक्ताओं को अज्ञात स्रोतों से इंस्टॉल करने का प्रयास करते हैं। लोगों को अक्सर कहा जाता है मुफ्त या पायरेटेड सॉफ्टवेयर धोखे, यह पद्धति उच्च तकनीकी सामग्री नहीं है, वास्तव में, सामाजिक इंजीनियरिंग की श्रेणी के अंतर्गत आता है।
कारण निर्माताओं और प्रयोक्ताओं का सुझाव है कि सभी उपलब्ध सुरक्षा पैच स्थापित हैं शून्य दिन के कमियों को रोकने के लिए, जो आम तौर पर दुर्भावनापूर्ण लोगों द्वारा शोषण के बाद तुरंत खोज की जाती हैं। कई मामलों में, वे अभी तक ज्ञात हो सकते हैं हमले में मदद करने के लिए कमियां छीनने हैं.तो एक 'रक्षा में गहराई' सुरक्षा सिद्धांत है: प्रत्येक छिद्रित पैच सुरक्षा की एक संभावित परत है। आपको हैकर्स के लिए संभावित नहीं छोड़ना चाहिए, आपको सभी पैच स्थापित करना चाहिए।