'Questi ragazzi cambiano semplicemente la data, non hanno alcuna patch.'
Google ha lavorato duramente per portare decine di produttori di smartphone Android e centinaia di operatori a spingere regolarmente gli aggiornamenti di sicurezza, ma una società di sicurezza tedesca ha scoperto un ordine dopo aver esaminato centinaia di telefoni Android. Nuovi problemi non risolti: molti produttori di telefoni Android non solo non sono riusciti a fornire patch agli utenti né li hanno ritardati per diversi mesi, ma a volte hanno anche detto agli utenti che il firmware del telefono era già aggiornato, ma segretamente ignorava la patch.
Alla conferenza sulla sicurezza degli hacker di Hack at the Box tenutasi ad Amsterdam venerdì scorso, i ricercatori hanno esaminato centinaia di codici di sistema di telefonia mobile Android negli ultimi due anni e la maggior parte di essi presenta rischi per la sicurezza. Il personale Nohl ha dichiarato: "Sebbene la patch sia piccola, è molto importante per la sicurezza mobile: nel caso peggiore, i produttori di cellulari Android intenzionalmente distorcono i fatti sul dispositivo, questi hanno appena cambiato la data di aggiornamento quando spingono e non c'è nessun patch".
le agenzie di sicurezza SRL testato un 1200 di telefono, che ha anche Google se stessi, così come Samsung, Motorola, HTC e altri grandi produttori di telefonini Android, così come ZTE, TCL e altre società cinesi produzione. Essi hanno scoperto che, in aggiunta a Google se stesso come Pixel e Pixel 2 e l'altro fiore all'occhiello la macchina, anche se i produttori di cellulari top nelle patch di sicurezza questo è abbastanza confusi, altri record produttori secondo e terzo livello di aggiornamento è confusa. i ricercatori hanno Nohl ha detto che questa patch installata finta che il problema è più terribile, hanno detto gli utenti, In realtà non è così, creando così un falso senso di sicurezza: questo è un inganno intenzionale.
Le grandi aziende non si applicano in modo aggressivo
In una situazione più comune, le grandi aziende come Sony o Samsung mancheranno anche una o due patch.Non esistono molti aggiornamenti importanti, come il cellulare J5 o J3 di Samsung del 2016. Sono molto sinceri nel dire agli utenti quali patch sono state installate. Tuttavia, mancano molti aggiornamenti importanti e non ci sono suggerimenti: è quasi impossibile per gli utenti sapere quali patch sono effettivamente installate.Per risolvere questo problema, SRL Labs ha rilasciato un'applicazione Android chiamata "SnoopSnitch" che consente agli utenti di visualizzare i codici dei telefoni cellulari per capire Lo stato attuale del suo aggiornamento della sicurezza.
Dopo aver testato la pila di telefoni cellulari, SRL Labs ha prodotto la seguente tabella: in base alla situazione delle patch dopo l'ottobre 2017, i venditori sono stati valutati, mentre lo scenario migliore mancava di patch 0-1. Samsung e lo sconosciuto produttore cinese Wiko, Xiaomi, Jiajia, Nokia hanno perso in media 1-3 patch, HTC, Huawei, LG e Motorola hanno perso 3-4 patch, TCL e ZTE Più di quattro patch di sicurezza erano le peggiori performer della lista - affermavano di essere state installate, ma non lo erano.
Il chip di fascia bassa innesca un circolo vizioso
In altri casi, ci sono scappatoie nel chip del telefono cellulare, non nel sistema operativo: se si classifica il chip che si sta utilizzando, il processore Samsung è migliore, e anche il chip di Qualcomm è ok, ma si usa MediaTek. ) Il cellulare del chip ha perso una media di 9,7 patch.
Questa situazione è legata alla tariffazione dei telefoni cellulari: i telefoni cellulari a basso costo generalmente utilizzano chip economici (come MediaTek, ad esempio) e non prestano molta attenzione alla sicurezza: i produttori di telefoni cellulari non prestano attenzione e si affidano ai fornitori di chip per fornire patch. I chip di fascia bassa per telefoni a basso costo erediteranno la mancanza di attenzione da parte del produttore di chip in termini di sicurezza, in definitiva, se si sceglie un telefono meno costoso, si entrerà in una spirale di sicurezza non mantenuta in questo ecosistema.
Google: la sicurezza è più che un semplice patch
Quando la rivista Wired ha contattato Google su questo argomento, la società ha risposto che alcuni telefoni analizzati da SRL potrebbero non essere dispositivi con certificazione Android, il che significa che non sono controllati dagli standard di sicurezza di Google.
Inoltre, Google ha sottolineato che anche se ci sono lacune di sicurezza senza patch nei telefoni Android, è molto difficile craccarli: credono che in alcuni casi il dispositivo possa perdere alcune patch, perché i produttori di telefoni cellulari semplicemente si bloccano dal telefono Una funzionalità vulnerabile, non una correzione.
Google ha detto che sta lavorando con SRL Laboratorio, ulteriori risultati di indagine: 'Un aggiornamento di sicurezza è uno dei tanti aspetti della protezione dei dispositivi e degli utenti Android, built-in di protezione della piattaforma, come i servizi sandbox dell'applicazione e di sicurezza, la protezione di Google gioco è altrettanto importante. Questi livelli di sicurezza combinano la diversità dell'ecosistema Android.
pubblicità
Il ricercatore Nohl non è d'accordo con questa affermazione La patch di sicurezza è più di un problema digitale (ha detto che ogni patch di sicurezza dovrebbe essere), ma concorda sul fatto che Google Android è difficile da decifrare, dopo Android 4.0, il programma è in memoria L'allocazione casuale delle posizioni e il meccanismo di sandboxing rendono difficile il successo del malware.
Il moderno cosiddetto "attacco telefonico" può controllare completamente il telefono Android di destinazione, ma è necessario utilizzare una serie di scappatoie nel sistema software del telefono cellulare e non solo uno.
Per fare un confronto a 'crepa duro' via, ma dovrebbe evitare è il crack morbida, cioè, coloro che rogue software nel negozio di gioco Google, o per attirare gli utenti da una serie di software fonte della sicurezza non identificata da installare. E 'spesso chiamato da alcuni trucco libero o software pirata, questo approccio non è ad alta tecnologia, infatti, appartengono alla categoria di ingegneria sociale.
Il motivo per cui venditori e utenti raccomandano l'installazione di tutte le patch di sicurezza disponibili è di evitare scappatoie zero-day, che vengono in genere scoperte immediatamente dopo essere state sfruttate da persone malintenzionate. Patch di scappatoie per assistere in attacco.Così c'è un principio di sicurezza 'difesa in profondità': ogni patch mancante è un potenziale livello di protezione.Non devi lasciare il potenziale per gli hacker, dovresti installare tutte le patch.