「これらの人は日付を変えるだけで、パッチはまったくありません。」
Googleは数十人のAndroidスマートフォンメーカーと数百のオペレーターに定期的にセキュリティアップデートを提供するよう努力してきたが、ドイツのセキュリティ会社は何百ものAndroid搭載携帯電話を調査して注文を発見した。未解決の新しい問題:多くのAndroid携帯電話メーカーは、ユーザーにパッチを提供しなかったり、数ヶ月間遅れたりしただけでなく、電話のファームウェアがすでに最新であることをユーザーに伝えることもありました。
金曜日は、ハッカーセキュリティ会議「ボックスにハック」アムステルダムで開催され、研究者は、最後の2年間のAndroidの携帯電話システムのコードの何百ものセキュリティリスクの大部分を見て、携帯電話のパッチの欠如は、多くの研究を表示するにはスタッフNohlは言った:「パッチは、モバイルセキュリティのために小さな、しかし非常に重要であるが、最悪の場合は、Androidの携帯電話メーカーの装置に故意に事実を歪曲これらの人はちょうど、時間を更新するためのプッシュで日付を変更しても、パッチを適用されていません...」
セキュリティ機関は、SRLは、彼らは、そのグーグル自身に加えて、ピクセルとピクセル2およびその他の旗艦として発見しました。また、Google自身だけでなく、サムスン、モトローラ、HTCや他の主要なAndroidの携帯電話メーカーだけでなく、ZTE、TCLと他の中国企業が製造している1200年の携帯電話を、テストしましたこれは非常に混乱していても、セキュリティパッチのトップ携帯端末メーカーならば、機械、その他の2番目と3番目の層のメーカーがレコードを更新するには、混乱している。Nohlは、このパッチがインストールされていることを言った研究者は、問題が最もひどいふり、彼らは、ユーザーに語りました実際にはそれはしませんでしたので、セキュリティの誤った感覚を作成します。これは意図的な欺瞞です。
大企業は積極的にパッチを当てません
そこより一般的な状況の種類は、ソニーやサムスンのような大きな会社のようなパッチまたは2を欠場する、ということですされている。多くの重要なアップデートではなく、例えばサムスンの2016年の携帯電話のJ5またはJ3、パッチがインストールされているものをユーザーに伝えることは非常に率直、しかし、実際にインストールされているパッチを知ることは、多くの重要な更新を欠いているだけでなく、迅速なユーザーの欠如はほぼ不可能。この問題を解決するために、SRLの研究室は、ユーザーが携帯電話のコードを表示することを可能にする「SnoopSnitch」Androidアプリケーションは、理解するために呼び出さ解放しますセキュリティ更新プログラムの実際の状態。
2017年10月以降のパッチ適用状況によると、ベンダーの評価は0-1のパッチが欠けていたが、Google、ソニー、 HTC、Huawei、LG、Motorolaが3〜4パッチを失った、TCLとZTE 4つ以上のセキュリティパッチがリストに掲載された最悪のパフォーマーでした。
ローエンドのチップが悪循環を引き起こす
メディアテックは、(存在状況がかなりオペレーティングシステムに比べて、携帯電話用チップの脆弱性に含まれています。あなたが分類にチップを使用押すと、サムスンのプロセッサが優れている、クアルコムのチップは大丈夫ですが、中国台湾メディアテックを使用して)チップ平均受話器は9.7パッチをリークしました。
価格設定についての電話でこの状況は、低コストの携帯電話は、一般的に使用また、セキュリティに多くの注意を払っていない(例えば、より大きな割合のメディアテックなど)の安価なチップである。携帯端末メーカーを重視しない、チップベンダーがパッチを依存している。結果はその使用安いローエンドの携帯電話チップ、チップ工場は、このエコシステムではあまり良いメンテナンスを取得し、あなたが安い携帯電話を選択した場合、安全な悪循環に入りますリードする、セキュリティ上の問題に注意を払っていない継承します。
Googleは:だけでなく、セキュリティパッチであります
ワイアード誌は、グーグル社と連絡を取った場合、会社の応答は、一部の携帯電話のSRLの分析は、彼らがGoogleのセキュリティ基準によって制御されていないことを意味し、Androidデバイスを認定されない場合があることに留意しました。
さらに、Androidの携帯電話メーカーが携帯電話から単にブロックするため、Androidの携帯電話にパッチのないセキュリティ脆弱性があっても、それを解読することは非常に難しいと指摘している脆弱な機能であり、修正ではありません。
「セキュリティアップデートは、Androidデバイスとユーザーのための多くの保護層の1つであり、アプリケーションサンドボックスやセキュリティサービスなどのプラットフォーム保護機能が組み込まれているため、Googleのゲーム保護も同様に重要です」とGoogleはSRL Labsと協力して、これらのセキュリティ層は、Androidエコシステムの多様性を組み合わせています。
広告
このセキュリティパッチはデジタル上の問題ではなく(すべてのセキュリティパッチが必要であると言っている)、GoogleのAndroid搭載携帯電話はクラッキングすることに同意している。場所のランダムな割り当てとサンドボックス機構により、マルウェアが成功するのが難しくなります。
現代のいわゆる「電話機攻撃」は、対象のAndroid携帯電話を完全に制御することができますが、携帯電話ソフトウェアシステムではなく、一連の抜け穴を使用する必要があります。
「ハードハッキング」アプローチとは対照的に、ソフトハッキング、Google Playストアの不正なソフトウェア、またはユーザーに未知の情報源からのインストールを誘惑するソフトウェアから保護する必要があります。無料または海賊版のソフトウェアの欺瞞は、このメソッドは、実際には、社会的なエンジニアリングのカテゴリに属して、技術のコンテンツでは高くありません。
メーカーやユーザーは、一般的に、すぐに悪質な使用であることが判明された後、ゼロデイ脆弱性(ゼロデイ)を防止するために、いくつかのセキュリティパッチがインストールされているお勧めすることができるようにする理由。多くの場合、彼らはまだ知らないかもしれません各パッチは、あなたがハッカーの可能性を残してはならない保護の潜在的なミス層であり、あなたはすべてのパッチをインストールする必要がありますので、唯一の "防衛深さでのセキュリティの原則を攻撃する脆弱性を修正するのに役立ちます。