'이 사람들은 패치를 설치하지 않은, 날짜를 변경'
구글은 수십개의 안드로이드 스마트 폰 제조업체와 수백명의 사업자가 정기적으로 보안 업데이트를 할 수 있도록 열심히 노력해 왔지만, 독일의 보안 회사는 수 백개의 안드로이드 폰을 조사한 후 주문을 발견했다. 방해 새로운 질문 :뿐만 아니라 패치, 또는 릴리스 전에 몇 달의 지연을 사용자에게 제공하기 위해 많은 안드로이드 휴대 전화 제조 업체를했다, 때로는 전화 펌웨어가 최신 사용자에게 있지만, 비밀리에 패치를 건너 뜁니다.
지난 2 월 암스테르담에서 개최 된 Hack at the Box 해커 보안 컨퍼런스에서 연구자들은 지난 2 년간 수 백 개의 안드로이드 휴대 전화 시스템 코드를 살펴 보았는데, 대부분 보안 문제가 숨겨져있다. 노힐 (Nohl)은 "패치가 작지만 모바일 보안에있어서 매우 중요하다. 최악의 경우 안드로이드 핸드셋 제조업체들이 의도적으로 기기의 사실을 왜곡한다.이 사람들은 푸시 할 때 업데이트 날짜를 변경하고 전혀 패치가 없다"고 말했다.
보안 기관 SRL 또한 구글 자체뿐만 아니라, 삼성, 모토로라, HTC 등 주요 안드로이드 휴대폰 업체뿐만 아니라, ZTE, TCL 등 중국 기업의 제조가 1200 전화를 테스트했다. 그들은 발견, 구글 자신 픽셀 및 픽셀이 다른 주력으로뿐만 아니라 기계,이 매우 혼란, 다른 두 번째와 세 번째 계층 제조 업체의 업데이트 기록이 혼란되어있는 보안 패치에서 최고 단말기 제조업체. 연구진은 NOHL 설치이 패치는 문제가 가장 끔찍한 척했다하더라도, 그들은 사용자에게 실제로 그것은 그렇지 못했고, 따라서 안보 의식이 떨어졌습니다. 이것은 의도적 인 속임수입니다.
큰 회사는 공격적으로 패치하지 않습니다.
이 일반적인 상황의 종류 소니 나 삼성 같은 큰 회사처럼 패치 또는 두 가지를 놓칠 것이다입니다. 많은 중요한 업데이트가 아니라, 예를 들어 삼성 2016 이동 전화 J5 또는 J3, 패치가 설치 된 내용을 사용자에게 매우 솔직 그러나 많은 중요한 업데이트가 부족뿐만 아니라, SRL 실험실 사용자가 이해하기 위해 전화 코드를 볼 수 있습니다 'SnoopSnitch'안드로이드 응용 프로그램이라고해서 출시 문제를 해결하기 위해. 패치가 실제로 설치되어있는 아는 것이 거의 불가능 프롬프트 사용자의 부족 해당 보안 업데이트의 실제 상태.
휴대 전화의 테스트 더미 아래 차트를 만드는 2017년 10월 후 상황 패치에 따라이 회사 채점 한 후 SRL 실험실, 0-1 패치없는 장비는 가장 좋은 경우입니다, 구글, 소니, 삼성뿐만 아니라 WIKO이 알 수없는 중국어 제조 업체가, 기장, 플러스는 노키아 1-3 패치의 평균 손실, 그리고 HTC는, 화웨이, LG, 모토로라는 잘 알려진 제조 업체 3 ~ 4 패치를 손실, TCL와 ZTE가 손실 4 개 이상의 보안 패치가 목록에있는 최악의 공연자였습니다.
로우 엔드 칩은 악의적 인 사이클을 촉발시킨다.
다른 경우에는 휴대 전화 칩에 운영 체제가 아닌 허점이 있습니다. 사용중인 칩을 분류하면 삼성 프로세서가 좋고 Qualcomm 칩도 괜찮 으면서 MediaTek을 사용하십시오. ) 칩의 휴대폰은 평균 9.7 개의 패치를 놓쳤다.
가격에 대한 전화와 이러한 상황은 저렴한 비용으로 휴대 전화는 일반적으로 사용 또한, 보안에 많은 관심을 지불하지 않은 (예 : 더 큰 비율로 텍 등) 저렴한 칩이다. 휴대폰 제조업체에 중요성을 첨부하지 않습니다, 칩 벤더가 패치를 의존하고있다. 그 결과는 그 사용 저비용 핸드셋 용 로우 엔드 칩은 보안에 신경을 쓰지 않는 칩 제조업체의 문제를 계승하게되며 궁극적으로 저렴한 휴대 전화를 선택하면이 생태계에서 잘 유지되지 않는 악의적 인 안전 영역에 진입하게됩니다.
Google : 보안은 단순히 패치하는 것 이상입니다.
이 문제로 유선 잡지가 Google에 연락했을 때, 회사는 SRL에서 분석 한 일부 휴대 전화가 Android 인증 기기가 아닐 수 있다고 응답했으며, 이는 Google의 보안 표준에 의해 제어되지 않는다는 것을 의미합니다.
또한, 구글은 심지어 패치되지 않은 보안 취약점과 현재 안드로이드 폰,. 그들은 믿고, 어떤 경우에는 장치가 휴대 전화 제조 업체가 격렬하게 전화 차단 간단하기 때문에, 어떤 패치를 놓칠 수 있습니다 침입하기 어려운 지적 취약한 기능이지 수정이 아닙니다.
구글은 SRL 연구소, 추가 조사 결과와 협력 말했다 : 'A 보안 업데이트는 내장과 같은 응용 프로그램 샌드 박스 서비스와 보안 서비스 플랫폼 보호, 구글 게임 보호 똑같이 중요하다, 안드로이드 장치 및 사용자의 보호의 여러 측면 중 하나입니다. 이 보안 계층은 안드로이드 생태계의 다양성과 함께. '
광고
연구원 노를 연구원은이 성명서에 동의하지 않는다. 보안 패치는 디지털 쟁점 (모든 보안 패치가 있어야한다고 말했지만)이지만, 구글의 '안드로이드 폰은 해독하기 어렵다'는 말에 동의한다. 안드로이드 4.0 이후에는 프로그램이 메모리에있다. 임의의 위치 할당 및 샌드 박싱 메커니즘으로 인해 멀웨어가 성공하기 어렵습니다.
현대의 소위 '전화 공격'은 목표 Android 휴대 전화를 완전히 제어 할 수 있지만 휴대 전화 소프트웨어 시스템에서 일련의 허점을 사용하는 것이 필요합니다.
'하드 균열'비교 방법을하지만, 방지해야 할 것은 소프트 균열, 즉, 구글 게임 상점에서 악성 소프트웨어가, 또는 알 수없는 보안 소스 소프트웨어의 숫자에서 사용자를 유인하는 사람들이 설치하는 것입니다. 그것은 종종 일부에 의해 호출된다 무료 트릭이나 불법 복제 소프트웨어는,이 방법은 사실, 사회 공학의 범주에 속하는, 첨단 기술이 아니다.
제조업체와 사용자가 사용 가능한 모든 보안 패치를 설치하도록 권장하는 이유는 악의적 인 사람들이 악용 한 직후에 일반적으로 발견되는 제로 데이 허점을 방지하기 위해서입니다. 공격에 도움이되는 허점을 패치하십시오. "심층 방어"보안 원칙이 있습니다. 누락 된 각 패치는 잠재적 인 보호 계층입니다. 해커의 잠재력을 떠나서는 안되며, 모든 패치를 설치해야합니다.