'Esses caras apenas mudam a data, eles não têm nenhum remendo.'
O Google vem trabalhando duro para que dezenas de fabricantes de smartphones Android e centenas de operadoras enviem regularmente atualizações de segurança, mas uma empresa de segurança alemã descobriu um pedido depois de investigar centenas de telefones Android. Problemas novos não resolvidos: muitos fabricantes de telefones Android não só não forneceram patches aos usuários, como também os atrasaram por meses, e às vezes até informavam aos usuários que o firmware do telefone já estava atualizado, mas secretamente ignoraram o patch.
Na conferência de segurança hacker Hack at the Box, realizada em Amsterdã na sexta-feira, os pesquisadores analisaram centenas de códigos de sistema de telefonia móvel Android nos últimos dois anos.A maioria deles tem riscos de segurança.A falta de um patch de telefones celulares não é incomum. Pessoal Nohl disse: "Embora o patch é pequeno, é muito importante para a segurança móvel. Na pior das hipóteses, os fabricantes de celulares Android deliberadamente distorcer os fatos no dispositivo. Estes caras apenas mudaram a data de atualização ao empurrar, e não há nenhum patch."
A agência de segurança SRL testou 1.200 telefones celulares, incluindo o próprio Google e os principais fabricantes de telefones Android, como Samsung, Motorola e HTC, além de empresas chinesas como ZTE e TCL. Eles descobriram que além dos flagships do Google, como Pixel e Pixel 2. A máquina, até mesmo os principais fabricantes de telefones celulares no patch de segurança é bastante confuso, e os registros de atualização de outros fabricantes de segundo e terceiro níveis são ainda mais confuso. De fato, não produziu uma falsa sensação de segurança, isso é engano intencional.
Grandes empresas não fazem o patch agressivamente
Em uma situação mais comum, grandes empresas como Sony ou Samsung também perderão uma ou duas correções.Muitas atualizações importantes não existem, como o celular J5 ou J3 da Samsung de 2016. Eles são muito francos em dizer aos usuários quais patches foram instalados. No entanto, muitas atualizações importantes estão faltando e não há dicas.É quase impossível para os usuários saber quais patches foram realmente instalados.Para resolver este problema, SRL Labs lançou um aplicativo Android chamado 'SnoopSnitch' que permite ao usuário visualizar o código do telefone celular para entender O status atual de sua atualização de segurança.
Depois de testar a pilha de telefones celulares, a SRL Labs produziu os seguintes gráficos: De acordo com a situação de correção após outubro de 2017, os fornecedores foram classificados. O melhor cenário foi a ausência de patches de 0 a 1. Google, Sony, Samsung, e o desconhecido fabricante chinês Wiko; Xiaomi, Jiajia, Nokia perderam 1-3 patches em média; HTC, Huawei, LG e Motorola perderam 3-4 patches; TCL e ZTE Mais de quatro patches de segurança foram os de pior desempenho na lista - eles afirmaram ter sido instalados, mas não.
Chip low-end desencadeia um ciclo vicioso
Em outros casos, há lacunas no chip do celular, não no sistema operacional, se você classificar o chip que está usando, o processador da Samsung é melhor e o chip da Qualcomm também está bem, mas use o MediaTek. O celular do chip perdeu uma média de 9,7 patches.
Essa situação está relacionada ao preço dos telefones celulares, que geralmente usam chips baratos (como o MediaTek, por exemplo), e não dão muita atenção à segurança, pois os fabricantes de celulares não prestam atenção e confiam nos fornecedores de chips para fornecer patches. Chips de baixo custo para aparelhos de baixo custo irão herdar a falta de atenção da fabricante de chips à segurança.Em última instância, se você escolher aparelhos mais baratos, você entrará em uma espiral viciosa de segurança que não é bem mantida neste ecossistema.
Google: segurança é mais do que apenas remendar
Quando a revista Wired entrou em contato com o Google sobre esse assunto, a empresa respondeu que alguns dos telefones analisados pela SRL podem não ser dispositivos com certificação Android, o que significa que eles não são controlados pelos padrões de segurança do Google.
Além disso, o Google apontou que, mesmo que haja falhas de segurança não corrigidas nos telefones Android, é muito difícil quebrá-las.Eles acreditam que, em alguns casos, o dispositivo pode perder alguns patches, porque os fabricantes de telefones celulares simplesmente bloqueiam o telefone Um recurso vulnerável, não uma correção.
O Google disse que está trabalhando com a SRL Labs para investigar melhor as descobertas: "As atualizações de segurança são uma das muitas camadas de proteção para dispositivos e usuários Android. Proteção de plataforma embutida, como caixa de proteção de aplicativos e serviços de segurança, é igualmente importante. Essas camadas de segurança combinam a diversidade do ecossistema do Android.
Publicidade
Pesquisador Nohl não concorda com esta declaração.O patch de segurança é mais do que uma questão digital (ele disse que cada patch de segurança deve ser), mas ele concorda que o Google 'Android telefone é difícil de decifrar' declaração, após o Android 4.0, o programa está na memória A alocação aleatória de locais e o mecanismo de sandboxing dificultam o êxito do malware.
O chamado 'ataque de telefone' moderno pode controlar completamente o celular Android alvo, mas é necessário usar uma série de brechas no sistema de software de telefonia móvel e não apenas um.
Em contraste com a abordagem "hard-breaking", é melhor proteger-se contra soft hacks, aqueles softwares desonestos que estão na Google Play Store ou software que engana os usuários para que instalem a partir de fontes desconhecidas. O engano de software livre ou pirateado, este método não é rico em conteúdo de tecnologia, na verdade, pertence à categoria de engenharia social.
A razão pela qual fornecedores e usuários recomendam que todos os patches de segurança disponíveis sejam instalados é para evitar brechas de dia zero, que geralmente são descobertas imediatamente após serem exploradas por pessoas mal-intencionadas. Corrigindo brechas para ajudar no ataque Então, há um princípio de segurança de 'defesa em profundidade': Cada patch perdido é uma camada potencial de proteção. Você não deve deixar o potencial para hackers, você deve instalar todos os patches.