'این بچه ها فقط تغییر تاریخ، آنها هیچ تکه های در همه.
همه همراه، گوگل در حال تلاش برای ده ها تن از تولید کنندگان گوشی های هوشمند آندروید، و صدها اپراتور، به طور منظم فشار به روز رسانی امنیتی، اما یک شرکت امنیتی آلمان پس از رسیدگی به صدها نفر از تلفن های آندروید، راه را برای ایجاد یافت اخلال در پرسش های جدید: نه تنها بسیاری از تولید کنندگان تلفن همراه آندروید را برای کاربران ارائه با پچ، و یا یک تاخیر چند ماه قبل از انتشار، گاهی اوقات حتی کاربر سیستم عامل تلفن است که تا تاریخ را بگویید، اما مخفیانه قلم تکه.
محققان هک در کنفرانس امنیتی هکرها که در روز جمعه در آمستردام برگزار شد، در دو سال گذشته صدها کدهای سیستم تلفن همراه را مورد بررسی قرار دادند و بسیاری از آنها خطرات امنیتی دارند. چندین تکه تلفن همراه وجود ندارد. کارمندان نول گفتند: "اگر چه پچ کوچک است، اما برای امنیت تلفن همراه بسیار مهم است. در بدترین حالت، تولید کنندگان تلفن همراه آندروید عملا حقایق را بر روی دستگاه تحریف می کنند. این بچه ها فقط در هنگام فشار دادن تاریخ به روز رسانی تغییر کرده است و هیچ پچ دیگری وجود ندارد."
سازمان های امنیتی SRL آزمایش 1200 تلفن، که همچنین دارای خود گوگل، و همچنین سامسونگ، موتورولا، HTC و دیگر سازندگان بزرگ گوشی موبایل آندروید، و همچنین ZTE، TCL و دیگر شرکت های چینی تولید. آنها دریافتند که علاوه بر گوگل خود را به عنوان پیکسل و پیکسل 2 و گل سرسبد دیگر ماشین، حتی اگر تولید کنندگان گوشی برتر در وصله های امنیتی این است کاملا اشتباه است، دیگر سوابق تولید کنندگان ردیف دوم و سوم به روز رسانی است گیج کننده است. محققان نول گفت که این پچ نصب وانمود مشکل وحشتناک ترین است، آنها کاربران گفت: در واقع، و در نتیجه از امنیت کاذب. این دروغ است.
شرکت های بزرگ به طور فعال وصله نمی
وجود دارد انواع وضعیت شایع تر این است که، مانند سونی و یا مانند یک شرکت بزرگ سامسونگ را یک یا دو پچ از دست ندهید بسیاری از به روز رسانی مهم است. و نه، برای مثال سامسونگ 2016 J5 تلفن همراه و یا J3، بسیار صریح و بی پرده به کاربر چه پچ نصب شده است را بگویید، اما فاقد بسیاری به روز رسانی مهم است، بلکه عدم کاربر سریع تقریبا غیر ممکن است بدانید که تکه در واقع نصب شده است. برای حل این مشکل، SRL آزمایشگاهی به نام منتشر شد نرم افزار آندروید، SnoopSnitch، که اجازه می دهد تا کاربران را به مشاهده کد تلفن به درک امنیتی به روز رسانی وضعیت واقعی آن است.
پس از آزمایش ستون از تلفن های همراه، آزمایشگاه های SRL تولید نمودار زیر است: با توجه به وضعیت patching پس از اکتبر 2017، فروشندگان درجه بندی شدند. بهترین وضعیت از دست رفته 0-1 تکه های گوگل، سونی، سامسونگ و تولید کننده ناشناخته چینی Wiko؛ Xiaomi، Jiajia، نوکیا به طور متوسط 1-3 تکه را از دست داد؛ HTC، Huawei، LG و Motorola از دست رفته 3-4 پچ؛ TCL و ZTE بیش از چهار تکه امنیتی، بدترین سازندگان در لیست بودند - ادعا می کردند نصب شده اند، اما نه.
تراشه کم پایان باعث چرخه ی بدیع می شود
در موارد دیگر، در تراشه تلفن همراه نقص وجود دارد، نه در سیستم عامل. اگر شما طبقه بندی تراشه شما استفاده می کنید، پردازنده سامسونگ بهتر است، و تراشه Qualcomm نیز خوب است، اما از MediaTek استفاده کنید. ) تلفن همراه تراشه به طور متوسط 9.7 تکه را از دست داد.
این وضعیت با تلفن در مورد قیمت گذاری، کم هزینه گوشی های موبایل به طور کلی استفاده از تراشه ارزان (مانند MediaTek به نسبت بیشتری)، توجه زیادی به امنیت پرداخت نمی باشد. آیا اهمیت به تولید کنندگان گوشی پیوست کنید، فروشندگان تراشه تکیه پچ. نتیجه این است که استفاده از ارزان کم پایان تراشه تلفن همراه، گیاه تراشه به ارث می برند توجه به مسائل امنیتی پرداخت نمی کند، منجر اگر شما را انتخاب گوشی های موبایل ارزان، یک دور باطل امن را وارد کنید، از نگهداری کمتر خوب در این اکوسیستم است.
گوگل: امنیت بیشتر از فقط پچ کردن است
هنگامی که مجله سیمی در تماس با شرکت گوگل دریافت کنید، پاسخ شرکت اشاره کرد که برخی تحلیل SRL تلفن ممکن است گواهی نمی شود دستگاه های آندروید، که بدان معنی است که آنها توسط استانداردهای امنیتی گوگل کنترل نمی شود.
علاوه بر این، گوگل اشاره کرد که تلفن های اندرویدی حتی با آسیب پذیری های امنیتی اصلاح نشده، آن را دشوار برای شکستن است. آنها معتقدند، در برخی موارد، ممکن است دستگاه برخی از تکه های از دست ندهید، تنها به دلیل تولید کنندگان تلفن همراه به شدت از تلفن مسدود یک تابع آسیب پذیر، به جای تعمیر.
گوگل گفت که آنها با آزمایشگاه های SRL همکاری می کنند تا تحقیقات بیشتر درباره این یافته ها را انجام دهند: "به روز رسانی های امنیتی یکی از لایه های محافظت برای دستگاه های اندرویدی و کاربران است. حفاظت از پلتفرم ساخته شده، مانند گودینگ جعبه کاربردی و سرویس های امنیتی، حفاظت از Google Game نیز اهمیت دارد. این لایه های امنیتی همراه با تنوع اکوسیستم آندروید.
تبلیغات
محقق نول با این بیانیه موافق نیست. پچ امنیتی بیشتر از یک مسئله دیجیتالی است (او گفت که هر پچ امنیتی باید باشد)؛ اما او موافق است که گوگل "Android گوشی دشوار است"، پس از آندروید 4.0، این برنامه در حافظه است تخصیص تصادفی مکان ها و مکانیزم sandboxing باعث می شود تا نرم افزارهای مخرب موفق شوند.
مدرن به اصطلاح "حمله تلفن" می تواند به طور کامل کنترل تلفن همراه هدف آندروید، اما لازم است از مجموعه ای از نقاط ضعف در سیستم نرم افزار تلفن همراه و نه تنها یک.
در مقابل روش سخت شکستن، بهتر است در برابر هک های نرم، نرم افزار های سرکش که در فروشگاه Google Play قرار دارند، یا نرم افزاری که کاربر را به نصب از منابع ناشناخته تر راهنمایی کند، بهتر است. فریب نرم افزار آزاد یا حیرت انگیز، این روش در محتوای فن آوری بالا نیست، در واقع، متعلق به دسته مهندسی اجتماعی است.
دلیل این که کاربران و فروشندگان توصیه می کنند که تمام تکه های امنیتی موجود نصب شود، جلوگیری از خطاهای ناشی از صفر روز است که بطور کلی بلافاصله پس از آن توسط افراد مخرب مورد سوء استفاده قرار می گیرد. در بسیاری از موارد ممکن است از شناخته شده نقاط ضعف برای کمک به حمله. بنابراین یک اصل امنیتی "عمیق دفاع" وجود دارد: هر پچ از دست رفته یک لایه بالقوه حفاظت است. شما نباید پتانسیل هکرها را ترک کنید، شما باید تمام تکه ها را نصب کنید.