«Эти ребята просто меняют дату, у них нет патчей».
Все вместе, Google стремится сделать десятки Android производителей смартфонов, а также сотни операторов, регулярно толкать обновления безопасности, но немецкая фирма безопасности после того, как расследование сотни Android телефонов, нашла способ сделать Неурегулированные новые проблемы: многие производители телефонов Android не только не предоставили пользователям патчей, либо задержали их в течение нескольких месяцев, но иногда даже говорили пользователям, что прошивка телефона уже обновлена, но тайно пропускает патч.
На прошедшей в пятницу в Амстердаме конференции Hack at the Box, посвященной безопасности хакеров, исследователи рассмотрели сотни кодов системы Android для мобильных телефонов за последние два года. У большинства из них есть риски для безопасности. Отсутствие патча мобильных телефонов не является чем-то необычным. Персонал Nohl сказал: «Несмотря на небольшой размер патча, это очень важно для безопасности мобильных устройств. В худшем случае производители телефонов Android намеренно искажают факты на устройстве. Эти ребята просто изменили дату обновления при нажатии, и патча вообще нет».
Агентство безопасности SRL провело тестирование 1200 мобильных телефонов, включая самого Google, и основных производителей телефонов Android, таких как Samsung, Motorola и HTC, а также китайских компаний, таких как ZTE и TCL. Они обнаружили, что помимо собственных флагманов Google, таких как Pixel и Pixel 2 Машина, даже лучшие производители мобильных телефонов в патче безопасности, довольно сбита с толку, а записи об обновлениях других производителей второго и третьего уровня еще более запутанны. Исследователь Нол сказал, что это притворство для установки патча - самая страшная проблема, они сказали пользователю, На самом деле это не так, создавая ложное чувство безопасности. Это преднамеренный обман.
Крупные компании не атакуют агрессивно
В более распространенной ситуации крупные компании, такие как Sony или Samsung, также пропустит один или два патча. Многие важные обновления не существуют, например, мобильный телефон Samsung J5 или J3 от Samsung 2016 года. Они очень откровенно рассказывают пользователям, какие исправления были установлены. Тем не менее, многие важные обновления отсутствуют, и нет никаких подсказок. Пользователям практически невозможно узнать, какие исправления на самом деле были установлены. Чтобы решить эту проблему, SRL Labs выпустила приложение Android под названием «SnoopSnitch», которое позволяет пользователю просматривать код мобильного телефона, чтобы понять Фактический статус обновления безопасности.
После тестирования стека мобильных телефонов компания «SRL Labs» выпустила следующие диаграммы: в соответствии с ситуацией исправления после октября 2017 года вендоры были оценены. В лучшем случае отсутствовали 0-1 патчей. Google, Sony, Samsung и неизвестный китайский производитель Wiko, Xiaomi, Jiajia, Nokia потеряли в среднем 1-3 патча, а HTC, Huawei, LG и Motorola потеряли 3-4 патча, TCL и ZTE Более четырех патчей безопасности были худшими исполнителями в списке - они утверждали, что были установлены, но нет.
Низкопробный чип запускает порочный круг
В других случаях в чипе мобильных телефонов есть лазейки, а не в операционной системе. Если вы классифицируете чип, который используете, процессор Samsung лучше, а чип Qualcomm также в порядке, но используйте MediaTek. ) Сотовый телефон чипа пропустил в среднем 9,7 патчей.
Эта ситуация связана с ценообразованием на мобильные телефоны: недорогие мобильные телефоны обычно используют дешевые чипы (например, MediaTek, например), и не обращают особого внимания на безопасность. Производители мобильных телефонов не обращают внимания и полагаются на поставщиков чипов для предоставления исправлений. Низкокачественные чипы для недорогих телефонов унаследуют проблему производителей микросхем, не обращая внимания на безопасность. В конечном счете, если вы выберете дешевый мобильный телефон, вы введете порочную спираль безопасности, которая не поддерживается в этой экосистеме.
Google: безопасность - это больше, чем просто исправление
Когда журнал Wired связался с Google по этому вопросу, компания ответила, что некоторые телефоны, проанализированные компанией SRL, могут не быть устройствами, сертифицированными для Android, а это означает, что они не контролируются стандартами безопасности Google.
Кроме того, Google указала, что даже если на телефонах Android есть уязвимости безопасности, их очень сложно взломать. Они считают, что в некоторых случаях устройство может пропустить некоторые исправления, потому что производители мобильных телефонов просто блокируют мобильный телефон Уязвимая функция, а не исправление.
Google сказал, что они работают с лабораторией SRL для дальнейшего изучения результатов: «Обновления безопасности - один из многих уровней защиты для устройств Android и пользователей. Встроенная защита платформы, такая как песочница приложений и службы безопасности, одинаково важна. Эти уровни безопасности сочетают разнообразие экосистемы Android.
реклама
Исследователь Nohl не согласен с этим утверждением. Патч безопасности - это больше, чем цифровая проблема (он сказал, что каждый патч безопасности должен быть), но он согласен с тем, что Android-телефон Google трудно взломать. После Android 4.0 программа находится в памяти. Случайное распределение местоположений и механизм песочницы затрудняют успешное выполнение вредоносного ПО.
Современная так называемая «телефонная атака» может полностью контролировать целевой мобильный телефон Android, но необходимо использовать ряд лазеек в программной системе для мобильных телефонов, а не только одну.
В отличие от «жесткого взлома» подхода, его следует защищать от мягких хаков, тех, которые являются изгоем программного обеспечения в Google Play Store, или программного обеспечения, которое подталкивает пользователей к установке из неизвестных источников. Свободный или пиратский программный обман, этот метод невелик в содержании технологий, фактически относится к категории социальной инженерии.
Причина, по которой поставщики и пользователи рекомендуют устанавливать все доступные исправления безопасности, - это предотвращение лазеек с нулевым днем, которые обычно обнаруживаются сразу же после использования злоумышленниками. Во многих случаях они могут использовать известные Исправление лазеек для оказания помощи в атаке. Таким образом, существует принцип защиты в глубину: каждый пропущенный патч является потенциальным уровнем защиты. Вы не должны оставлять потенциал для хакеров, вы должны установить все исправления.