"Estos tipos solo cambian la fecha, no tienen parches".
Google ha estado trabajando arduamente para conseguir que docenas de fabricantes de teléfonos inteligentes Android y cientos de operadores envíen actualizaciones de seguridad con regularidad, pero una compañía de seguridad alemana descubrió un pedido después de investigar cientos de teléfonos con Android. Nuevos problemas no solucionados: muchos fabricantes de teléfonos Android no solo no les proporcionaron parches a los usuarios, ni los retrasaron durante meses, sino que incluso les dijeron a los usuarios que el firmware del teléfono ya estaba actualizado, pero saltearon el parche en secreto.
En la conferencia de seguridad Hack at the Box hacker celebrada en Ámsterdam el viernes, los investigadores analizaron cientos de códigos de sistema de teléfonos móviles Android en los últimos dos años. La mayoría de ellos tienen riesgos de seguridad. No hay pocos parches de teléfonos móviles. El personal Nohl dijo: "Aunque el parche es pequeño, es muy importante para la seguridad móvil. En el peor de los casos, los fabricantes de teléfonos Android distorsionan deliberadamente los hechos en el dispositivo. Estos tipos cambiaron la fecha de actualización cuando empujaron, y no hay ningún parche".
La agencia de seguridad SRL probó 1.200 teléfonos móviles, incluida la propia Google, así como los principales fabricantes de teléfonos Android como Samsung, Motorola y HTC, así como compañías chinas como ZTE y TCL. Encontraron eso además de los propios productos insignia de Google como Pixel y Pixel 2. La máquina, incluso los principales fabricantes de teléfonos móviles del parche de seguridad, está bastante confundida y los registros de actualización de otros fabricantes de segundo y tercer nivel son aún más confusos. El investigador Nohl dijo que pretender haber instalado el parche es el problema más terrible, le dijeron al usuario allí. De hecho, no fue así, lo que produjo una falsa sensación de seguridad. Este es un engaño intencional.
Las grandes empresas no parchean agresivamente
Hay tipos de situación más común es que, como Sony o una empresa tan grande de Samsung se perderá un parche o dos. Muchos cambios importantes y no, por ejemplo, Samsung 2016 J5 teléfono móvil o J3, muy franco para indicar al usuario lo que se ha instalado el parche, pero carece de muchos cambios importantes, sino también la falta de petición al usuario casi imposible saber qué parches están instalados en realidad. para solucionar este problema, SRL laboratorio de autorización de llamada de aplicaciones Android 'SnoopSnitch', que permite a los usuarios ver el código telefónico de entender El estado real de su actualización de seguridad.
Después de probar la pila de teléfonos móviles, SRL Labs elaboró la siguiente tabla. Según la situación de parche después de octubre de 2017, los proveedores fueron calificados. En la mejor situación faltaban 0-1 parches. Google, Sony, Samsung, y el desconocido fabricante chino Wiko; Xiaomi, Jiajia, Nokia perdieron 1-3 parches en promedio; HTC, Huawei, LG y Motorola perdieron 3-4 parches; TCL y ZTE Más de cuatro parches de seguridad fueron los peores en la lista: afirmaron haber sido instalados pero no así.
El chip de baja calidad desencadena un círculo vicioso
En otros casos, hay lagunas en el chip del teléfono móvil, no en el sistema operativo. Si clasifica el chip que está utilizando, el procesador de Samsung es mejor y el chip de Qualcomm también está bien, pero use MediaTek. ) El teléfono celular del chip se perdió un promedio de 9.7 parches.
Esta situación está relacionada con la fijación de precios de teléfonos móviles. Los teléfonos móviles de bajo costo generalmente usan chips baratos (como MediaTek, por ejemplo) y no prestan mucha atención a la seguridad Los fabricantes de teléfonos móviles no prestan atención, confiando en los proveedores de chips para que proporcionen parches. Los chips de bajo costo para teléfonos de bajo costo heredarán el problema de los fabricantes de chips que no prestan atención a la seguridad. En última instancia, si eliges teléfonos más económicos, entrarás en una espiral viciosa de seguridad que no está bien mantenida en este ecosistema.
Google: la seguridad es más que solo parches
Cuando la revista Wired contactó a Google sobre este asunto, la compañía respondió que algunos de los teléfonos analizados por SRL pueden no ser dispositivos certificados por Android, lo que significa que no están controlados por los estándares de seguridad de Google.
Además, Google señaló que el actual teléfono Android, incluso con las vulnerabilidades de seguridad no parcheados, es difícil de romper. Ellos creen que, en algunos casos, el dispositivo puede pasar por alto algunos parches, simplemente porque los fabricantes de teléfonos móviles con violencia bloqueadas desde el teléfono Una característica vulnerable, no una solución.
Google dijo que está trabajando con SRL Laboratorio, otros resultados de la investigación: 'Una actualización de seguridad es uno de los muchos aspectos de la protección de los dispositivos y los usuarios de Android, una función de protección de la plataforma, tales como los servicios de recinto de seguridad de aplicaciones y seguridad, la protección Google juego es igualmente importante. Estas capas de seguridad combinan la diversidad del ecosistema de Android.
Publicidad
El investigador Nohl no está de acuerdo con esta afirmación. El parche de seguridad es más que un problema digital (dijo que cada parche de seguridad debería serlo), pero está de acuerdo en que el teléfono Android de Google es difícil de descifrar. Después de Android 4.0, el programa está en la memoria. La asignación aleatoria de ubicaciones y el mecanismo de espacio aislado dificultan el éxito del malware.
El llamado "ataque telefónico" moderno puede controlar completamente el teléfono móvil objetivo de Android, pero es necesario utilizar una serie de lagunas en el sistema de software del teléfono móvil y no solo en una.
En contraste con el enfoque de "ruptura definitiva", es mejor protegerse contra los piratas informáticos, el software fraudulento que se encuentra en Google Play Store, o el software que engaña a los usuarios para que instalen desde fuentes desconocidas. El engaño de software libre o pirateado, este método no es alto en contenido tecnológico, de hecho, pertenece a la categoría de ingeniería social.
La razón por la cual los fabricantes y usuarios recomiendan que se instalen todos los parches de seguridad disponibles es para evitar las lagunas de día cero, que generalmente se descubren inmediatamente después de ser explotadas por personas malintencionadas. En muchos casos, pueden utilizar lo conocido aún Parchear las lagunas para ayudar en el ataque. Por lo tanto, existe un principio de seguridad de "defensa en profundidad": cada parche omitido es una posible capa de protección. No debe dejar el potencial para los piratas informáticos, debe instalar todos los parches.