"พวกนี้เปลี่ยนวันที่พวกเขาไม่มีแพทช์เลย"
Google พยายามอย่างหนักเพื่อให้ผู้ผลิตสมาร์ทโฟน Android และผู้ดำเนินการหลายร้อยรายดำเนินการอัปเดตการรักษาความปลอดภัยเป็นประจำ แต่ บริษัท ด้านความปลอดภัยเยอรมันได้ค้นพบคำสั่งซื้อหลังจากตรวจสอบโทรศัพท์ Android จำนวนหลายร้อยเครื่องแล้ว ปัญหาใหม่ที่ยังไม่ได้แก้ปัญหา: ผู้ผลิตโทรศัพท์ Android จำนวนมากไม่เพียง แต่ล้มเหลวในการจัดหาแพทช์หรือทำให้พวกเขาล่าช้าเป็นเวลาหลายเดือนพวกเขาบางครั้งก็บอกกับผู้ใช้ว่าเฟิร์มแวร์โทรศัพท์มีอยู่แล้ว
ที่แฮ็กเกอร์ที่แฮ็กเกอร์แฮ็กเกอร์ได้จัดขึ้นที่อัมสเตอร์ดัมเมื่อวันศุกร์ที่ผ่านมานักวิจัยได้ตรวจสอบรหัสระบบโทรศัพท์เคลื่อนที่ระบบ Android จำนวนหลายร้อยฉบับในช่วงสองปีที่ผ่านมาส่วนใหญ่มีความเสี่ยงด้านความปลอดภัยขาดแพทช์โทรศัพท์มือถือไม่ใช่เรื่องแปลก พนักงานกล่าวว่าแม้ว่าแพทช์จะมีขนาดเล็ก แต่ก็มีความสำคัญอย่างมากต่อความปลอดภัยของโทรศัพท์มือถือในกรณีที่แย่ที่สุดผู้ผลิตโทรศัพท์มือถือ Android จะบิดเบือนข้อเท็จจริงเกี่ยวกับอุปกรณ์โดยเด็ดขาดพวกเขาเพิ่งเปลี่ยนวันที่อัปเดตเมื่อมีการผลักดันและไม่มีแพทช์เลย
หน่วยงานด้านความปลอดภัยได้ทดสอบโทรศัพท์มือถือ 1,200 เครื่องซึ่งรวมถึง Google เองและผู้ผลิตโทรศัพท์ Android รายใหญ่ ๆ เช่น Samsung โมโตโรล่าและ HTC ตลอดจน บริษัท ในจีนเช่น ZTE และ TCL นอกจากนี้ยังพบว่านอกเหนือจากเรือธงของ Google เช่น Pixel และ Pixel 2 เครื่องแม้ผู้ผลิตโทรศัพท์มือถือชั้นนำในแพทช์รักษาความปลอดภัยจะสับสนมากและบันทึกการปรับปรุงของผู้ผลิตรายอื่น ๆ ที่สองและสามจะยิ่งสับสนนักวิจัย Nohl กล่าวว่าหลอกทำเป็นว่ามีการติดตั้งแพทช์เป็นปัญหาที่แย่ที่สุดที่พวกเขาบอกผู้ใช้ที่นั่น, ในความเป็นจริงมันไม่ได้ซึ่งก่อให้เกิดความผิดพลาดของการรักษาความปลอดภัยนี้เป็นการหลอกลวงโดยเจตนา
บริษัท ขนาดใหญ่ไม่ได้รับการแก้ไขอย่างจริงจัง
มีชนิดของสถานการณ์ทั่วไปที่เกิดขึ้นก็คือว่าเช่น Sony หรือดังกล่าวเป็น บริษัท ขนาดใหญ่ของซัมซุงจะพลาดแพทช์หรือสอง. การปรับปรุงที่สำคัญจำนวนมากและไม่ได้เช่นซัมซุง 2016 J5 โทรศัพท์มือถือหรือ J3, ตรงไปตรงมามากที่จะบอกผู้ใช้สิ่งที่แพทช์ที่ได้รับการติดตั้ง แต่ขาดการปรับปรุงที่สำคัญมาก แต่ยังขาดการใช้พรอมต์เกือบจะเป็นไปไม่ได้ที่จะทราบว่าแพทช์มีการติดตั้งจริง. ในการแก้ปัญหานี้ SRL ห้องปฏิบัติการออกเรียกว่าการประยุกต์ใช้ Android 'SnoopSnitch' ซึ่งจะช่วยให้ผู้ใช้สามารถดูรหัสโทรศัพท์ที่จะเข้าใจ การปรับปรุงความปลอดภัยสถานะที่แท้จริงของมัน
หลังจากการทดสอบสแต็คของโทรศัพท์มือถือแล้ว SRL Labs ได้สร้างแผนภูมิต่อไปนี้ตามสถานการณ์การแก้ไขหลังจากเดือนตุลาคมปี 2017 ผู้จัดจำหน่ายได้รับคะแนนเป็นอย่างดีกรณีตัวอย่างที่ดีที่สุดหายไป 0-1 แผ่น Google, Sony, Samsung และผู้ผลิต Wiko จีนที่ไม่รู้จัก Xiaomi, Jiajia, Nokia หายไป 1-3 เม็ดโดยเฉลี่ย HTC, Huawei, LG และ Motorola หายไป 3-4 แพทช์ TCL และ ZTE มากกว่าสี่แพทช์รักษาความปลอดภัยเป็นรายการแย่ที่สุดในรายการ - พวกเขาอ้างว่าได้รับการติดตั้ง แต่ไม่
ชิประดับไฮเอนด์ก่อให้เกิดวงจรที่ร้ายกาจ
ในกรณีอื่น ๆ มีช่องโหว่ในชิปโทรศัพท์มือถือไม่อยู่ในระบบปฏิบัติการหากคุณจำแนกชิปที่คุณใช้งานโปรเซสเซอร์ของซัมซุงดีกว่าและชิป Qualcomm ก็โอเค แต่ใช้ MediaTek ) โทรศัพท์มือถือของชิปพลาดค่าเฉลี่ย 9.7 แพทช์
สถานการณ์เช่นนี้เกี่ยวข้องกับการกำหนดราคาโทรศัพท์มือถือโทรศัพท์มือถือต้นทุนต่ำมักใช้ชิปราคาถูก (เช่น MediaTek เป็นต้น) และไม่ใส่ใจกับความปลอดภัยผู้ผลิตโทรศัพท์มือถือไม่ให้ความสนใจและพึ่งพาผู้จัดจำหน่ายชิพเพื่อจัดหาแพทช์ผลที่ได้คือการนำไปใช้ ชิพต่ำสุดสำหรับโทรศัพท์มือถือที่มีต้นทุนต่ำจะสืบทอดการขาดความเอาใจใส่ของผู้ผลิตชิพไปสู่ความปลอดภัยในที่สุดหากคุณเลือกโทรศัพท์มือถือราคาถูกคุณจะเข้าสู่วงจรความปลอดภัยที่ไม่ได้รับการดูแลอย่างดีในระบบนิเวศนี้
Google: การรักษาความปลอดภัยเป็นมากกว่าการแก้ไข
เมื่อนิตยสาร Wired ติดต่อ Google เกี่ยวกับเรื่องนี้ บริษัท ตอบว่าโทรศัพท์บางรุ่นที่ทำการวิเคราะห์โดย SRL อาจไม่ใช่อุปกรณ์ที่ได้รับการรับรองจาก Android ซึ่งหมายความว่าอุปกรณ์เหล่านี้จะไม่ได้รับการควบคุมตามมาตรฐานความปลอดภัยของ Google
นอกจากนี้ Google ยังชี้ให้เห็นว่าแม้ว่าจะมีช่องโหว่ด้านความปลอดภัยที่ไม่ได้รับการติดตั้งในโทรศัพท์แอนดรอยด์ แต่ก็ยากที่จะแตกพวกเขาเชื่อว่าในบางกรณีอุปกรณ์อาจพลาดแพทช์เนื่องจากผู้ผลิตโทรศัพท์มือถือสามารถบล็อกโทรศัพท์ได้ คุณลักษณะที่มีช่องโหว่ไม่สามารถแก้ไขได้
Google กล่าวว่าพวกเขากำลังทำงานร่วมกับ SRL Labs เพื่อตรวจสอบข้อค้นพบต่อไปว่า "การอัปเดตการรักษาความปลอดภัยเป็นหนึ่งในระบบป้องกันที่หลากหลายสำหรับอุปกรณ์ Android และผู้ใช้การป้องกันแพลตฟอร์มแบบ built-in เช่น sandbox แอพพลิเคชันและบริการรักษาความปลอดภัย Google Game Protection มีความสำคัญไม่แพ้กัน เลเยอร์ความปลอดภัยเหล่านี้รวมความหลากหลายของระบบนิเวศของ Android
การโฆษณา
นักวิจัย Nohl ไม่เห็นด้วยกับคำชี้แจงนี้แพทช์รักษาความปลอดภัยมากกว่าปัญหาดิจิตอล (เขากล่าวว่าแพทช์รักษาความปลอดภัยทุกควร) แต่เขาเห็นพ้องกันว่าคำสั่ง "Android โทรศัพท์ยากที่จะแตก" หลังจาก Android 4.0, โปรแกรมอยู่ในหน่วยความจำ การจัดสรรสถานที่โดยไม่ตั้งใจและกลไกการทำแซนด์บ็อกซ์ทำให้ยากที่มัลแวร์จะประสบความสำเร็จ
"โทรศัพท์โจมตี" สมัยใหม่ที่เรียกว่าสามารถควบคุมโทรศัพท์ Android เป้าหมายได้อย่างสมบูรณ์ แต่จำเป็นต้องใช้ชุดช่องโหว่ในระบบซอฟต์แวร์โทรศัพท์มือถือและไม่ใช่เพียงอย่างใดอย่างหนึ่ง
ในทางตรงกันข้ามกับวิธีการ "ยาก" การป้องกันไม่ให้มีการแฮ็กนุ่มซอฟต์แวร์หลอกลวงเหล่านั้นที่อยู่ใน Google Play สโตร์หรือซอฟต์แวร์ที่หลอกล่อผู้ใช้ให้ติดตั้งจากแหล่งที่มาที่ไม่รู้จักผู้คนมักเรียกว่า การหลอกลวงซอฟต์แวร์ฟรีหรือละเมิดลิขสิทธิ์วิธีนี้ไม่สูงในเนื้อหาเทคโนโลยีในความเป็นจริงเป็นประเภทของวิศวกรรมทางสังคม
เหตุผลที่ผู้ผลิตและผู้ใช้แนะนำให้ติดตั้งแพทช์รักษาความปลอดภัยทั้งหมดไว้เพื่อป้องกันช่องโหว่ zero-day ซึ่งโดยทั่วไปแล้วจะถูกค้นพบโดยทันทีหลังจากถูกโจมตีโดยบุคคลที่เป็นอันตรายในหลาย ๆ กรณีอาจใช้ข้อมูลนี้ patching loopholes เพื่อช่วยในการโจมตีดังนั้นจึงมีหลักเกณฑ์ด้านความปลอดภัย 'defense in depth': patch ที่ไม่ได้รับอนุญาตแต่ละตัวเป็นชั้นที่มีศักยภาพในการป้องกันคุณไม่ควรปล่อยให้แฮ็กเกอร์มีศักยภาพในการติดตั้ง patch ทั้งหมด