Logo da.androidermagazine.com
Logo da.androidermagazine.com
» Nyheder
Nyheder

Nogle Android-oemer blev opdaget for at lyve omkring sikkerhedsrettelser [opdatering]

Nogle Android-oemer blev opdaget for at lyve omkring sikkerhedsrettelser [opdatering]
Anonim

Opdatering 13. april: Google har afgivet følgende erklæring til randen:

Vi vil gerne takke Karsten Nohl og Jakob Kell for deres fortsatte bestræbelser på at styrke sikkerheden i Android-økosystemet. Vi arbejder med dem for at forbedre deres afsløringsmekanismer til at tage højde for situationer, hvor en enhed bruger en alternativ sikkerhedsopdatering i stedet for den foreslåede Google-sikkerhedsopdatering. Sikkerhedsopdateringer er et af mange lag, der bruges til at beskytte Android-enheder og brugere. Indbygget platformbeskyttelse, såsom applikationssandboks, og sikkerhedstjenester, såsom Google Play Protect, er lige så vigtige. Disse lag af sikkerhed - kombineret med den enorme mangfoldighed i Android-økosystemet - bidrager til forskernes konklusioner om, at fjernudnyttelse af Android-enheder forbliver udfordrende.

Mistede programrettelser gør bestemt din telefon mere sårbar sammenlignet med dem, der er opdaterede, men alligevel betyder det ikke, at du er helt ubeskyttet. Månedlige programrettelser hjælper bestemt, men der er generelle forholdsregler for at sikre, at alle Android-telefoner har en vis grad af forbedret sikkerhed.

En gang om måneden opdaterer Google Android Sikkerhedsbulletin og frigiver nye månedlige programrettelser for at løse sårbarheder og fejl, så snart de dukker op. Det er ingen hemmelighed, at mange OEM'er er langsomme med at opdatere deres hardware med nævnte programrettelser, men det er nu blevet opdaget, at nogle af dem hævder at have opdateret deres telefoner, når der faktisk ikke er ændret overhovedet noget.

Denne åbenbaring blev foretaget af Karsten Nohl og Jakob Lell fra Security Research Labs, og deres fund blev for nylig præsenteret på dette års Hack in the Box sikkerhedskonference i Amsterdam. Nohl og Lell undersøgte softwaren til 1200 Android-telefoner fra Google, Samsung, OnePlus, ZTE og andre, og fandt ved at gøre det, at nogle af disse virksomheder ændrede sikkerhedsrettelsens udseende, når de opdaterede deres telefoner uden at installere dem faktisk.

Samsungs Galaxy J3 fra 2016 hævdede at have 12 programrettelser, der simpelthen ikke var installeret på telefonen.

Nogle af de mistede programrettelser forventes at blive lavet ved en ulykke, men Nohl og Lell stødte på bestemte telefoner, hvor tingene bare ikke lagde op. For eksempel, mens Samsungs Galaxy J5 fra 2016 nøjagtigt angav de patches, den havde, så syntes J3 fra det samme år at have hver eneste patch siden 2017 på trods af at der manglede 12 af dem.

Undersøgelsen afslørede også, at den type processor, der bruges i en telefon, kan have indflydelse på, om den bliver opdateret med en sikkerhedspatch. Enheder med Samsungs Exynos-chips viste sig at have meget få springede patches, mens de med MediaTek-enheder i gennemsnit udgjorde med 9, 7 manglende patches.

Efter at have kørt gennem alle telefoner i deres test, oprettede Nohl og Lell et diagram, der skitserede, hvor mange programrettelser OEM'er gik glip af, men stadig hævdede at have installeret. Virksomheder som Sony og Samsung gik kun glip af mellem 0 og 1, men TCL og ZTE viste sig at springe over 4 eller mere.

  • 0-1 ubesvarede rettelser (Google, Sony, Samsung, Wiko)
  • 1-3 ubesvarede rettelser (Xiaomi, OnePlus, Nokia)
  • 3-4 glemte patches (HTC, Huawei, LG, Motorola)
  • 4+ ubesvarede rettelser (TCL, ZTE)

Kort efter, at disse fund blev annonceret, sagde Google, at det ville lancere undersøgelser af hver af de skyldige OEM'er for at finde ud af, hvad der nøjagtigt foregår, og hvorfor brugerne løjner om, hvilke programrettelser de laver og ikke har.

Selv med det sagt, hvad tager du af dette? Er du overrasket over nyheden, og vil dette have indflydelse på de telefoner, du køber fremover? Lyd fra i kommentarerne nedenfor.

Hvorfor bruger jeg stadig en BlackBerry KEYone i foråret 2018

Nyheder

Valg af editor