Некоторым телефонам Android не хватает патчей безопасности, которые они заявляют

Некоторым телефонам Android не хватает патчей безопасности, которые они заявляют

Несколько лет назад Google активизировал контроль над безопасностью устройств после огромной уязвимости Stagefright. С тех пор на устройствах Android отображается «уровень патча», который сообщает вам, когда была обновлена ​​его безопасность. Тем не менее, Karsten Nohl и Jakob Lell Security Research Labs говорят, что многие устройства обдумывают свои патчи безопасности. В некоторых телефонах отсутствует более десятка патчей.

Каждый месяц Google выпускает новый список патчей для Android, некоторые из которых незначительны, а другие могут быть критическими уязвимостями. Google переводит эти патчи на свои пиксельные телефоны сразу, но большинство производителей отстают по меньшей мере на несколько месяцев. Когда обновление поступает на телефон, настройки сообщают об уровне патча как месяц и год. Например, если ваш телефон говорит, что у вас есть исправления в апреле 2018 года, он должен быть защищен от всех уязвимостей, описанных в апрельском бюллетене по безопасности Google и ранее.

Нол и Лелл потратили два года на разработку более чем 1200 телефонов Android, чтобы узнать, включены ли эти исправления. Они идентифицировали «разрыв исправлений», когда устройства сообщают об определенном уровне патча, но они не защищены от всех ошибок, указанных этой датой патча. В некоторых случаях уровень патчей был хорошим индикатором безопасности устройства, но на некоторых устройствах отсутствовало больше патчей, чем вы ожидали.

Лаборатории безопасности Research создали таблицу ниже, чтобы разбить производителей на группы на основе среднего количества отсутствующих патчей на своих телефонах (в заплатах 2017 года). Неудивительно, что Google никогда не пропускает патчи на своих телефонах, и они поставляются быстрее всего. Sony, Samsung и Wiko также усредняли от 0 до 1 отсутствующих патчей. Xiaomi, OnePlus и Nokia также хорошо справляются с 1-3 недостающими патчами. HTC, Huawei, LG и Motorola находятся в группе с отсутствующими исправлениями. Затем внизу вы получаете TCL и ZTE со средним количеством 4 или более отсутствующих патчей.

Некоторым телефонам Android не хватает патчей безопасности, которые они заявляют

Вы могли бы разумно полагать, что большая часть этого является просто случайностью, а не результатом некомпетентности или злонамеренного поведения. Тем не менее, Нол и Лелл обнаружили, что некоторые недорогие телефоны получили обновления, которые не были проверены должным образом. Например, Samsung Galaxy J3 пропустил 12 патчей в 2017 году, которые, как утверждается, имели.

Здесь есть еще одна морщина: тип чипа в телефоне имеет значение. Ноль и Лелл обнаружили, что у телефонов, поставляемых с менее дорогими процессорами MediaTek, было гораздо больше случаев отсутствия патчей - в среднем 9,7 из них. Производители устройств полагаются на поставщиков чипов, чтобы выпускать исправления для своих проектов, а MediaTek, как известно, медленно соблюдает требования с открытым исходным кодом.

Означает ли это, что ваш телефон опасно небезопасен? Ноль и Лелл так не думают. Большинство устройств по-прежнему имеют почти все исправления, которые вы ожидаете, и платформа Android имеет защиту, такую ​​как рандомизация размещения адресного пространства и обработка песочницы для атаки с использованием фольги. Тем не менее, Google все равно должен держать ноги в огне.

Читать далее

Топ-5 функций по-прежнему не хватает из Chrome OS

Вы должны пойти на компромиссы, если вы решите жить с Chrome OS, но вам не придется этого делать довольно много.

PlayStation Classic не хватает числа игр, на которых мы надеялись

Sony представила свои игры для PlayStation Classic, но окончательный список не впечатляет.

WoW Classic запускает лето 2019 года, имея уникальную стратегию захвата игроков

World of Warcraft Классические ванильные серверы вернутся следующим летом - но Blizzard не просто демпирует людей в старом наборе контента.