Некоторым телефонам Android не хватает патчей безопасности, которые они заявляют

Некоторым телефонам Android не хватает патчей безопасности, которые они заявляют

Несколько лет назад Google активизировал контроль над безопасностью устройств после огромной уязвимости Stagefright. С тех пор на устройствах Android отображается «уровень патча», который сообщает вам, когда была обновлена ​​его безопасность. Тем не менее, Karsten Nohl и Jakob Lell Security Research Labs говорят, что многие устройства обдумывают свои патчи безопасности. В некоторых телефонах отсутствует более десятка патчей.

Каждый месяц Google выпускает новый список патчей для Android, некоторые из которых незначительны, а другие могут быть критическими уязвимостями. Google переводит эти патчи на свои пиксельные телефоны сразу, но большинство производителей отстают по меньшей мере на несколько месяцев. Когда обновление поступает на телефон, настройки сообщают об уровне патча как месяц и год. Например, если ваш телефон говорит, что у вас есть исправления в апреле 2018 года, он должен быть защищен от всех уязвимостей, описанных в апрельском бюллетене по безопасности Google и ранее.

Нол и Лелл потратили два года на разработку более чем 1200 телефонов Android, чтобы узнать, включены ли эти исправления. Они идентифицировали «разрыв исправлений», когда устройства сообщают об определенном уровне патча, но они не защищены от всех ошибок, указанных этой датой патча. В некоторых случаях уровень патчей был хорошим индикатором безопасности устройства, но на некоторых устройствах отсутствовало больше патчей, чем вы ожидали.

Лаборатории безопасности Research создали таблицу ниже, чтобы разбить производителей на группы на основе среднего количества отсутствующих патчей на своих телефонах (в заплатах 2017 года). Неудивительно, что Google никогда не пропускает патчи на своих телефонах, и они поставляются быстрее всего. Sony, Samsung и Wiko также усредняли от 0 до 1 отсутствующих патчей. Xiaomi, OnePlus и Nokia также хорошо справляются с 1-3 недостающими патчами. HTC, Huawei, LG и Motorola находятся в группе с отсутствующими исправлениями. Затем внизу вы получаете TCL и ZTE со средним количеством 4 или более отсутствующих патчей.

Некоторым телефонам Android не хватает патчей безопасности, которые они заявляют

Вы могли бы разумно полагать, что большая часть этого является просто случайностью, а не результатом некомпетентности или злонамеренного поведения. Тем не менее, Нол и Лелл обнаружили, что некоторые недорогие телефоны получили обновления, которые не были проверены должным образом. Например, Samsung Galaxy J3 пропустил 12 патчей в 2017 году, которые, как утверждается, имели.

Здесь есть еще одна морщина: тип чипа в телефоне имеет значение. Ноль и Лелл обнаружили, что у телефонов, поставляемых с менее дорогими процессорами MediaTek, было гораздо больше случаев отсутствия патчей - в среднем 9,7 из них. Производители устройств полагаются на поставщиков чипов, чтобы выпускать исправления для своих проектов, а MediaTek, как известно, медленно соблюдает требования с открытым исходным кодом.

Означает ли это, что ваш телефон опасно небезопасен? Ноль и Лелл так не думают. Большинство устройств по-прежнему имеют почти все исправления, которые вы ожидаете, и платформа Android имеет защиту, такую ​​как рандомизация размещения адресного пространства и обработка песочницы для атаки с использованием фольги. Тем не менее, Google все равно должен держать ноги в огне.

Читать далее

AMD сокращает долю рынка, которой не удерживалась за десятилетие
AMD сокращает долю рынка, которой не удерживалась за десятилетие

AMD утверждает, что в этом квартале увеличила долю рынка настольных ПК, ноутбуков и серверов.

Обзор Xbox Series X: игровой компьютер для гостиной, которого я (в основном) всегда хотел
Обзор Xbox Series X: игровой компьютер для гостиной, которого я (в основном) всегда хотел

Xbox Series X выйдет через пять дней, и мы можем говорить об этом. Я никогда раньше не делал обзоров консоли, поэтому я рассмотрел это с точки зрения того, к чему я привык - компьютерных игр. Здесь Microsoft объективно есть чем гордиться.

Ученые разработали спрей для носа, который может вылечить коронавирус
Ученые разработали спрей для носа, который может вылечить коронавирус

В недавно опубликованном исследовании смесь оказалась эффективной для дезактивации нового коронавируса до того, как он смог заразить клетки.

Google раскрывает уязвимость iPhone, которая может украсть данные через Wi-Fi
Google раскрывает уязвимость iPhone, которая может украсть данные через Wi-Fi

По словам Яна Бира из группы безопасности Google Project Zero, уязвимость позволяла ему красть фотографии с любого iPhone, просто направив на него антенну Wi-Fi.