Некоторым телефонам Android не хватает патчей безопасности, которые они заявляют
Несколько лет назад Google активизировал контроль над безопасностью устройств после огромной уязвимости Stagefright. С тех пор на устройствах Android отображается «уровень патча», который сообщает вам, когда была обновлена его безопасность. Тем не менее, Karsten Nohl и Jakob Lell Security Research Labs говорят, что многие устройства обдумывают свои патчи безопасности. В некоторых телефонах отсутствует более десятка патчей.
Каждый месяц Google выпускает новый список патчей для Android, некоторые из которых незначительны, а другие могут быть критическими уязвимостями. Google переводит эти патчи на свои пиксельные телефоны сразу, но большинство производителей отстают по меньшей мере на несколько месяцев. Когда обновление поступает на телефон, настройки сообщают об уровне патча как месяц и год. Например, если ваш телефон говорит, что у вас есть исправления в апреле 2018 года, он должен быть защищен от всех уязвимостей, описанных в апрельском бюллетене по безопасности Google и ранее.
Нол и Лелл потратили два года на разработку более чем 1200 телефонов Android, чтобы узнать, включены ли эти исправления. Они идентифицировали «разрыв исправлений», когда устройства сообщают об определенном уровне патча, но они не защищены от всех ошибок, указанных этой датой патча. В некоторых случаях уровень патчей был хорошим индикатором безопасности устройства, но на некоторых устройствах отсутствовало больше патчей, чем вы ожидали.
Лаборатории безопасности Research создали таблицу ниже, чтобы разбить производителей на группы на основе среднего количества отсутствующих патчей на своих телефонах (в заплатах 2017 года). Неудивительно, что Google никогда не пропускает патчи на своих телефонах, и они поставляются быстрее всего. Sony, Samsung и Wiko также усредняли от 0 до 1 отсутствующих патчей. Xiaomi, OnePlus и Nokia также хорошо справляются с 1-3 недостающими патчами. HTC, Huawei, LG и Motorola находятся в группе с отсутствующими исправлениями. Затем внизу вы получаете TCL и ZTE со средним количеством 4 или более отсутствующих патчей.
Вы могли бы разумно полагать, что большая часть этого является просто случайностью, а не результатом некомпетентности или злонамеренного поведения. Тем не менее, Нол и Лелл обнаружили, что некоторые недорогие телефоны получили обновления, которые не были проверены должным образом. Например, Samsung Galaxy J3 пропустил 12 патчей в 2017 году, которые, как утверждается, имели.
Здесь есть еще одна морщина: тип чипа в телефоне имеет значение. Ноль и Лелл обнаружили, что у телефонов, поставляемых с менее дорогими процессорами MediaTek, было гораздо больше случаев отсутствия патчей - в среднем 9,7 из них. Производители устройств полагаются на поставщиков чипов, чтобы выпускать исправления для своих проектов, а MediaTek, как известно, медленно соблюдает требования с открытым исходным кодом.
Означает ли это, что ваш телефон опасно небезопасен? Ноль и Лелл так не думают. Большинство устройств по-прежнему имеют почти все исправления, которые вы ожидаете, и платформа Android имеет защиту, такую как рандомизация размещения адресного пространства и обработка песочницы для атаки с использованием фольги. Тем не менее, Google все равно должен держать ноги в огне.
Читать далее
Лучшие системы безопасности умного дома
Когда-то являвшиеся нишевым бизнесом с несколькими традиционными игроками и несколькими стартапами, системы домашней безопасности теперь являются основным полем битвы не только для охранных компаний, но и для нескольких интернет-гигантов. Мы собрали самые популярные варианты на 2020 год.
Microsoft: чип Pluton обеспечит безопасность на уровне Xbox на ПК с Windows
Intel, AMD и Qualcomm работают над тем, чтобы сделать Pluton частью своих будущих проектов, что должно сделать ПК более трудным для взлома, но также встроит технологию Microsoft в ваше оборудование.
Исследователь безопасности: пароль компании solarwinds123 оставлен уязвимым в 2019 г.
SolarWinds, компания, оказавшаяся в центре массового взлома правительственных учреждений и корпораций США, не совсем использует передовые методы паролей.
Приложение для обмена файлами с миллиардом загрузок имеет серьезный недостаток безопасности
Trend Micro заявляет, что SHAREit - это кошмар безопасности, который может позволить злоумышленникам украдкой взглянуть на ваши данные или даже установить вредоносное ПО. Пожалуй, самое тревожное, что разработчики не ответили на предупреждения Trend Micro.