Деякі телефони Android не мають патчів безпеки, які вони стверджують

Деякі телефони Android не мають патчів безпеки, які вони стверджують

Кілька років тому Google підсилив увагу до безпеки пристроїв після появи уразливості Stagefright. З тих пір на пристроях Android вказується "рівень патча", який повідомляє вас про останню оновлення безпеки. Однак лабораторії Security Research Labs Карстен Нол і Якоб Лалл зазначають, що багато пристроїв використовують свої патчі безпеки. У деяких телефонах відсутні більше десятка патчів.

Щомісяця Google випускає новий список патчів Android, деякі з яких є незначними, а інші - критичними. Google згортає ці патчі до своїх піксельних телефонів одразу, але більшість виробників затримуються щонайменше за кілька місяців. Коли оновлення надходить на телефон, в налаштуваннях повідомляється рівень патча як місяць та рік. Наприклад, якщо ваш телефон говорить про те, що ви маєте патчі за квітень 2018 року, його слід захистити від усіх вразливостей, про які повідомляється в квітневому бюлетені Google і раніше.

Nohl і Lell провели два роки зворотного інжинірингу оновлень на більш ніж 1200 телефонах Android, щоб побачити, чи ці патчі включені. Вони визначили "проміжок", де пристрої повідомляють про певний рівень патча, але вони не захищені від усіх помилок, зазначених в даній патчі. У деяких випадках рівень патча був хорошим показником безпеки пристрою, але для деяких пристроїв не було більше патчів, ніж ви очікували.

Лабораторії безпеки досліджень створили таблицю нижче, щоб розбити виробників на групи на основі середньої кількості відсутніх патчів на їхніх телефонах (в 2017 році патчі). Не дивно, що Google ніколи не пропускає патчі на своїх телефонах, і вони доставляються найшвидше. Sony, Samsung і Wiko також усереднювали від 0 до 1 відсутніх патчів. Xiaomi, OnePlus і Nokia також добре сплачують 1-3 відсутні патчі. HTC, Huawei, LG, і Motorola знаходяться в 3-4 відсутніх патч-групах. Потім у нижній частині ви маєте TCL і ZTE, в середньому 4 або більше відсутніх патчів.

Деякі телефони Android не мають патчів безпеки, які вони стверджують

Можна обґрунтовано вважати, що більшість з них - це випадковість, а не результат некомпетентності чи зловмисної поведінки. Однак, Нол і Лалл виявили, що деякі недорогі телефони отримали оновлення, які не перевірялися належним чином. Наприклад, Samsung Galaxy J3 пропустив 12 патчів в 2017 році, які він стверджував.

Тут ще одна зморшка: тип чіпа в телефоні робить різницю. Nohl і Lell встановили, що телефони, які постачаються з менш дорогими процесорами MediaTek, мають значно більшу кількість відсутніх патчів - в середньому їх 9,7. Виробники пристроїв покладаються на постачальників чіпів, щоб випускати патчі для своїх конструкцій, і MediaTek, як відомо, повільно відповідає вимогам з відкритим кодом.

Це означає, що ваш телефон небезпечно небезпечний? Ноль і Лалл так не думають. У більшості пристроїв майже всі патчи, які ви очікували б, мають платформи Android, такі як рандомізація макету адресного простору та обробка ізольованого програмного забезпечення для атак фолів. Хоча Google все-таки повинен триматися на ногах до вогню.