Brugerne fortalte smartphone ‘ s software er blevet opdateret med månedlige patches, når det ikke er sket, ny forskning hævder,
Fre 13 Apr 2018 11.35 BST
Sidst opdateret Fre 13 Apr 2018 11.41 BST
“Vi har fundet flere leverandører, der ikke installere en patch, men skiftede patch dato fremad med flere måneder. Det er bevidst bedrag, og det er ikke særlig almindeligt, ” siger Security Research Labs grundlægger Karsten Nohl.
Foto: dragana991/Getty Images/iStockphoto
Nogle Android-smartphone producenter springer sikkerhedsrettelser uden at informere brugerne, i stedet for at hævde deres smartphone ‘s software er opdateret med Google’ s månedlige sikkerhed udgivelser, siger forskere.
Forskere fra Tyskland Sikkerhed forskningslaboratorier (SRL) gennemført en to-årig undersøgelse i den stat, Android sikkerhed fokuseret omkring de månedlige opdateringer, som Google spørgsmål og opfordrer smartphone-producenter til at installere.
Disse månedlige opdateringer er afgørende for at holde smartphones sikre, fastsættelse samlinger af kendte fejl og huller, der hver måned for at holde hackere stangen. Men forskerne fandt ud af, at der er ofte er et skjult “lappe hullet” mellem, hvad producenterne fortælle brugerne, og hvad de rent faktisk gør, at software – nogle blot fortælle folk, at de har opdateret telefoner uden faktisk at lappe noget.
I “installation af patches hver måned, er et vigtigt første skridt, men det er stadig utilstrækkelige, medmindre alle relevante patches er inkluderet i disse opdateringer,” siger forskerne. “Vores store undersøgelse af Android-telefoner finder, at de fleste Android-leverandører jævnligt glemmer at medtage nogle af de programrettelser, der forlader dele af økosystemet udsat for de underliggende risici.”
Hver månedlige sikkerhedsopdatering indeholder en samling af patches for en bred vifte af sikkerhed bugs. Google datoerne for den månedlige sikkerhedsopdateringer, så brugerne kan se, hvis deres smartphones er blevet opdateret med de nyeste rettelser. Men mens producenterne kan installere nogle af de rettelser, ændring af sikkerhedsopdateringen dato til den seneste til rådighed i den proces, kan de undlade at installere alle de patches, samlet i en bestemt måned opdatering.
I resultaterne skyldes, at blive præsenteret på Hack in the Box konference i Amsterdam på fredag, siger forskerne af de 1.200 smartphones testet, nogle producenter kan gå glip af en eller to pletter fra de månedlige sikkerhedsopdateringer, men andre kan gå glip af mange flere.
Hvis du undlader at opdatere deres smartphones med de nyeste sikkerhedsopdateringer er én ting, men SRL konstateret, at nogle simpelthen løgn om installation af patches på alle.
Googles Android-produkt sikkerhed føre, Scott Roberts, sagde: ‘Vi arbejder med [SRL] til at forbedre deres opdagelse mekanismer til at redegøre for situationer, hvor en enhed, der bruger en alternativ sikkerhedsopdatering i stedet for Googles sikkerhedsopdatering.’ Foto: Patrick Semansky/AP
“Vi har fundet flere leverandører, der ikke installere en patch, men skiftede patch dato fremad med flere måneder. Det er bevidst bedrag, og det er ikke særlig almindeligt,” SRL stifter Karsten Nohl fortalte Wired.
SRL fandt, at af de store smartphone-producenter, Google, Sony og Samsung, der udføres af de bedste, mangler op til en patch, OnePlus og Nokia glip af mellem en og tre lapper, HTC, Huawei, LG og Motorola glip af tre til fire patches, mens de Kinesiske producenter TCL og ZTE savnet mere end fire.
Mens mange af disse ubesvarede sikkerhedsrettelser kan ikke være farlige i isolation, hackere typisk kæde sammen med flere sikkerhedshuller til at nå deres mål, ved at tage over enheder og stjæle data. At efterlade huller unpatched svækker den generelle sikkerhed af en enhed.
“Moderne operativsystemer omfatter flere sikkerheds barrierer … alle, der typisk har behov for at blive tilsidesat til at fjernstyre hacke en telefon. På grund af denne kompleksitet, et par manglende patches er normalt ikke nok for en hacker eksternt at kompromittere en Android-enhed,” de forskere, der skrev.
Mens kriminelle typisk basere sig på social engineering til at forsøge at stjæle data fra brugere, via ondsindede apps og lignende, statssponsorerede aktører er mere tilbøjelige til at udnytte glip af lapper, som en del af deres angreb ved hjælp af hidtil ukendte metoder, siger forskere.
Googles Android-produkt sikkerhed føre, Scott Roberts, sagde: “Vi arbejder med [SRL] til at forbedre deres opdagelse mekanismer til at redegøre for situationer, hvor en enhed, der bruger en alternativ sikkerhedsopdatering i stedet for Googles sikkerhedsopdatering.
“Sikkerhedsopdateringer er en af mange lag, der bruges til at beskytte Android-enheder og brugere. Indbygget platform beskyttelse, såsom anvendelse sandboxing, og sikkerheds-tjenester, såsom Google Play Beskytte, er lige så vigtige. Disse lag af sikkerhed — kombineret med den enorme mangfoldighed af Android-økosystemet — bidrage til forskernes konklusioner om, at ekstern udnyttelse af Android-enheder er fortsat udfordrende.”
- Google har været at spore Android-brugere selv med lokalitetstjenester slået fra