Användare sa smartphone mjukvara har uppdaterats med månatliga fläckar när det har inte, ny forskning påstår
Fre 13 Apr 2018 11.35 BST
Senast ändrad Fre 13 Apr 2018 14.47 BST
“Vi hittade flera leverantörer som inte installera en patch men ändrade patch datum och framåt med flera månader. Det är avsiktligt bedrägeri, och det är inte mycket gemensamt, säger Security Research Labs grundare Karsten Nohl.
Foto: dragana991/Getty Images/iStockphoto
Vissa Android-smartphone tillverkare hoppar säkerhetsuppdateringar utan att meddela användarna, istället hävdar sin smartphone mjukvara är uppdaterad med Google ‘ s månatliga säkerhet utgåvor, säger forskarna.
Forskare från Tyskland Säkerhet Research Labs (SRL) genomförde en två-årig studie i tillstånd av Android säkerhet fokuserat kring den månatliga uppdateringar som Google frågor och uppmanar smartphone tillverkare att installera.
Dessa månatliga uppdateringar är avgörande för att hålla smartphones säker, fastställande samlingar av kända buggar och hål varje månad för att hålla hackers på avstånd. Men forskarna fann det finns ofta en dold “patch gapet” mellan vad tillverkarna berätta för användarna och vad de faktiskt gör att programvaran – vissa helt enkelt tala om för människor att de har uppdaterat telefoner utan faktiskt lapp något.
“Att installera patchar varje månad är ett viktigt första steg, men är fortfarande otillräcklig, om inte alla relevanta fläckar ingår i de uppdateringar,” forskarna säger. “Vår stora studie av Android-telefoner anser att de flesta Android-leverantörer regelbundet glömma att ta med några fläckar, lämnar delar av ekosystemet exponeras för de underliggande riskerna.”
Varje månad säkerhetsuppdateringen innehåller en samling av patchar för en rad olika säkerhetsproblem. Google datum den månatliga säkerhetsuppdateringar så att användare kan se om deras smartphones har blivit uppdaterade med de senaste korrigeringarna. Men samtidigt som tillverkarna får installera vissa av de korrigeringar, ändra säkerhetsuppdatering datum för den senaste tillgängliga i processen, kan de misslyckas med att installera alla patchar paketerat i en viss månad uppdatering.
I resultaten på grund av att presenteras på Hack i Rutan security conference i Amsterdam på fredagen, forskarna sade att av de 1 200 smartphones testat, men vissa tillverkare kan sakna en eller två lappar från de månatliga säkerhetsuppdateringar, men andra kanske missar många fler.
Att underlåta att uppdatera sina smartphones med de senaste säkerhetsuppdateringarna är en sak, men SRL funnit att vissa helt enkelt ljuga om att installera alla patchar på alla.
Google ‘s Android-produkt säkerhet leda, Scott Roberts, sade:” Vi arbetar med [SRL] för att förbättra sin upptäckt mekanismer för att ta hänsyn till situationer där en enhet använder en alternativ säkerhetsuppdatering istället för Google föreslår säkerhetsuppdateringen.’ Foto: Patrick Semansky/AP
“Vi hittade flera leverantörer som inte installera en patch men ändrade patch datum och framåt med flera månader. Det är avsiktligt bedrägeri, och det är inte mycket gemensamt,” SRL grundare Karsten Nohl sa Fast.
SRL fann att en av de största smartphone-tillverkare, Google, Sony och Samsung har utfört de bästa, som saknas upp till en patch, OnePlus och Nokia missade mellan en och tre patchar, HTC, Huawei, LG och Motorola missade tre till fyra fläckar, medan Kinesiska tillverkare TCL och ZTE missat mer än fyra.
Även om många av dessa missade säkerhetskorrigeringar kan inte vara farliga i isolering, hackare normalt kedja ihop flera säkerhetshål för att nå sitt mål, att ta över enheter och stjäla data. Lämna några hål unpatched försvagar den övergripande säkerheten i en enhet.
“Moderna operativsystem har flera trygghet hinder … allt som oftast behöver överskridas för att på distans hacka en telefon. På grund av denna komplexitet, några saknas fläckar är oftast inte tillräckligt för en hacker att angripa en Android-enhet,” forskarna skrev.
Samtidigt som brottslingar vanligtvis förlitar sig på social ingenjörskonst för att försöka stjäla data från användare, genom skadliga appar och liknande, statsunderstödda aktörer är mer benägna att utnyttja missade fläckar som en del av sina attacker med hjälp av tidigare okända metoder, säger forskarna.
Google ‘ s Android-produkt säkerhet leda, Scott Roberts, sade: “Vi arbetar med [SRL] för att förbättra sin upptäckt mekanismer för att ta hänsyn till situationer där en enhet använder en alternativ säkerhetsuppdatering istället för Google föreslår säkerhetsuppdateringen.
“Säkerhetsuppdateringar är en av många lager som används för att skydda Android-enheter och användare. Inbyggd plattform skydd, såsom ansökan sandbox och säkerhet tjänster, till exempel Google Play Skydda, är lika viktiga. Dessa lager av säkerhet i kombination med den enorma mångfald av Android-ekosystemet — att bidra till forskarnas slutsatser att avlägsna utnyttjande av Android-enheter fortsätter att vara utmanande.”
- Google har varit att följa Android-användare även med platstjänster avstängd