Brukere fortalte smarttelefonen programvaren har blitt oppdatert med månedlige oppdateringer når det ikke har det, hevder ny forskning
Fre 13 Apr 2018 11.35 BST
Sist endret på Fre 13 Apr 2018 22.00 norsk tid
“Vi funnet flere leverandører som ikke installere en enkelt patch, men endret patch dato frem av flere måneder. Det er bevisst bedrag, og det er ikke veldig vanlig, sier Security Research Labs grunnlegger Karsten Nohl.
Foto: dragana991/Getty Images/iStockphoto
Noen Android-smartphone produsenter er å hoppe over sikkerhetsoppdateringer uten å varsle brukere, i stedet hevde sin smarttelefonen programvare er oppdatert med Googles månedlige sikkerhet utgivelser, sier forskerne.
Forskere fra Tyskland ‘ s Security Research Labs (SRL) gjennomført en to-årig studie i delstaten Android security fokusert rundt den månedlige oppdateringer som Google problemer og oppfordrer smarttelefon produsentene å installere.
Disse månedlige oppdateringer er avgjørende for å holde smarttelefoner sikker, fikse samlinger av kjente bugs og hull hver måned for å holde hackere i sjakk. Men forskerne fant ut at det er ofte en skjult “patch gapet” mellom hva produsentene fortelle brukerne og hva de faktisk gjør til programvare – noen bare fortelle folk at de har oppdatert telefoner uten faktisk å sy noe.
“Installere oppdateringer hver måned er et viktig første skritt, men det er likevel ikke nok med mindre alle relevante oppdateringer er inkludert i disse oppdateringene,” forskere sier. “Vår store studie av Android-telefoner finner at de fleste Android-leverandører regelmessig glem å inkludere noen oppdateringer, forlater deler av økosystemet utsettes for underliggende risiko.”
Hvert månedlige sikkerhetsoppdateringen inneholder en samling av oppdateringer for en rekke sikkerhetsrelaterte feil. Google datoer månedlige sikkerhetsoppdateringer, slik at brukerne kan se om sine smarttelefoner har blitt oppdatert med de nyeste reparasjonene. Men mens produsenter kan installere noen av reparasjoner, bytte av sikkerhetsoppdateringen dato til den siste tilgjengelige i prosessen, kan de ikke klarer å installere alle oppdateringene sammen i en bestemt måned oppdatering.
I resultatene grunn til å bli presentert på Hack i Boksen security conference i Amsterdam på fredag, forskerne sa av 1200 smarttelefoner testet, noen produsenter kan gå glipp av ett eller to lapper fra den månedlige sikkerhetsoppdateringer, men andre kan gå glipp av mange flere.
Å unnlate å oppdatere sine smarttelefoner med de nyeste sikkerhetsoppdateringene er en ting, men SRL funnet at noen rett og slett løgn om å installere noen oppdateringer i det hele tatt.
Googles Android-product security føre, Scott Roberts, sa: “Vi jobber med [SRL] for å forbedre sin oppdagelse mekanismer for å ta høyde for situasjoner der en enhet som bruker en alternativ security update i stedet for Google-foreslått sikkerhetsoppdateringen.’ Foto: Patrick Semansky/AP
“Vi fant flere leverandører som ikke installere en enkelt patch, men endret patch dato frem av flere måneder. Det er bevisst bedrag, og det er ikke veldig vanlig,” SRL grunnlegger Karsten Nohl fortalte Kablet.
SRL fant at av de store smartphone produsenter, Google, Sony og Samsung utført den beste, mangler opp til en lapp, OnePlus og Nokia savnet mellom ett og tre lapper, HTC, Huawei, LG og Motorola tapte tre til fire lapper, mens Kinesiske produsenter TCL og ZTE gått glipp av mer enn fire.
Mens mange av disse ubesvarte sikkerhetsoppdateringer, kan ikke være iboende farlig i isolasjon, hackere vanligvis kjede sammen flere sikkerhetshull for å nå sine mål, og tok over enheter og å stjele data. Å legge igjen noen hull oppdaterte svekker den generelle sikkerhet av en enhet.
“Moderne operativsystemer inkluderer flere sikkerhetsbarrierer … alle som vanligvis trenger å bli brutt eksternt hack en telefon. På grunn av denne kompleksiteten, noen mangler oppdateringer er vanligvis ikke nok for en hacker eksternt kan invadere en Android-enhet,” forskerne skrev.
Mens kriminelle vanligvis stole på social engineering å forsøke å stjele data fra brukerne, og gjennom skadelige apper og lignende, statsstøttede aktører er mer sannsynlig å utnytte glipp av oppdateringer som en del av deres angrep ved hjelp av tidligere ukjente metoder, sier forskerne.
Googles Android-product security føre, Scott Roberts, sa: “Vi jobber med [SRL] for å forbedre sin oppdagelse mekanismer for å ta høyde for situasjoner der en enhet som bruker en alternativ security update i stedet for Google-foreslått sikkerhetsoppdateringen.
“Sikkerhetsoppdateringer er ett av mange lag som brukes for å beskytte Android-enheter og brukere. Integrert i plattformen beskyttelse, for eksempel program sandkasse, og sikkerhet tjenester, for eksempel Google Play Beskytte, er like viktig. Disse lag av sikkerhet — kombinert med den enorme mangfoldet av Android-økosystemet — bidra til at forskerne konklusjoner som ekstern utnyttelse av Android-enheter er fortsatt utfordrende.”
- Google har blitt sporing Android-brukere selv med stedstjenester er slått av