newmusic24.ruНовости

Главная Новости

Производители обманывают с версиями Android, вместо патчей просто меняют дату

Опубликовано: 05.08.2023

Производители обманывают с версиями Android, вместо патчей просто меняют дату

Android имеет долгую историю проблем с безопасностью, поскольку производителям требуются месяцы, чтобы доставлять обновления пользователям, не говоря уже об обновлении основных версий системы. Но оказывается, проблема еще глубже: зачастую производители вообще не выпускают патчи безопасности. Вместо этого, просто из маркетинговых соображений, он изменяет дату в системе, чтобы пользователь чувствовал, что у него установлены последние обновления.

В соответствии с недавно опубликованные исследования,что означает Карстен Ноль и Якоб Лелль от немецкой охранной фирмы Security Resear Labs (SRL), это не просто дело нескольких мелких неизвестных производителей странных брендов, а обычная практика. Samsung, Xiaomi, OnePlus, Sony, HTC, LG и Huawei находятся на вершине, поэтому затронут практически весь рынок Android-смартфонов.

Эти производители утверждают, что предоставляют своим пользователям последние исправления. Но на самом деле они фальсифицируют информацию просто улучшить свое положение на рынке. Это связано с тем, что пользователи воспринимают проблему с медленной доставкой обновлений, поэтому производитель с лучшей системой исправлений получает преимущество перед другими. Но оказывается, что это приводит к крупным мошенничествам во всех компаниях.

Некоторые патчи отсутствуют

Нол и Лелл изучили 1200 телефонов двенадцати различных производителей в поисках всех исправлений безопасности, выпущенных для Android в прошлом году. Они обнаружили, что у многих устройств просто была дыра в истории исправлений. Таким образом, большое количество устройств не защищено, даже если они с гордостью заявляют об обратном.

Производители просто меняют дату, не поставляя ни одного патча. Видимо из маркетинговых соображений они просто выставили в системе любую дату, чтобы она выглядела как можно лучше, сказал Ноль v в интервью Wired.

При этом Google регулярно выпускает патчи каждый месяц, но большинство производителей вносят свои модификации в систему, в ходе которых опускают часть обновлений. В то же время у пользователя нет простого способа выяснить это, и он должен следовать простой информации, предоставленной производителем. Однако его можно подделать по желанию, как показал опрос.

Эксперты исследовали телефоны, на которых были установлены все исправления. Они сосредоточились только на тех, которые были отмечены как критические или с высоким риском. Они обнаружили, что некоторые из них отсутствуют у большинства производителей:

  • 0-1 отсутствует патч: Google, Sony, Samsung, Wiko Mobile
  • 1-2 отсутствующих патча: Xiaomi, OnePlus, Nokia
  • 2-4 отсутствующих патча: HTC, Huawei, LG, Motorola
  • 4 или более отсутствующих патчей: TCL, ZTE

Не все одинаковы

Из вышеизложенного видно, что не у всех производителей такая проблема: Google, Samsung, Wiko Mobile и Sony достаточно хорошо справляются с обновлениями, в том числе с патчами безопасности. Другие, такие как HTC, Huawei или LG, находятся в худшем положении.

Google давно пытается решить проблему — некоторое время назад с Android 8.0 Oreo, например. запустил проект Treble,который предназначен для упрощения обновления системы. Удалось отделить аппаратно-зависимую часть системы от остальной системы. Это должно облегчить производителям подготовку обновлений для разных устройств.

Телефоны с чистым Android One поставляются напрямую от Google

Они тоже движутся в том же направлении Android Один,которая представляет собой чистую операционную систему, поставляемую самой Google. То есть производитель поставляет железо, Google поддерживает в нем текущую систему. Так что практически такая же модель, как работает на Chromebook с Chrome OS. Пока доступно лишь несколько устройств, задействованных в проекте, но постепенно добавляются новые.

Первооткрыватели проблемы разработали приложение Снуп Снитч,который вы можете установить бесплатно. Это поможет вам проверить, как ваш телефон действительно справляется с обновлениями.

Результат теста Xiaomi Mi Max 2

По гуглу все сложнее

Google уже прокомментировал это дело, по его словам, хорошо, что был создан подобный опрос. Однако следует отметить, что не все протестированные устройства сертифицированы, т.е. они могут не соответствовать стандартам безопасности, установленным Google. В то же время говорят, что современные телефоны оснащены технологиями, усложняющими успешную атаку даже на незакрытые дыры в безопасности.

Компания также указывает, что отсутствие патчей также может быть объяснено тем, что производитель просто удалил неисправную функцию или ее никогда не было в данной модели устройства. Однако так ли это на самом деле, должны будут показать дальнейшие подробные исследования, которые Google намерен провести вместе с SRL. Обновления — это всего лишь один уровень безопасности, защищающий устройства Android и их пользователей. он сказал Скотт Робертс,нынешний глава отдела разработки Android.

В частности, по его словам, платформа включает в себя другие элементы, такие как песочница приложений, службы безопасности, такие как Google Play Protect, ASLR (начиная с Android 4.0) и многое другое. Эти инструменты, наряду с огромным разнообразием Android, очень затрудняют удаленный взлом Android.

Каждый слой имеет значение

Карстен Нол ответил на заявление о том, что некоторые патчи могут вообще не понадобиться, заявив, что это единичные случаи. Это число, конечно, не будет высоким, оспорил объяснение Google. Наоборот, обе стороны сходятся во мнении, что на самом деле взломать Android-устройство сложнее, чем может показаться на первый взгляд. Из-за множества упомянутых различных мер успешная атака потребует использования нескольких различных серьезных уязвимостей. Даже если вы пропустите какие-то патчи, очень мала вероятность того, что они окажутся в созвездии, позволяющем эксплуатировать устройство, добавляет Ноль.

Печальным фактом остается то, что Android-устройства чаще всего подвергаются атакам с помощью социальной инженерии или путем вставки вредоносного приложения в магазин Google Play. Но есть и другие случаи, когда ошибки нулевого дня используются в сочетании с уже обнаруженными, но плохо исправленными ошибками. Нол особо упомянул шпионское ПО FinFisher, которое он использовал. известные ошибки Dirty COW и объединил это с недавно обнаруженными слабостями.

Карстен Ноль утверждает, что важен принцип «глубокой защиты», когда разные уровни безопасности дополняют друг друга. Таким образом, отсутствующий патч может означать удаление одного из этих слоев и, следовательно, препятствие для успешной компрометации устройства. Мы никогда не должны облегчать задачу злоумышленникам, оставляя неисправленными ошибки, которые, по нашему мнению, сами по себе не представляют никакого риска. Однако они могут стать одним из кусочков головоломки для кого-то другого, говорит Ноль. Глубокая защита означает применение всех исправлений.

rss