Обновления Android давно стали проблемой. Несмотря на все усилия Google по улучшению безопасности и упрощению обновлений для всех, производителям редко удается успевать за всем, что делает Google. Согласно новому отчету, некоторые компании просто заявляли, что устройства обновлены, не прилагая к этому усилий…
В отчете от WIRED цитируются исследователи из Security Research Lab, которые два года следили за обновлениями безопасности Android. На предстоящем мероприятии в Амстердаме они планируют представить свои выводы, и они весьма тревожны.
Долгое время Google выпускал ежемесячные патчи безопасности для операционной системы Android, устраняя уязвимости в ОС. Чтобы пользователям было легко проверить уровень безопасности, Android добавил удобный раздел в настройках для определения уровня патча по дате. Исследователи SRL потратили время, чтобы «тщательно» проверить и убедиться, что патчи, примененные к устройству, соответствуют этим датам.
Короче говоря, производители Android в этом плане сильно провалились. Во многих случаях был обнаружен «разрыв в патчах», когда устройства показывали определенную дату обновлений безопасности, но им не хватало «до дюжины» патчей из этого обновления.
SRL протестировали 1200 устройств от дюжины производителей, чтобы собрать эти результаты за 2017 год. Телефоны были от Google, Samsung, Motorola, HTC, ZTE, TCL и многих других.
В то время как большинство флагманских устройств не испытывали особых проблем, почти все были виновниками. Собственные устройства Google Pixel 2 и Pixel 2 XL, конечно, были в безопасности, но даже топовые флагманы от таких компаний, как Sony и Samsung, в той или иной степени не имели патчей. Таблица ниже немного разбивает цифры.
Изображение: WIRED
Проблема здесь не просто в пренебрежении обновлениями. Крайне (раздражающе) часто производители просто не обновляют устройства некоторое время, а затем обновляют свои устройства позже. Скорее, в некоторых случаях происходит то, что производители изменяют дату обновления безопасности на устройстве, фактически не устанавливая соответствующие патчи, тем самым обманывая клиентов.
Несколько поставщиков, по-видимому, «не установили ни одного патча, но изменили дату патча на несколько месяцев вперед». Исследователи назвали это «сознательным обманом», но, к счастью, обнаружили, что это было не очень распространенным явлением.
В большинстве случаев исследователи просто считают, что эти недостающие патчи случайно пропущены в обновлениях, что несколько понятно, учитывая большое количество патчей в каждом обновлении. Другой возможной причиной может быть чипсет устройства: устройства на базе MediaTek пропустили в среднем 9,7 патчей, в то время как у Qualcomm этот показатель составил всего 1,1.
Однако это все еще довольно серьезная проблема, поскольку она делает практически невозможным определение уровня безопасности устройства. Чтобы помочь решить эту проблему, SRL выпускает обновление для своего приложения для Android Snoopsnitch, которое проверяет, действительно ли ваше устройство имеет столько патчей, сколько должно.
Google уже прокомментировал этот вопрос WIRED, заявив, что одной из возможных причин таких результатов могло быть тестирование с несертифицированными устройствами, к которым применяются более низкие стандарты безопасности. Кроме того, Google утверждал, что пропущенные патчи могут быть связаны с тем, что конкретный телефон не предлагает затронутую функцию, или с тем, что производитель просто удалил затронутую функцию вместо ее исправления.
Компания завершила свое заявление, сказав:
Это важное исследование. Мы начали расследования каждого случая и каждого производителя, чтобы привести их сертифицированные устройства в соответствие, когда нам удавалось воспроизвести их выводы… [но] каждый случай действительно требует дальнейшего расследования.
Эти отсутствующие патчи могут быть не концом света для безопасности Android, поскольку как Google, так и исследователи заявили, что «взлом» Android гораздо сложнее, чем просто использование отсутствующих патчей безопасности.
Обновление: Google предоставил нам следующее заявление по этому вопросу.
Мы хотели бы поблагодарить Карстена Ноля и Джейкоба Келла за их постоянные усилия по укреплению безопасности экосистемы Android. Мы работаем с ними над улучшением их механизмов обнаружения, чтобы учитывать ситуации, когда устройство использует альтернативное обновление безопасности вместо рекомендованного Google. Обновления безопасности — это лишь один из многих уровней, используемых для защиты устройств и пользователей Android. Встроенные платформенные защиты, такие как песочница приложений, и службы безопасности, такие как Google Play Protect, так же важны. Эти уровни безопасности — в сочетании с огромным разнообразием экосистемы Android — способствуют выводам исследователей о том, что удаленная эксплуатация устройств Android остается сложной задачей.
Что вы думаете об этих выводах? Повлияют ли они на вашу следующую покупку смартфона? Оставьте комментарий и дайте нам знать!
Посетите 9to5Google на YouTube для получения других новостей: