neprihlásený Pondelok, 23. apríla 2018, dnes má meniny Vojtech   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
Výrobcovia Androidov zavádzajú o bezpečnosti, vymýšľajú si že telefóny sú chránené keď nie sú

Značky: Androidbezpečnosť

DSL.sk, 13.4.2018


Android ekosystém má ďalší vážny problém v oblasti bezpečnosti.

Podľa analýzy renomovaného experta Karstena Nohla a Jakoba Lella z bezpečnostnej spoločnosti SRL Labs totiž výrobcovia smartfónov často tvrdia, že opravili bezpečnostné zraniteľnosti hoci tak nespravili.

Analýzu dvojica detailne predstaví dnes na konferencii HITB, informovala o nej predbežne v tomto oznámení a bližšie detaily Nohl poskytol pre Wired.

Android mal a stále má problém s tým, že výrobcovia najmä pre nižšiu triedu smartfónov riadne nevydávajú aktualizácie opravujúce bezpečnostné chyby pravidelne objavované v tomto operačnom systéme podobne ako v iných OS a pre vyššiu triedu ich vydávajú len po krátku dobu.

V poslednom čase sa situácia ale zlepšila a výrobcovia pre čoraz viac zariadení vydávajú pravidelné bezpečnostné aktualizácie často aj na mesačnej báze. Práve na mesačnej báze štandardne informuje o zraniteľnostiach a vydáva opravy tvorca Androidu, Google.


Priemerný počet chýbajúcich záplat pre jednotlivých výrobcov, kliknite pre zväčšenie (tabuľka: SRL Labs)



Android na smartfónoch v súčasnosti deklaruje, k akému mesiacu alebo dátumu má nainštalované všetky bezpečnostné aktualizácie dovtedy vydané Googlom.

Podľa zistení SRL Labs ale problémom je, že táto informácia často nesedí. Výrobcovia často uvádzajú nejaký dátum, v skutočnosti ale v smartfóne nie sú prítomné všetky do toho dátumu vydané bezpečnostné opravy. Evidentne ide o bežný jav.

V niektorých prípadoch chýba jedna záplata, v niektorých ale aj viac ako desať oproti deklarovanému stavu zabezpečenia. A čo je horšie, v niektorých prípadoch ide podľa Nohla o jasné vedomé zavádzanie. "Našli sme niekoľko výrobcov, ktorí nenainštalovali jedinú záplatu ale dátum záplat posunuli dopredu o niekoľko mesiacov. To je úmyselné zavádzanie, nie je to ale veľmi bežné," uviedol Nohl pre Wired.

Dvojica pre každého výrobcu vypočítala priemerný počet chýbajúcich záplat na jeho telefónoch oproti deklarovanému dátumu záplatovania, pričom posudzované boli modely s dátumom aktualizácií minimálne v októbri 2017.

Priemer do jednej chýbajúcej záplaty dosiahli Google, Sony, Samsung a Wiko, jeden až tri Xiaomi, Oneplus a Nokia, tri až štyri HTC, Huawei, LG a Motorola a viac ako štyri TCL a ZTE.

V niektorých prípadoch ale aj výrobcovia, ktorí dopadli najlepšie, mali telefóny s vysokým počtom chýbajúcich záplat. Napríklad Samsungu 2016 J3 deklaroval záplaty za celý rok 2017, chýbalo mu ale dvanásť.

Čo je dôvodom týchto praktík nie je jasné, podľa SRL Labs v niektorých prípadoch môžu výrobcovia závisieť od dostupnosti aktualizácií od výrobcov čipov. Počet chýbajúcich záplat sa totiž výrazne líšil podľa výrobcu SoC a najmä v prípade Mediateku to bolo až 9.7 chýbajúcich záplat oproti 1.1 u Qualcommu a menej ako 0.5 u Samsungu.

SRL Labs upozorňuje, že niektoré chýbajúce záplaty nutne neznamenajú hacknuteľnosť daného smartfónu. Pre ďalšie bezpečnostné ochrany v Androide je v súčasnosti často pre hacknutie potrebné zreťazenie viacerých zraniteľností a útoky môže prekaziť aj opravenie len niektorých.

Google v stanovisku pre americké médiá avizoval spoluprácu a preverenie zistení SRL Labs. Naznačoval, že v niektorých prípadoch môžu byť využité iné ako oficiálne záplaty potenciálne nedetekované SRL Labs, a zároveň avizoval, že v niektorých prípadoch zase výrobcovia celkovo odstránili zraniteľný komponent namiesto jeho opravy.

To jasne naznačuje, že analýza SRL Labs zrejme funguje na detekcii konkrétnych záplat a nie zraniteľností. Podľa Nohla napríklad odstránenie komponentov v každom prípade určite nie je zodpovedné za väčší počet chýbajúcich záplat.

Aktualizácia 1: K zisteniam SRL Labs sa vyjadrila spoločnosť Lenovo vyrábajúca smartfóny značky Motorola. "Podľa nášho najlepšieho vedomia, všetky aplikovateľné záplaty pre zariadenia sú súčasťou každej bezpečnostnej aktualizácie. Oslovili sme Security Research Labs, aby sme získali podrobnosti o ich náleze a mohli detailnejšie vyhodnotiť ich závery," uviedla spoločnosť v stanovisku.


      Zdieľaj na Twitteri



Najnovšie články:

Facebook sa pripojil do slovenského peeringového uzla, bude tu rýchlejší
Google to Microsoftu spravil zas, zverejnil neopravenú zraniteľnosť vo Windows 10
Apple zadarmo vymieňa batérie MacBookov, môžu sa zväčšovať
Optika od Orange v ďalšom meste, štandardne už s IPv6
Po dva a pol rokoch nová verzia MySQL 8.0
V Európe sa začína predávať 8K TV, za cenu auta
Krajina, kde vznikli elektrárne a priemyselná revolúcia, dva dni bez uhoľnej elektrárne
Druhá generácia AMD Ryzenov zaujímavo zvýšila výkon
Slovensko.sk má opäť problémy. Už to ani vtipné nie je
Nová satelitná flotila ponúkne komukoľvek živé video akejkoľvek lokality


Diskusia:
                               
 

Do pice, ja mam ASUS, ten to ani neurobil do tabulky !
Odpovedať Známka: 7.2 Hodnotiť:
 

bohuzial ASUS je asi uz povestny tym, ze moc svoje akekolvek zariadenia dlho nepodporuje, a telefony, uz od prveho Padfone velmi rychlo prestaval podporovat, aktualizovat, a to nemuseli prejst ani nie ze roky, ale uz po prvom roku sa na to vykaslali...
snad aspon dosky podporuju normalne, tam netusim, nemam asus dosku mnoho rokov uz
Odpovedať Známka: 3.3 Hodnotiť:
 

Mam Zenfone 3 a patche mi chodia pravidelne
Odpovedať Známka: 0.0 Hodnotiť:
 

naco su zaplaty v telefone? ako ma niekto moze hacknut a co z toho bude mat?
Odpovedať Známka: -3.9 Hodnotiť:
 

bude si pozerať fotky tvojej ciciny nafotenej v telefóne
Odpovedať Známka: 8.8 Hodnotiť:
 

kludne s tym problem nemam :)
Odpovedať Známka: -0.5 Hodnotiť:
 

No ale predstav si ten ušlý zisk!
Odpovedať Známka: 9.2 Hodnotiť:
 

Presne tak. V rámci oddškodnenia duševných útrap ako nemajetkovej ujmy je zodpovednost za nerootnutý Android priekazne v kompetenciách výrobcu.
Odpovedať Známka: -3.3 Hodnotiť:
 

Panko je gurman. Pri vybieleni uctu alebo domacnosti to uz asi jedno nebude, ze?
Vlastne aj to ti je jedno, ved si este skolak :)
Odpovedať Známka: 10.0 Hodnotiť:
 

take malickosti ...

Odpovedať Hodnotiť:
 

mobil je prenosny pocitac s mikrofonom, kamerou a internetom

mas v nom vsetky tvoje kontakty = dalsie obete

proste neobmedzene moznosti

Odpovedať Známka: 8.9 Hodnotiť:
 

staci aplikacia ktorej da prava citat kontakty..
Odpovedať Hodnotiť:
 

Predpokladam, ze sa jedna o iróniu. V opačnom pripade pravdepodobne trpis nemeratelnym stupňom retardacie.
Odpovedať Známka: 7.1 Hodnotiť:
 

vybrakuje ti kreditku cez google store.
Odpovedať Známka: 10.0 Hodnotiť:
 

Presne...načo šiť záplaty keď vieme háčkovať
Odpovedať Známka: 10.0 Hodnotiť:
 

Tak take fotky mu kludne poslem, na to ma nemusi hackovat.
Odpovedať Známka: 10.0 Hodnotiť:
 

ja mu tiez poslem tie tvoje
Odpovedať Známka: 10.0 Hodnotiť:
 

Prosíme o ich zaslanie na redakcia(at)dsl.sk
Ďakujeme.
Odpovedať Známka: 10.0 Hodnotiť:
 

tak a ja som sa vytešoval, že aký bezpečný mám smartón... dá sa nejak overiť či mám všetky záplaty do 1.3.2018? Alebo neviete niekto ako je na tom Xiaomi Redmi 4x global, týždenná verzia? thx
Odpovedať Hodnotiť:
 

v povodnom clanku sa spomina toto: SnoopSnitch
http://dopice.sk/li7

Odpovedať Hodnotiť:
 

Môj android nezavádza. Píše mi rok, ktorý si už ani nepamätám.
Odpovedať Známka: 10.0 Hodnotiť:
 

Pred 15 rokmi sme mobily používali roky rokúce s takým softvérom, akým sme si ich kupovali, a nevadilo nám to. Teraz je 2018 a stále nám to nevadí :D
Odpovedať Známka: 10.0 Hodnotiť:
 

Tecie vam pracka ......Nevadiiiiiii .... Nevadiiiiii
Odpovedať Hodnotiť:
 

Vtedy to vedeli hacknúť, len tajné služby. Teraz je to jednoduchšie. :)
Odpovedať Hodnotiť:
 

ved ja aj mam dumbphone.. dal som zan 15eur a uz ho pouzivam roky rokuce, pada mi na beton, do vody a nic mu nie je. dokonca ho nie je mozne ani hacknut, ani heknut, ani nic, pretoze nema ani internet. objednavky vybavujem cez telefonny hovor, ked nieco potrebujem vybavit. bezpecne a pohodlne riesenie, este k tomu za lacny peniaz. ma aj fotak.
Odpovedať Hodnotiť:
 

To uz tu nikdo nic negarantuje??!
Odpovedať Známka: 10.0 Hodnotiť:
 

Vôbec neverím ich aktualizáciám, pochybujem, že ich vyvíjajú na to, aby ľudí chránili. Videl som čo dorobil Apple so svojimi aktulalizáciami, telefón išiel furt pomalšie a pomalšie, až sa nedal používať. To je kokrétny prípad. Potom nový router-aktualizácia FW-všetko spomalené. Čo dorobili updaty windows, to tiež mnohí vedia. Ešteže telefón je len taká konzumná sračka, lebo pokiaľ by ste mali na PC ustavične inštalovať nové verzie programov a aktualizácie kôli "bezpečnosti", strácate čas a riskujete, že miesto práce sa budete zaoberať riešením problémov spôsobených aktualizáciami. Môžem fakovať takú bezpečnosť. Silná hrozba je dnes používať telefón, je predpoklad, že zaznamenáva, zhromažďuje a odosiela všetko. A to ešte okrem toho, že samotné žiarenie z mobilov je nebezpečné, dnešný smartphone môže vysielať určitú frekvenciu, na ktorú je špecificky daný jedinec citlivý-ten telefón to môže zistiť a prispôsobiť sa. Dôkaz? Veď sa pozerajte na ľudí, ako ich ovládajú mobily-to je normálne?
Odpovedať Známka: 10.0 Hodnotiť:
 

hej, aj ten toulén čo si ideš asi odhadol tvoju frekvenciu a teraz ťa ovláda
Odpovedať Hodnotiť:
 

presne pod toto sa podpisujem
mam uz 8 rokov win7 bez aktualizacii od samotnej instalacii z orignalneho OEM CD a nemal som ani 1 incident.
cez netstats vidim, ze mi nic z pocitaca nedochadza (botnet).
mal som smartfony, nie apple, ale nielen android, a kazdy do jedneho minimalne raz posral aktualizaciu.
to iste na win7 - kopec clankov o samovrazdebnych aktualizaciach.
moje pravidlo - naco opravovat nieco, co funguje.
Odpovedať Hodnotiť:

Pridať komentár