Výrobcovia Androidov zavádzajú o bezpečnosti, vymýšľajú si že telefóny sú chránené keď nie sú

Značky: Androidbezpečnosť

DSL.sk, 13.4.2018

Android ekosystém má ďalší vážny problém v oblasti bezpečnosti.

Podľa analýzy renomovaného experta Karstena Nohla a Jakoba Lella z bezpečnostnej spoločnosti SRL Labs totiž výrobcovia smartfónov často tvrdia, že opravili bezpečnostné zraniteľnosti hoci tak nespravili.

Analýzu dvojica detailne predstaví dnes na konferencii HITB, informovala o nej predbežne v tomto oznámení a bližšie detaily Nohl poskytol pre Wired.

Android mal a stále má problém s tým, že výrobcovia najmä pre nižšiu triedu smartfónov riadne nevydávajú aktualizácie opravujúce bezpečnostné chyby pravidelne objavované v tomto operačnom systéme podobne ako v iných OS a pre vyššiu triedu ich vydávajú len po krátku dobu.

V poslednom čase sa situácia ale zlepšila a výrobcovia pre čoraz viac zariadení vydávajú pravidelné bezpečnostné aktualizácie často aj na mesačnej báze. Práve na mesačnej báze štandardne informuje o zraniteľnostiach a vydáva opravy tvorca Androidu, Google.

Priemerný počet chýbajúcich záplat pre jednotlivých výrobcov, kliknite pre zväčšenie (tabuľka: SRL Labs)

Android na smartfónoch v súčasnosti deklaruje, k akému mesiacu alebo dátumu má nainštalované všetky bezpečnostné aktualizácie dovtedy vydané Googlom.

Podľa zistení SRL Labs ale problémom je, že táto informácia často nesedí. Výrobcovia často uvádzajú nejaký dátum, v skutočnosti ale v smartfóne nie sú prítomné všetky do toho dátumu vydané bezpečnostné opravy. Evidentne ide o bežný jav.

V niektorých prípadoch chýba jedna záplata, v niektorých ale aj viac ako desať oproti deklarovanému stavu zabezpečenia. A čo je horšie, v niektorých prípadoch ide podľa Nohla o jasné vedomé zavádzanie. "Našli sme niekoľko výrobcov, ktorí nenainštalovali jedinú záplatu ale dátum záplat posunuli dopredu o niekoľko mesiacov. To je úmyselné zavádzanie, nie je to ale veľmi bežné," uviedol Nohl pre Wired.

Dvojica pre každého výrobcu vypočítala priemerný počet chýbajúcich záplat na jeho telefónoch oproti deklarovanému dátumu záplatovania, pričom posudzované boli modely s dátumom aktualizácií minimálne v októbri 2017.

Priemer do jednej chýbajúcej záplaty dosiahli Google, Sony, Samsung a Wiko, jeden až tri Xiaomi, Oneplus a Nokia, tri až štyri HTC, Huawei, LG a Motorola a viac ako štyri TCL a ZTE.

V niektorých prípadoch ale aj výrobcovia, ktorí dopadli najlepšie, mali telefóny s vysokým počtom chýbajúcich záplat. Napríklad Samsungu 2016 J3 deklaroval záplaty za celý rok 2017, chýbalo mu ale dvanásť.

Čo je dôvodom týchto praktík nie je jasné, podľa SRL Labs v niektorých prípadoch môžu výrobcovia závisieť od dostupnosti aktualizácií od výrobcov čipov. Počet chýbajúcich záplat sa totiž výrazne líšil podľa výrobcu SoC a najmä v prípade Mediateku to bolo až 9.7 chýbajúcich záplat oproti 1.1 u Qualcommu a menej ako 0.5 u Samsungu.

SRL Labs upozorňuje, že niektoré chýbajúce záplaty nutne neznamenajú hacknuteľnosť daného smartfónu. Pre ďalšie bezpečnostné ochrany v Androide je v súčasnosti často pre hacknutie potrebné zreťazenie viacerých zraniteľností a útoky môže prekaziť aj opravenie len niektorých.

Google v stanovisku pre americké médiá avizoval spoluprácu a preverenie zistení SRL Labs. Naznačoval, že v niektorých prípadoch môžu byť využité iné ako oficiálne záplaty potenciálne nedetekované SRL Labs, a zároveň avizoval, že v niektorých prípadoch zase výrobcovia celkovo odstránili zraniteľný komponent namiesto jeho opravy.

To jasne naznačuje, že analýza SRL Labs zrejme funguje na detekcii konkrétnych záplat a nie zraniteľností. Podľa Nohla napríklad odstránenie komponentov v každom prípade určite nie je zodpovedné za väčší počet chýbajúcich záplat.

Aktualizácia 1: K zisteniam SRL Labs sa vyjadrila spoločnosť Lenovo vyrábajúca smartfóny značky Motorola. "Podľa nášho najlepšieho vedomia, všetky aplikovateľné záplaty pre zariadenia sú súčasťou každej bezpečnostnej aktualizácie. Oslovili sme Security Research Labs, aby sme získali podrobnosti o ich náleze a mohli detailnejšie vyhodnotiť ich závery," uviedla spoločnosť v stanovisku.




Najnovšie články:



Diskusia:

Asus zenfoooone Od: martiiiiiinHK | Pridané: 13.4.2018 9:39 Do pice, ja mam ASUS, ten to ani neurobil do tabulky ! Odpovedať Známka: 7.2 Hodnotiť:

Re: Asus zenfoooone Od: ausus | Pridané: 13.4.2018 9:47 bohuzial ASUS je asi uz povestny tym, ze moc svoje akekolvek zariadenia dlho nepodporuje, a telefony, uz od prveho Padfone velmi rychlo prestaval podporovat, aktualizovat, a to nemuseli prejst ani nie ze roky, ale uz po prvom roku sa na to vykaslali... snad aspon dosky podporuju normalne, tam netusim, nemam asus dosku mnoho rokov uz Odpovedať Známka: 3.3 Hodnotiť:

Re: Asus zenfoooone Od: aaale prd | Pridané: 15.4.2018 17:46 Mam Zenfone 3 a patche mi chodia pravidelne Odpovedať Známka: 0.0 Hodnotiť:

Štvrtok, 8. decembra 2016, dnes má meniny Marína Pošli kvety Od: pamaladicek | Pridané: 13.4.2018 9:44 naco su zaplaty v telefone? ako ma niekto moze hacknut a co z toho bude mat? Odpovedať Známka: -3.9 Hodnotiť:

Re: Štvrtok, 8. decembra 2016, dnes má meniny Marína Pošli kvety Od: zlosyn | Pridané: 13.4.2018 9:46 bude si pozerať fotky tvojej ciciny nafotenej v telefóne Odpovedať Známka: 8.8 Hodnotiť:

Re: Štvrtok, 8. decembra 2016, dnes má meniny Marína Pošli kvety Od: pamaladicek | Pridané: 13.4.2018 10:15 kludne s tym problem nemam :) Odpovedať Známka: -0.5 Hodnotiť:

Re: Štvrtok, 8. decembra 2016, dnes má meniny Marína Pošli kvety Od: sensei-san | Pridané: 13.4.2018 10:27 No ale predstav si ten ušlý zisk! Odpovedať Známka: 9.2 Hodnotiť:

ultraradikalny optimizmus Od: syntaxterrorX XX | Pridané: 13.4.2018 10:36 Presne tak. V rámci oddškodnenia duševných útrap ako nemajetkovej ujmy je zodpovednost za nerootnutý Android priekazne v kompetenciách výrobcu. Odpovedať Známka: -3.3 Hodnotiť:

Re: Štvrtok, 8. decembra 2016, dnes má meniny Marína Pošli kvety Od: Pankoje | Pridané: 13.4.2018 17:52 Panko je gurman. Pri vybieleni uctu alebo domacnosti to uz asi jedno nebude, ze? Vlastne aj to ti je jedno, ved si este skolak :) Odpovedať Známka: 10.0 Hodnotiť:

Re: Štvrtok, 8. decembra 2016, dnes má meniny Marína Pošli kvety Od: fin1 | Pridané: 15.4.2018 10:24 take malickosti ... Odpovedať Hodnotiť:

Re: Štvrtok, 8. decembra 2016, dnes má meniny Marína Pošli kvety Od reg.: mdl.. | Pridané: 13.4.2018 10:16 mobil je prenosny pocitac s mikrofonom, kamerou a internetom mas v nom vsetky tvoje kontakty = dalsie obete proste neobmedzene moznosti Odpovedať Známka: 8.9 Hodnotiť:

Re: Štvrtok, 8. decembra 2016, dnes má meniny Marína Pošli kvety Od: anemasto | Pridané: 15.4.2018 20:40 staci aplikacia ktorej da prava citat kontakty.. Odpovedať Hodnotiť:

Re: Štvrtok, 8. decembra 2016, dnes má meniny Marína Pošli kvety Od: bitboy | Pridané: 13.4.2018 10:17 Predpokladam, ze sa jedna o iróniu. V opačnom pripade pravdepodobne trpis nemeratelnym stupňom retardacie. Odpovedať Známka: 7.1 Hodnotiť:

Re: Štvrtok, 8. decembra 2016, dnes má meniny Marína Pošli kvety Od: martiiiiiinHK | Pridané: 13.4.2018 12:02 vybrakuje ti kreditku cez google store. Odpovedať Známka: 10.0 Hodnotiť:

Re: Štvrtok, 8. decembra 2016, dnes má meniny Marína Pošli kvety Od: Wingdings | Pridané: 13.4.2018 21:40 Presne...načo šiť záplaty keď vieme háčkovať Odpovedať Známka: 10.0 Hodnotiť:

Štvrtok, 8. decembra 2016, dnes má meniny Marína Pošli kvety Od reg.: Neficek | Pridané: 13.4.2018 9:56 Tak take fotky mu kludne poslem, na to ma nemusi hackovat. Odpovedať Známka: 10.0 Hodnotiť:

Re: Štvrtok, 8. decembra 2016, dnes má meniny Marína Pošli kvety Od: anananas | Pridané: 13.4.2018 12:30 ja mu tiez poslem tie tvoje Odpovedať Známka: 10.0 Hodnotiť:

Re: Štvrtok, 8. decembra 2016, dnes má meniny Marína Pošli kvety Od: Redakcia dsI.sk | Pridané: 15.4.2018 14:17 Prosíme o ich zaslanie na redakcia(at)dsl.sk Ďakujeme. Odpovedať Známka: 10.0 Hodnotiť:

aha .. hmm .. och ... uá.. wtf Od: Mxxl | Pridané: 13.4.2018 10:30 tak a ja som sa vytešoval, že aký bezpečný mám smartón... dá sa nejak overiť či mám všetky záplaty do 1.3.2018? Alebo neviete niekto ako je na tom Xiaomi Redmi 4x global, týždenná verzia? thx Odpovedať Hodnotiť:

Re: aha .. hmm .. och ... uá.. wtf Od: asdfsadfaf | Pridané: 13.4.2018 15:58 v povodnom clanku sa spomina toto: SnoopSnitch http://dopice.sk/li7 Odpovedať Hodnotiť:

..... Od: Ja. | Pridané: 13.4.2018 10:35 Môj android nezavádza. Píše mi rok, ktorý si už ani nepamätám. Odpovedať Známka: 10.0 Hodnotiť:

Staré dobré časy Od: Agent | Pridané: 13.4.2018 15:26 Pred 15 rokmi sme mobily používali roky rokúce s takým softvérom, akým sme si ich kupovali, a nevadilo nám to. Teraz je 2018 a stále nám to nevadí :D Odpovedať Známka: 7.5 Hodnotiť:

Re: Staré dobré časy Od: fin1 | Pridané: 15.4.2018 10:26 Tecie vam pracka ......Nevadiiiiiii .... Nevadiiiiii Odpovedať Hodnotiť:

Re: Staré dobré časy Od: Tenkos | Pridané: 15.4.2018 18:57 Vtedy to vedeli hacknúť, len tajné služby. Teraz je to jednoduchšie. :) Odpovedať Hodnotiť:

Re: Staré dobré časy Od: anemasto | Pridané: 15.4.2018 20:43 ved ja aj mam dumbphone.. dal som zan 15eur a uz ho pouzivam roky rokuce, pada mi na beton, do vody a nic mu nie je. dokonca ho nie je mozne ani hacknut, ani heknut, ani nic, pretoze nema ani internet. objednavky vybavujem cez telefonny hovor, ked nieco potrebujem vybavit. bezpecne a pohodlne riesenie, este k tomu za lacny peniaz. ma aj fotak. Odpovedať Hodnotiť:

Tu uz nikto nic Od: Bebebe | Pridané: 13.4.2018 20:19 To uz tu nikdo nic negarantuje??! Odpovedať Známka: 10.0 Hodnotiť:

Re: Tu uz nikto nic Od: Bože chráň ľudí od telefónov | Pridané: 14.4.2018 2:26 Vôbec neverím ich aktualizáciám, pochybujem, že ich vyvíjajú na to, aby ľudí chránili. Videl som čo dorobil Apple so svojimi aktulalizáciami, telefón išiel furt pomalšie a pomalšie, až sa nedal používať. To je kokrétny prípad. Potom nový router-aktualizácia FW-všetko spomalené. Čo dorobili updaty windows, to tiež mnohí vedia. Ešteže telefón je len taká konzumná sračka, lebo pokiaľ by ste mali na PC ustavične inštalovať nové verzie programov a aktualizácie kôli "bezpečnosti", strácate čas a riskujete, že miesto práce sa budete zaoberať riešením problémov spôsobených aktualizáciami. Môžem fakovať takú bezpečnosť. Silná hrozba je dnes používať telefón, je predpoklad, že zaznamenáva, zhromažďuje a odosiela všetko. A to ešte okrem toho, že samotné žiarenie z mobilov je nebezpečné, dnešný smartphone môže vysielať určitú frekvenciu, na ktorú je špecificky daný jedinec citlivý-ten telefón to môže zistiť a prispôsobiť sa. Dôkaz? Veď sa pozerajte na ľudí, ako ich ovládajú mobily-to je normálne? Odpovedať Známka: 10.0 Hodnotiť:

Re: Tu uz nikto nic Od: Mxxl | Pridané: 14.4.2018 10:42 hej, aj ten toulén čo si ideš asi odhadol tvoju frekvenciu a teraz ťa ovláda Odpovedať Známka: 3.3 Hodnotiť:

Re: Tu uz nikto nic Od: anemasto | Pridané: 15.4.2018 20:46 presne pod toto sa podpisujem mam uz 8 rokov win7 bez aktualizacii od samotnej instalacii z orignalneho OEM CD a nemal som ani 1 incident. cez netstats vidim, ze mi nic z pocitaca nedochadza (botnet). mal som smartfony, nie apple, ale nielen android, a kazdy do jedneho minimalne raz posral aktualizaciu. to iste na win7 - kopec clankov o samovrazdebnych aktualizaciach. moje pravidlo - naco opravovat nieco, co funguje. Odpovedať Hodnotiť:

Pridať komentár