Παρασκευή, 13 Απριλίου 2018

Μηνιαίες ενημερώσεις ασφαλείας | Ορισμένες εταιρίες πιάστηκαν να λένε ψέμματα για τα security patch του Android!


Μπορεί η Google με τα μηνιαία της update ασφαλείας να βοηθάει τους κατασκευαστές smartphone όσον αφορά την ασφάλεια του Android, αλλά από ότι φαίνεται οι δεύτεροι δεν "ιδρώνουν" και τόσο πολύ για τα δεδομένα μας. Οι ίδιες εταιρίες που "μαγείρευαν" επί χρόνια τα αποτελέσματα στα τεστ του Antutu, για να φαίνονται οι συσκευές τους δυνατότερες από τον ανταγωνισμό, τώρα μας προσφέρουν συσκευές με update που δεν έχουν εγκατασταθεί ποτέ!

Αυτό έδειξε η έρευνα της εταιρίας Security Search Labs, η οποία τέσταρε 1200 Android συσκευές, θέλοντας να δει ποιες εταιρίες είναι συνεπείς στις αναβαθμίσεις ασφαλείας. Αυτό που αποκαλύφθηκε όμως, είναι ότι μπορεί κάποια smartphone να γράφουν ότι περιλαμβάνουν το "Επίπεδο ασφαλείας Android" του Απριλίου 2018, αλλά δεν έχουν εγκατεστημένα όλα τα patch που διαθέτει.

Διαφήμιση
Διαφήμιση

Χάρη σε αυτή την έρευνα λοιπόν μάθαμε κάτι που δε γνωρίζαμε, ότι δηλαδή ένα patch ασφαλείας περιλαμβάνει πολλά μικρότερα και ότι οι εταιρίες έχουν την επιλογή να στείλουν στη συσκευή μας ένα μέρος τους και όχι όλα. Για παράδειγμα από το Σεπτέμβριο του 2016 έως το Δεκέμβριο του 2017, οι Android συσκευές δέχτηκαν 16 ενημερώσεις ασφαλείας, μία για κάθε μήνα δηλαδή και αυτές οι ενημερώσεις περιελάμβαναν 225 διορθώσεις γνωστών ευπαθειών του Android.

Αν εγκαταστήσουμε την εφαρμογή SnoopSnitch, θα δούμε με κόκκινο χρώμα τα patch τα οποία δεν υπάρχουν στη συσκευή μας. Για παράδειγμα το Xiaomi Mi Mix μπορεί να αναφέρει ότι διαθέτει την ενημέρωση Ιανουαρίου 2018, αλλά του λείπει ένα patch από τον Οκτώβριο του 2016! Αν κάποιος λοιπόν γνωρίζει πώς να εκμεταλλευτεί αυτή την ευπάθεια, μπορεί αυτομάτως να χακάρει τη συσκευή μας και πιθανώς να κλέψει τα δεδομένα μας.


Οι συνεπείς εταιρίες σύμφωνα με αυτήν που διεξήγαγε την έρευνα είναι η Google, η Samsung, η Sony και η Wiko (!), ακολουθούν η Xiaomi, η OnePlus και η Nokia, με τις HTC, Huawei, LG και Motorola να βρίσκονται πιο πίσω. Οι ενημερώσεις όμως εξαρτώνται και από τον επεξεργαστή, έτσι οι συσκευές με τους Exynos (Samsung) βρίσκονται στην πρώτη θέση, ακολουθούν πολύ κοντά οι Snapdragon (Qualcomm) και HiSilicon (Huawei), ενώ πάρα πολύ μακρυά βρίσκονται οι Mediatek.


Τέλος στο XDA μας έδειξαν πόσο εύκολο είναι να πλαστογραφήσεις την ενημέρωση ασφαλείας, αλλάζοντας μία γραμμή στο αρχείο build.prop. Με αυτό τον τρόπο θα μπορούσε κάθε εταιρία ή κάθε custom ROM να μας στέλνει την... ενημέρωση κάθε μήνα, αλλάζοντας απλά το μήνα, χωρίς να εγκαθιστά τίποτα στη συσκευή μας. Μετά από αυτή την αποκάλυψη η Google έχει ξεκινήσει έρευνα επί του θέματος, η οποία ελπίζουμε να οδηγήσει σε αποτελέσματα και όχι να ξεχαστεί σε βάθος χρόνου.

Όλη αυτή η ιστορία αποτελεί ακόμη ένα σημαντικό πλήγμα στην ασφάλεια του Android, η οποία μπορεί σήμερα να μη μας ενδιαφέρει, αλλά στο μέλλον θα είναι απαραίτητη.

Πηγές: 1 | 2 | 3

0 στο: "Μηνιαίες ενημερώσεις ασφαλείας | Ορισμένες εταιρίες πιάστηκαν να λένε ψέμματα για τα security patch του Android!"