Sesetengah oems android didapati berbohong mengenai patch keselamatan [kemas kini]

Kemas kini, April 13: Google telah memberikan pernyataan berikut kepada Verge:

Kami ingin mengucapkan terima kasih kepada Karsten Nohl dan Jakob Kell atas usaha berterusan mereka untuk menguatkan keselamatan ekosistem Android. Kami bekerjasama dengan mereka untuk meningkatkan mekanisme pengesanan mereka untuk menjelaskan situasi di mana peranti menggunakan kemas kini keselamatan alternatif dan bukannya kemas kini keselamatan yang dicadangkan Google. Kemas kini keselamatan adalah salah satu daripada banyak lapisan yang digunakan untuk melindungi peranti Android dan pengguna. Perlindungan platform terbina dalam, seperti sandboxing aplikasi, dan perkhidmatan keselamatan, seperti Google Play Protect, sama pentingnya. Lapisan keselamatan ini-digabungkan dengan kepelbagaian ekosistem Android-menyumbang kepada kesimpulan penyelidik bahawa eksploitasi jauh peranti Android masih mencabar.

Tatal yang tidak dijawab pastinya membuat telefon anda lebih terdedah berbanding dengan yang terkini, tetapi walaupun itu, itu tidak bermakna anda sepenuhnya tidak dilindungi. Tompok bulanan pasti membantu, tetapi terdapat langkah-langkah umum untuk memastikan bahawa semua telefon Android mempunyai beberapa tahap keselamatan yang dipertingkatkan.

Sekali sebulan, Google mengemas kini Buletin Keselamatan Android dan melancarkan patch bulanan baru untuk menetapkan kelemahan dan bug sebaik sahaja ia muncul. Bukan rahsia lagi bahawa banyak OEM lambat untuk mengemas kini perkakasan mereka dengan patch yang dikatakan, tetapi kini telah diketahui bahawa sesetengah daripada mereka mendakwa telah memperbaharui telefon mereka apabila, sebenarnya, tiada perubahan sama sekali.

Penyataan ini dibuat oleh Karsten Nohl dan Jakob Lell dari Makmal Penyelidikan Keselamatan, dan penemuan mereka baru-baru ini dipersembahkan di persidangan Keselamatan Hack Box tahun ini di Amsterdam. Nohl dan Lell memeriksa perisian 1200 telefon Android dari Google, Samsung, OnePlus, ZTE, dan lain-lain, dan apabila berbuat demikian, mendapati bahawa sesetengah syarikat ini mengubah penampilan patch keselamatan ketika mengemas kini telefon mereka tanpa benar memasangnya.

Samsung Galaxy J3 dari 2016 mendakwa mempunyai 12 patch yang hanya tidak dipasang di telefon.

Sesetengah patch yang tidak dijangka dijangka berlaku secara tidak sengaja, tetapi Nohl dan Lell menyentuh telefon tertentu di mana perkara tidak ditambah. Sebagai contoh, manakala Galaxy J5 dari Samsung pada tahun 2016 dengan tepat menyenaraikan patch yang ada, J3 dari tahun yang sama kelihatan mempunyai setiap tampalan tunggal sejak tahun 2017 walaupun 12 telah hilang.

Penyelidikan juga mendedahkan bahawa jenis pemproses yang digunakan dalam telefon boleh memberi kesan kepada sama ada atau tidak ia dikemas kini dengan patch keselamatan. Peranti dengan cip Exynos Samsung didapati mempunyai beberapa tampalan hebat, sedangkan mereka yang menggunakan MediaTek rata-rata dengan 9.7 patch hilang.

Selepas berjalan melalui semua telefon dalam ujian mereka, Nohl dan Lell mencipta satu carta yang menggariskan berapa banyak patch OEM terjawab tetapi masih mendakwa telah dipasang. Syarikat-syarikat seperti Sony dan Samsung hanya terlepas antara 0 dan 1, tetapi TCL dan ZTE didapati melangkau 4 atau lebih.

• 0-1 terlepas patch (Google, Sony, Samsung, Wiko)
• 1-3 terlepas patch (Xiaomi, OnePlus, Nokia)
• 3-4 patch tidak terjawab (HTC, Huawei, LG, Motorola)
• 4+ patch terlepas (TCL, ZTE)

Tidak lama selepas penemuan ini diumumkan, Google berkata ia akan melancarkan siasatan ke setiap OEM yang bersalah untuk mengetahui apa yang sedang berlaku dan mengapa pengguna dibohongkan mengenai patch yang mereka lakukan dan tidak mempunyai.

Walaupun dengan kata itu, apa yang anda ambil tentang ini? Adakah anda terkejut dengan berita itu, dan adakah ini akan memberi kesan kepada telefon yang anda beli ke hadapan? Bunyi dalam komen di bawah.

Kenapa saya masih menggunakan BlackBerry KEYone di Spring 2018