Aprenda a Ganhar Dinheiro do seu Jeito na Internet!

OEMs do Android mentem sobre patches de segurança nas atualizações de software

Estás a ler: OEMs do Android mentem sobre patches de segurança nas atualizações de software

O Security Research Labs planeja lançar um relatório sobre o que chama de “gap gap” do Android, onde os fabricantes de telefones não fornecem as atualizações de segurança mais recentes para seus produtos. Mas não são apenas exclusões simples: verificou-se que muitos fabricantes mentem sobre uma atualização que contém um patch quando não.

Em uma consulta de pré-lançamento com WIREDOs pesquisadores de SRL, Karsten Nohl e Jakob Lell analisaram mais de 1.200 telefones e acompanharam seus registros de atualização ao longo de 2017. O histórico de alguns fabricantes contém “engano deliberado”.

“Encontramos vários fornecedores que não instalaram um único patch, mas alteraram a data do patch em vários meses”, disse Nohl.

Para complicar ainda mais a questão, está a pura inconsistência de quais dispositivos obtêm qual a qualidade do tratamento: o Galaxy J5 (2016) falou honestamente aos consumidores sobre seu histórico de falhas, enquanto o Galaxy J3 (2016) afirmou ter todos os patches que recebeu, mas na verdade faltavam 12 deles – dois deles eram de importância “crítica”.

Lembre-se de que os patches de segurança devem ser executados em vários níveis individuais, do fabricante do telefone ao fabricante do sistema operacional (Google) e aos fabricantes de componentes. SRL observa que o MediaTek foi o maior infrator por omissões de patches no nível de chip – aqueles acabaram subindo a cadeia até os OEMs e, portanto, estavam ausentes nas atualizações gerais de software. Em geral, porém, chips mais baratos têm baixa prioridade para manutenção da segurança do lado das empresas de semicondutores.

“As lições são que, se você optar por um dispositivo mais barato, acaba em uma parte menos bem mantida desse ecossistema”, disse Nohl.

O SRL normalizou o número de patches reivindicados que não foram instalados para dispositivos que receberam uma atualização em outubro de 2017:

Remendos ausentes
Fornecedores
0-1 Google / Sony / Samsung / Wiko
1-3 Xiaomi / OnePlus / Nokia
3-4 HTC / Huawei / LG / Motorola
4+ TCL / ZTE

Google diz WIRED que está trabalhando com SRL e aprecia os dados que obteve. No entanto, a empresa também reduziu alguns descontos nos dados, sugerindo que alguns dispositivos testados não foram feitos com padrões certificados e que alguns patches não foram incluídos porque o fornecedor encontrou outra solução para corrigir uma vulnerabilidade, como a remoção de um recurso. Os telefones mais novos, diz o Google, são difíceis de quebrar, mesmo com buracos não corrigidos.

Em resposta à declaração do Google, Karsten Nohl, da SRL, disse que, embora seja improvável que os OEM tenham contornado um patch para cobrir uma vulnerabilidade, ele concorda que a maioria dos hackers achará difícil hackear um telefone Android por causa da segurança básica do sistema operacional recursos como a randomização de endereços de arquivos e sandboxing de aplicativos.

No entanto, com uma quantidade crescente de código malicioso proveniente de atores mais sofisticados, os envolvidos na cadeia de desenvolvimento de software Android não devem perder patches no caso de uma série de buracos levar a um ataque perfeito.

“Você nunca deve facilitar as coisas para o invasor deixando bugs abertos que, na sua opinião, não constituem um risco por si só”, disse Nohl, “mas podem ser uma das peças do quebra-cabeça de outra pessoa. Defesa em profundidade significa instalar todos os patches.

O Security Research Labs apresentou suas conclusões completas na conferência Hack in the Box, em Amsterdã, hoje.

O Android também está controlando os danos causados ​​pela recente revelação de que apenas os dispositivos com o sistema operacional tiveram dados de chamadas e SMS capturados pelo Facebook devido, em parte, às regras negligentes da plataforma de software sobre o direcionamento de versões.

~~~~~~~~📱~~~~~~~~

PCtg.net é o lugar perfeito para encontrar as últimas notícias e análises sobre gadgets e aplicativos de tecnologia, bem como dicas e truques sobre como tirar o máximo proveito de sua tecnologia.