Ваш телефон Android може мати не всі оновлення безпеки, на які він претендує. Як повідомляли цього тижня, дослідження SRL (Security Research Labs) показало, що іноді існує невідповідність між датою виправлення безпеки Android, яку повідомляє пристрій, і фактично встановленими виправленнями. Так твій телефон бреше тобі?
Як і більшість історій про безпеку Android, те, що тут відбувається, є складним і нюансованим. І, як і більшість історій безпеки Android, більшість засобів масової інформації погано повідомляли про це, наводячи в приклад кілька ситуацій, коли менш авторитетний виробник просто YOLO і довільно призначав дату виправлення вперед, а інші пояснення виправлень не були знайдені SRL.
Метод SRL включає «два роки реінжинірингу сотень кодів операційної системи телефонів Android, які ретельно перевіряють, чи дійсно кожен пристрій містить виправлення безпеки, зазначені в його налаштуваннях». Важливо підкреслити це заздалегідь, тому що це вся інформація, яку ми в даний час маємо про метод, який використовується для того, щоб зробити деякі досить важливі висновки. Навіть якщо цей метод ідеальний, він не враховує специфічні вразливості або не впливає на конкретні телефони, і, отже, не потрібно. Говорячи з Wired, представник Karsten Nohl з SRL стверджує, що це «виразно незначна кількість» пропущених патчів. Тим не менш, власне дослідження фірми показує дуже невелику кількість пропущених виправлень у терміни оригінального дослідження: від 0 до 3 для виробників, включаючи Google, Sony, Samsung, Xiaomi, Nokia і OnePlus.
Для інших, таких як MediaTek, чиї чіпи часто зустрічаються в пристроях з «білою етикеткою», яким пощастило отримувати будь-які оновлення - так, всі ставки зняті.
У своїй відповіді Google справедливо вказує, що навіть при невеликій кількості пропущених рівнів виправлень інші виправлення безпеки і вбудовані засоби захисту Android надзвичайно ускладнюють використання відсутнього виправлення безпеки. Це не виправдовує дрянне програмування або навіть навмисне скорочення кута. Пропускати якусь частину виправлення безпеки - це погано, і ясно, що важливе дослідження SRL виявило, що деякі виробники або недбалі, або, в деяких випадках, не включають великі західні бренди телефонів, здешевлюють і просто пропускають годинники вперед. У більшості випадків, враховуючи, що мало хто зі споживачів навіть знає, що означає рівень Android Security Patch, причина, швидше за все, полягає не в генеральному плані, який вводить споживачів в оману, залишаючи їх телефони вразливими. Іншими словами, нам слід ніяково приписувати злобі те, що можна адекватно пояснити дурістю.
Але повернемося до самого методу тестування, оскільки в офіційній відповіді Google на все це є один важливий фрагмент інформації:
Ми працюємо з ними над поліпшенням їх механізмів виявлення, щоб враховувати ситуації, коли пристрій використовує альтернативне оновлення безпеки замість запропонованого Google оновлення безпеки.
Переведіть це з PR, і це говорить про те, що, принаймні, деякі з цих пропущених виправлень є помилковими спрацьовуваннями: виробник виправив основну проблему, але не точно, як вказує Google. Це нормально з точки зору безпеки пристрою, і в певних випадках виробник або виробник мікросхем будуть знати про своє обладнання те, чого не знає Google, що в будь-якому випадку робить цей спосіб оптимальним для усунення проблеми. З Samsung, Motorola або Sony, це набагато більш вірогідне пояснення відсутнього санкціонованого Google патчу, і згадка Google про це в цій заяві для преси важливо відзначити, враховуючи невелику кількість пропущених патчів, які ми бачимо від великих брендів Android.
Це все важливі частини сигналу, які губляться в шумі і люті. Враховуючи історію повідомлень про проблеми безпеки Android, кавалькада BS, яку ви бачите в новинах Google з пошуку «патчів безпеки для Android», не дивна. У Android дуже багато проблем з безпекою, а різноманітність екосистеми Android означає, що завжди знайдуться приклади випадкових людей, які не оновлюють пристрої, або недбале програмування від деяких OEM-виробників, яке вводить нові вразливості. Зрештою, це ще одна проблема безпеки Android, яка не така погана, як здається на перший погляд.
Інші шанси на робочу неділю:
- Porsche Design Huawei Mate RS - це прекрасна і смішна технологія, яку я збираюся випробувати в найближчі тижні. Я буду використовувати більш дешеву з двох моделей, варіант 6/256 ГБ, який коштує всього дві тисячі доларів США ????.
- Втім, відбитки пальців на дисплеї? Е-е-е... у його нинішньому втіленні він ще не зовсім готовий, про що свідчать два інших варіанти біометричного розблокування, використовуваних Mate RS. Демо це весело, але не так швидко і надійно, як повинно бути. (Тим не менш, майте на увазі, що я використовую не фінальне програмне забезпечення на цьому пристрої.)
- Xperia XZ2 Compact виглядає як мініатюрний флагман з високим екраном, якого багато хто чекав. Однак кожен раз, коли я повертався до телефону меншого розміру, мені не вистачало додаткової нерухомості, пропонованої 6-дюймовими телефонами 18: 9. Є причина, через яку світ високого класу на Android зупинився на цьому новому стандарті.
- Тут цікаво обговорити, яку форму в кінцевому підсумку приймуть кнопки навігації в Android P і Pixel 3. Ми все ще знаходимося на етапі, коли Google безумовно експериментує з кількома варіантами своїх наступних телефонів.
- О, і подивіться наш відеоогляд Huawei P20 + P20 Pro, знятий в Парижі пару тижнів тому.
Це все на даний момент. Наступна редакція від мене приїде якраз до деяких думок перед введенням/висновком.
для -Alex-
