У вас смартфон на Android? Скорее всего, он уязвим, но это не проблема
Ни для кого не секрет, что у Google огромные проблемы с обновлением смартфонов: вот-вот анонсируют девятую версию Android, получившую название P, а самая популярная операционка на сегодняшний день — Android 7.0 Nougat! В феврале только 0,3% устройств получили актуальную 8.1 Oreo. И это официальная статистика!
Но немецкое агентство Security Research Labs обнаружило другую проблему. Дело в том, что практически все производители смартфонов на Android пропускали обновления безопасности. Причём, многие компании даже обманывали пользователей, указывая, что патч установлен.
Как выяснили?
Security Research Labs в течение двух лет исследовала код смартфонов. В поле зрения компании попали более 1200 смартфонов. И выборка охранного агентства оказалась не очень радужной: обновления безопасности пропускаются, в том числе и именитыми брендами.
В список примеров входит Samsung Galaxy J3. На этом смартфоне были пропущены 12 патчей безопасности, два из них считаются критическим. Тем же самым «болеет» и Sony. Однако эти два вендора входят в число самых надёжных.
Кто ещё в этом числе?
Охранное агентство взяло список этих 1200 смартфонов и разделило их по маркам. Вышло среднестатическое число пропущенных обновлений на бренд. Так, самыми ответственными с 0―1 пропущенным обновлением признаны Samsung, Sony, Google и французская Wiko (в России некоторые смартфоны этого бренда продаются под маркой Fly). А вот Xiaomi, Nokia и OnePlus чуть менее ответственны: их смартфоны пропустили в среднем от 1 до 3 патчей безопасности.
В целом таблица выглядит так:
Помимо прочего, компания решила провести корреляцию между производителем процессоров, установленных в смартфонах, и частотой обновления. Вывод оказался такой: чем дороже смартфон, тем лучше будут обновления:
Так ли всё плохо?
Агентство выпустило приложение, сканирующее смартфон. Его можно скачать из Google Play. Оно определяет, как часто ваш гаджет обновляется компанией. Просканировав свой Xiaomi, я выяснил, что, начиная с августа 2016 года, производитель пропустил 10 патчей, 40 установил с запозданием, а также 32 помечены как «неубедительные», что бы это ни значило:
Но вообще использовать эти уязвимости, с точки зрения злоумышленника, немного странная идея. Представьте такую картину: против конкретной ошибки уже выпущено обновление. Не факт, что оно установлено на смартфоны, но имеет ли смысл, опираясь на него, взламывать устройства? Всё-таки, на взлом тоже уходят ресурсы. Например, время. «Авось» тут не сильно поможет.
В целом, Карстен Нол, один из специалистов Security Research Labs, подтверждает эту точку зрения. Он говорит, что обойти защиту Android-смартфонов, используя уязвимости (эксплойты) пропущенных обновлений не так уж и легко. Мол, требуется не одно пропущенное обновление, а целая серия уязвимостей. Гораздо проще взломать смартфон через установленные приложения из Google Play и сторонних ресурсов.
Другим источником угрозы могут стать «уязвимости нулевого дня» — уязвимости, против которых нет никаких патчей и исправлений безопасности.
Интернет-журнал Wired обратился к Google за комментарием. В компании ответили, что производители могут иначе подходить к патчам безопасности. Например, вендоры часто удаляют уязвимую фичу из смартфона. И вот уже проблема исправлена! Но вообще Alphabet Inc., материнская компания Google и Android, теперь будет работать вместе с Security Research Labs.