Geekly articles weekly

Niemand kümmert sich um die Sicherheit entsperrter Android-Telefone



Es kann nicht sein, dass Amazon an der Einführung des Flaggschiff-Produkts mit Hintertür beteiligt ist und alle Ihre persönlichen Daten heimlich an einen unverständlichen Server in China sendet. Natürlich hätten ihre Entwickler oder Produktionspartner dieses Verhalten während eines routinemäßigen Sicherheitsaudits festgestellt. Es kann einfach nicht passieren, oder?

Niemand kümmert sich um die Sicherheit entsperrter Android-Telefone, die nicht an einen Anbieter gebunden sind und in den USA (und vielen anderen Regionen) verkauft werden. Die OEMs, die Android-Handys herstellen und liefern, spielen keine Rolle. Google, der Anbieter der Android-Plattform, spielt keine Rolle. Einzelhändler wie Amazon und Best Buy, die jährlich Millionen von Android-Handys verkaufen, spielen keine Rolle. Am schlimmsten ist, dass sich der durchschnittliche Benutzer erst dann um die Computersicherheit kümmert, wenn etwas Schlimmes passiert. Deshalb geht alles weiter.

Dies war bei Android-Geräten schon immer der Fall, aber Google begann diese Situation im Sommer 2015 ernst zu nehmen, als der Stagefright- Fehler in den Medien weit verbreitet war. Sicherheitsexperten behaupten, dass Google-Geräte, Nexus und Pixel, nach Sicherheitsstandards iOS nahe kamen, aber im Allgemeinen verschlechtert sich die Situation, wenn die meisten Verbraucher Smartphones mit Software kaufen, die nicht von Google unterstützt wird.

Wir erinnerten uns an dieses ernste Problem, als Amazon das meistverkaufte Telefon BLU R1 HD zurückrufen musste , nachdem ein Sicherheitsspezialist dank einer „Kombination aus Neugier und Glücksfall“ eine versteckte Hintertür darin entdeckt hatte . Diese Geräte sowie einige andere BLU-ModelleAlle 24-72 Stunden werden personenbezogene Daten gesammelt und an einen Server in China übertragen. Dieses Verhalten war für den Benutzer nicht erkennbar. Zu den Daten gehörten die genaue Position des Geräts, Textnachrichten, Kontaktlisten, Anrufprotokolle, installierte Anwendungen usw.

Der BLU-Direktor sagte gegenüber NYTimes, dass "wir offensichtlich nichts darüber wussten" und gab einen Fehler zu. Und obwohl es gut ist, dass sie das Problem so schnell behoben hat, ist es sehr besorgniserregend, dass weder BLU noch Amazon es seit dem Start des Telefons im Juli 2016 selbst gefangen haben.

Wie konnte das passieren?


Ehrlich gesagt kann ich mir einfach nicht vorstellen, wie ein solcher Pfosten auf den Markt kommen und so lange unbemerkt bleiben könnte, also habe ich ein wenig recherchiert. Ich habe für Android-OEMs gearbeitet und bin mir einig, dass alle Softwareversionen mit den mobilen Diensten von Google den CTS-Test (Compatibility Test Suite) bestehen müssen. Ein kurzes Gespräch mit Computersicherheitsexperten hat mir die Augen geöffnet, wie schwerwiegende Sicherheitsprobleme weiterhin auftreten.

Google führt eine schwarze Liste schlechter Software, die mit Android-Handys nicht geliefert werden kann. Ich war überrascht, dass Google und BLU bereits 2015 - ein Jahr vor der Veröffentlichung von BLU R1 HD - eine der Schwachstellen im Zusammenhang mit der ADUPS-Anwendung in Mediatek-Chips kannten. Red Naga Sicherheitsteamfand die Sicherheitslücke am 1. März 2015 und unternahm mehrere Versuche, sie zu beseitigen, wurde jedoch mit der Tatsache konfrontiert, dass " BLU keine Sicherheitsabteilung hat und daher nicht helfen kann ".

Nach dem Schweigen von Mediatek und dem Mangel an BLU-Hilfe akzeptierte Google schließlich den Patch in CTS, um den ADUPS-System-Socket zu überprüfen. Dies hätte das Problem lösen sollen, aber danach änderte Mediatek einfach den Namen des Sockets, um die CTS-Prüfung zu täuschen.

Einfach ausgedrückt, CTS von Google erkennt keine Schwachstellen, von denen es nichts weiß. Und Mediatek ist ein Rückfälliger, der den CTS-Test regelmäßig umgeht, und einige Experten aus der Sicherheitsbranche nennen ihn den schlechtesten Chipsatzhersteller.

Obwohl Mediatek einen schlechten Sicherheitsruf hat, gewinnt es immer noch Entwicklungswettbewerbe, weil es die harte Arbeit für OEM-Partner leistet, die ihre Plattformen auswählen. Wenn Sie ein Gerät schnell und kostengünstig auf Android starten möchten, ist Mediatek häufig eine kostengünstige Lösung.

Kann das wieder vermieden werden?


Wir alle müssen uns um versteckte Hintertüren sorgen, aber ein schwerwiegenderes Problem sind bekannte Sicherheitslücken, die auf den meisten Android-Geräten nicht behoben werden können. Google versucht, dieses Problem zu lösen, indem es darauf achtet. Das Unternehmen veröffentlicht monatliche Sicherheitsüberprüfungen und Android Security Bulletins und zwingt OEMs, die Android Security Patch-Stufe in den Geräteeinstellungen anzuzeigen.

Nachdem die FTC HTC 2013 gezwungen hatte, bekannte Schwachstellen zu beheben, ergriffen OEMs und Mobilfunkanbieter einige Maßnahmen, und die meisten in Geschäften verkauften Flaggschiff-Geräte erhalten regelmäßig Updates. Sie werden jedoch nicht von allen Geräten empfangen, und es gibt keine Garantie dafür, dass die Geräte für lange Zeit unterstützt werden.

Fortschritt kommt nur, wenn etwas kaputt geht und die Medien beginnen, Google und seine Partner zu ficken. Zum Beispiel zwang der bereits erwähnte Stagefright die FCC und die FTC, sich zusammenzuschließen , um „die Sicherheit mobiler Geräte besser zu verstehen und infolgedessen zu verbessern“, aber die Ergebnisse dieser Studie wurden noch nicht veröffentlicht.

Ich kann vorhersagen, zu welchem ​​Ergebnis sie in ihrem Bericht kommen werden. Für OEMs besteht kein Anreiz, nach dem Start in die Unterstützung von Gerätesicherheitspatches zu investieren. Die Veröffentlichung von Updates kostet Zeit und Geld, und diese Richtung hat keinen Einfluss auf die Entscheidungsfindung der Verbraucher. Die meisten OEMs möchten kein zusätzliches Geld für die Verbesserung der Sicherheit ausgeben, solange die Verbraucher nicht dafür bezahlen möchten.

Wer kann das beheben?


Die gesamte Lieferkette ist schuld, aber in naher Zukunft sollten wir keine Verbesserung erwarten. Einige Gedanken darüber, was verschiedene Spieler tun könnten, um die Sicherheit von Android-Handys zu verbessern.

Google : führt eine Liste mit guten und schlechten OEMs darüber, wie sie Sicherheits- und Release-Updates aufrechterhalten, und es wird gemunkelt, dass die schlechtesten Hersteller öffentlich beschämt werden - dies wird jedoch die Beziehung zu Partnern schädigen. Wenn Google die Sicherheit wirklich verbessern möchte, kann es den Verbrauchern möglicherweise mitteilen, welche OEMs, Komponentenhersteller und anderen Partner nicht in der Lage sind, Benutzerdaten zu schützen. Fühlen Sie sich beispielsweise sicher, wenn Sie BLU-Produkte oder ein Gerät mit einem Chip von Mediatek kaufen? Google kann seine nächste Spezifikation auf diese Weise ändernDokument zur Definition der Android-Kompatibilität , um die Lieferung von Geräten mit einem Sicherheitspatch der entsprechenden Stufe zu erfordern und diese Geräte für einige Zeit zu warten.

OEM : Als ich für Huawei gearbeitet habe, habe ich versucht, auf Sicherheitsprobleme zu achten, indem ich mit dem internationalen Honor-Team an dem 24-monatigen Programm für Software-Update-Richtlinien gearbeitet habe . Zu meinem Erstaunen wollte das Marketing-Team dies bei der Produkteinführung nicht erwähnen, aber ich bin stolz darauf, dass wir in diesem Moment der einzige OEM waren, der ähnliche Regeln hatte. Sie sind nicht perfekt, aber besser als nichts. Nur Google garantiertVeröffentlichung sicherheitsrelevanter Updates 3 Jahre nach dem Start der Pixel- und Nexus-Geräte. Ich möchte, dass mehr OEMs diese Initiative ergreifen und ihre eigenen Regeln für Softwareupdates entwickeln.

Einzelhändler : Amazon hat das Richtige getan, indem es die BLU R1 HD ausgesetzt hat. Nach dieser Logik müssen sie jedoch andere verkaufte Geräte mit bekannten Sicherheitsproblemen blockieren. Bei der Auswahl eines Geräts im Amazon Store kann der Verbraucher leicht herausfinden, welche Netzwerke unterstützt werden. Es gibt jedoch keine Informationen über die Sicherheitsstufe, die es bietet.

Technologie-Browser: Melden Sie weiterhin schlechtes Verhalten von Android-OEMs. Konzentrieren Sie sich in Überprüfungen auf die Unterstützung von Software und den Verlauf ihrer Aktualisierungen. Informieren Sie Ihr Publikum, damit die Kunden fundierte Kaufentscheidungen treffen können.

Verbraucher : Ich möchte Sie dringend bitten, mit Ihrem Geldbeutel abzustimmen und Geräte von Unternehmen zu kaufen, die Ihre Sicherheit ernst nehmen - aber ihre Auswahl ist zu begrenzt. Neben den vorherigen Nexus-Handys und dem aktuellen Pixel gibt es nicht viele Optionen für Personen, die Wert auf Privatsphäre und Sicherheit legen.

Source: https://habr.com/ru/post/de399367/

More articles:


All Articles