🚵🏽 👩🏻‍🔧 🎖️ Tidak ada yang peduli dengan keamanan ponsel Android yang tidak terkunci 🐋 📞 🎶

Tidak mungkin Amazon berpartisipasi dalam peluncuran produk unggulan, yang memiliki pintu belakang, dan diam-diam mengirim semua informasi pribadi Anda ke server yang tidak dapat dipahami di Cina. Tentu saja, pengembang atau mitra produksi mereka akan menangkap perilaku ini selama audit keamanan rutin. Itu tidak bisa terjadi, kan?

Tidak ada yang peduli tentang keamanan ponsel Android yang tidak terkunci yang tidak terikat dengan penyedia, dijual di Amerika Serikat (dan banyak wilayah lainnya). OEM yang membuat dan memasok ponsel Android tidak peduli; Google, penyedia platform Android, tidak peduli; pengecer seperti Amazon dan Best Buy, yang menjual jutaan ponsel Android setiap tahun, tidak peduli. Terburuk dari semua, pengguna rata-rata tidak peduli dengan keamanan komputer sampai sesuatu yang buruk terjadi, itulah sebabnya semuanya berjalan.

Ini selalu menjadi masalah dengan perangkat Android, tetapi Google mulai menangani situasi ini dengan lebih serius pada musim panas 2015, ketika bug Stagefright dilaporkan secara luas di media. Pakar keamanan mengatakan bahwa perangkat Google, Nexus dan Pixel, mendekati iOS dengan standar keamanan, tetapi secara keseluruhan situasinya memburuk ketika sebagian besar konsumen membeli smartphone dengan perangkat lunak yang tidak didukung oleh Google.

Kami mengingat masalah serius ini ketika Amazon harus mengingat BLU R1 HD , ponsel terlaris mereka, setelah seorang spesialis keamanan menemukan pintu belakang tersembunyi di dalamnya berkat "kombinasi keingintahuan dan keberuntungan yang kebetulan". Perangkat ini, serta beberapa model BLU lainnyamengumpulkan dan mengirimkan informasi pribadi ke server di China setiap 24-72 jam. Perilaku ini tidak terlihat oleh pengguna. Data termasuk posisi pasti perangkat, pesan teks, daftar kontak, log panggilan, aplikasi yang diinstal, dan sebagainya.

Direktur BLU mengatakan kepada NYTimes bahwa "jelas kami tidak tahu apa-apa tentang ini," dan mengakui kesalahan. Dan meskipun bagus bahwa ia memperbaikinya dengan sangat cepat, sangat mengkhawatirkan bahwa BLU maupun Amazon tidak menangkapnya sendiri sejak ponsel diluncurkan pada Juli 2016.

Bagaimana ini bisa terjadi?

Sejujurnya, saya tidak bisa membayangkan bagaimana kusen seperti itu bisa masuk pasar dan tidak diperhatikan begitu lama, jadi saya melakukan sedikit riset. Saya bekerja untuk OEM Android, saya memiliki pemahaman yang sama bahwa semua rilis perangkat lunak dengan layanan seluler Google harus lulus uji Compatibility Test Suite (CTS). Pembicaraan singkat dengan para pakar keamanan komputer membuka mata saya tentang bagaimana masalah keamanan serius terus muncul.

Google mengelola daftar hitam perangkat lunak yang buruk yang tidak dapat dikirim dengan ponsel Android. Saya terkejut bahwa Google dan BLU mengetahui salah satu kerentanan yang terkait dengan aplikasi ADUPS dalam chip Mediatek pada tahun 2015 - setahun sebelum rilis BLU R1 HD. Tim Keamanan Naga Merahmenemukan kerentanan pada 1 Maret 2015 dan melakukan beberapa upaya untuk menghilangkannya, tetapi dihadapkan pada kenyataan bahwa " BLU tidak memiliki departemen keamanan, dan karenanya tidak dapat membantu ."

Setelah keheningan Mediatek dan kurangnya bantuan BLU, Google akhirnya menerima patch di CTS untuk memeriksa soket sistem ADUPS. Ini seharusnya menyelesaikan masalah, tetapi setelah itu Mediatek hanya mengubah nama soket untuk mengelabui pemeriksaan CTS.

Sederhananya, CTS dari Google tidak mendeteksi kerentanan yang tidak diketahuinya. Dan Mediatek adalah residivis yang secara berkala melewati tes CTS, dan beberapa ahli dari industri keamanan menyebutnya produsen chipset terburuk.

Meskipun Mediatek memiliki reputasi keamanan yang buruk, Mediatek tetap memenangkan kontes pengembangan karena melakukan semua kerja keras untuk mitra OEM memilih platform mereka. Jika Anda ingin meluncurkan perangkat di Android dengan cepat dan murah, maka Mediatek seringkali merupakan solusi yang terjangkau.

Bisakah ini dihindari lagi?

Kita semua perlu khawatir tentang backdoor tersembunyi, tetapi masalah yang lebih serius adalah kerentanan yang tidak diperbaiki di sebagian besar perangkat Android. Google sedang mencoba menyelesaikan masalah ini dengan memperhatikannya. Perusahaan menerbitkan ulasan keamanan bulanan, Buletin Keamanan Android , dan memaksa OEM untuk menunjukkan tingkat Patch Keamanan Android dalam pengaturan perangkat.

Setelah FTC memaksa HTC untuk memperbaiki kerentanan yang diketahui pada tahun 2013 , OEM dan operator nirkabel mengambil beberapa langkah, dan sebagian besar perangkat unggulan yang dijual di toko secara teratur menerima pembaruan. Tetapi tidak semua perangkat menerimanya, dan tidak ada jaminan bahwa perangkat akan didukung untuk waktu yang lama.

Kemajuan datang hanya ketika sesuatu pecah, dan media mulai meniduri Google dan mitranya. Sebagai contoh, Stagefright yang telah disebutkan memaksa FCC dan FTC untuk bergabung untuk "lebih memahami dan, sebagai hasilnya, meningkatkan keamanan perangkat seluler," tetapi hasil penelitian ini belum dipublikasikan.

Saya bisa memprediksi kesimpulan apa yang akan mereka sampaikan dalam laporan mereka. Tidak ada insentif bagi OEM untuk berinvestasi dalam mendukung patch keamanan perangkat setelah diluncurkan. Pelepasan pembaruan membutuhkan waktu dan uang, dan arah ini tidak memengaruhi pengambilan keputusan konsumen. Sebagian besar OEM tidak ingin menghabiskan uang ekstra untuk meningkatkan keamanan, selama konsumen tidak mau membayar untuk mereka.

Siapa yang bisa memperbaikinya?

Seluruh rantai pasokan yang harus disalahkan, tetapi dalam waktu dekat kita seharusnya tidak mengharapkan peningkatan. Beberapa pemikiran tentang apa yang mungkin dilakukan pemain berbeda untuk meningkatkan keamanan ponsel android.

Google : memelihara daftar OEM yang baik dan buruk tentang cara mereka menjaga keamanan dan merilis pembaruan, dan dikabarkan akan mempermalukan produsen terburuk di depan umum - tetapi dengan melakukan itu akan merusak hubungan dengan mitra. Jika Google benar-benar ingin meningkatkan keamanan, Google mungkin menemukan cara untuk memberi tahu konsumen mana OEM, produsen komponen, dan mitra lainnya yang tidak pandai melindungi data pengguna. Misalnya, apakah Anda merasa aman saat membeli produk BLU atau perangkat dengan chip dari Mediatek? Google dapat mengubah spesifikasi berikutnya dengan cara iniDokumen Definisi Kompatibilitas Android , untuk meminta pengiriman perangkat dengan patch keamanan pada tingkat yang sesuai, dan untuk memelihara perangkat ini untuk beberapa waktu.

OEM : Ketika saya bekerja untuk Huawei, saya mencoba untuk memperhatikan masalah keamanan dengan bekerja dengan tim Honor internasional pada program Kebijakan Pembaruan Perangkat Lunak 24 bulan . Yang mengejutkan saya, tim pemasaran tidak ingin menyebutkan ini selama peluncuran produk, tetapi saya bangga bahwa pada saat itu kami menjadi satu-satunya OEM yang memiliki aturan yang sama. Mereka tidak sempurna, tetapi lebih baik daripada tidak sama sekali. Hanya jaminan Googlemerilis pembaruan terkait keamanan 3 tahun setelah peluncuran perangkat Pixel dan Nexus. Saya ingin lebih banyak OEM untuk mengambil inisiatif ini dan mengembangkan aturan pembaruan perangkat lunak mereka sendiri.

Pengecer : Amazon melakukan hal yang benar dengan menangguhkan BLU R1 HD, tetapi mengikuti logika ini, mereka perlu memblokir perangkat penjualan lainnya dengan masalah keamanan yang diketahui. Saat memilih perangkat di toko Amazon, mudah bagi konsumen untuk mengetahui jaringan mana yang akan didukungnya, tetapi tidak ada informasi tentang tingkat keamanan yang disediakannya.

Browser Teknologi: Terus melaporkan perilaku OEM Android yang buruk. Pusatkan perhatian dalam ulasan tentang bagaimana perangkat lunak didukung dan riwayat pembaruannya. Mendidik audiens Anda sehingga orang dapat membuat keputusan pembelian yang terinformasi.

Konsumen : Saya akan mendorong Anda untuk memilih dengan dompet Anda dan membeli perangkat dari perusahaan yang menganggap serius keamanan Anda - tetapi pilihan mereka terlalu terbatas. Selain ponsel Nexus sebelumnya dan Pixel saat ini, tidak ada banyak pilihan yang tersedia untuk orang-orang yang menghargai privasi dan keamanan mereka.

Tidak ada yang peduli dengan keamanan ponsel Android yang tidak terkunci

Bagaimana ini bisa terjadi?

Bisakah ini dihindari lagi?

Siapa yang bisa memperbaikinya?

More articles: