Geekly articles weekly

没有人关心解锁的Android手机的安全性



不可能是亚马逊参与了旗舰产品的发布,而旗舰产品具有后门,并且会秘密将您的所有个人信息发送到中国一个难以理解的服务器。当然,他们的开发人员或生产合作伙伴在例行安全审核期间可能会发现此行为。只是不可能发生,对吧?

没有人关心在美国(和许多其他地区)出售的,与提供商无关的未锁定Android手机的安全性。生产和供应Android手机的OEM对此并不抱有遗憾。 Android平台的提供者Google对此不予理;。像亚马逊和百思买这样的零售商,它们每年售出数百万部Android手机,但都不要该死。最糟糕的是,普通用户不会对计算机安全性一窍不通,直到发生一些不好的事情,这就是一切继续进行的原因。

Android设备一直都是这种情况,但是Google在2015年夏天开始更加认真地对待这种情况,当时媒体上广泛报道Stagefright错误。安全专家表示,按照安全标准,谷歌设备Nexus和Pixel接近于iOS,但是总体而言,当大多数消费者购买带有谷歌不支持的软件的智能手机时,情况更加恶化。

一位安全专家由于“好奇心和幸运的巧合相结合”而发现了一个隐藏的后门之后,我们不得不召回亚马逊,当亚马逊不得不召回他们最畅销的手机BLU R1 HD时我们就想到了这个严重的问题。这些设备以及其他一些BLU模型每24-72小时收集一次个人信息并将其传输到中国的服务器。此行为对于用户而言并不明显。数据包括设备的确切位置,短信,联系人列表,呼叫日志,已安装的应用程序等。

BLU主任告诉《纽约时报》,“显然我们对此一无所知”,并承认了一个错误。而且,尽管如此快将其修复是一件好事,但令人担忧的是,自2016年7月这款手机推出以来,BLU和亚马逊都没有独自抓住它。

怎么会这样


老实说,我简直无法想象这样的门框如何进入市场并且这么久没有被人注意到,所以我做了一些研究。我曾为Android OEM工作,我对Google移动服务的所有软件版本都必须通过兼容性测试套件(CTS)测试表示普遍的理解。与计算机安全专家的简短对话让我看到了严重的安全问题是如何继续发生的:

Google维护了一个黑名单,该黑名单列出了Android手机无法提供的不良软件。令我惊讶的是,Google和BLU 早在2015年(即BLU R1 HD发行的前一年)就意识到与联发科技芯片中ADUPS应用程序相关的漏洞之一Red Naga安全团队在2015年3月1日发现此漏洞,并进行了数次尝试消除此漏洞,但面临着“ BLU没有安全部门,因此无济于事 ”的事实

在Mediatek保持沉默并缺乏BLU帮助之后,Google终于接受了CTS中的补丁程序以检查ADUPS系统套接字。这应该已经解决了问题,但是在此之后,Mediatek只是简单地更改了套接字的名称,以欺骗CTS检查。

简而言之,来自Google的CTS不会检测到它不知道的漏洞。而且联发科技是惯犯,经常绕过CTS测试,安全行业的一些专家称其为最糟糕的芯片组制造商。

尽管联发科技在安全方面的声誉很差,但它仍然赢得了开发竞赛,因为它为OEM合作伙伴选择平台提供了所有辛苦的工作。如果您想快速廉价地在Android上启动设备,那么联发科通常是负担得起的解决方案。

可以再次避免吗?


我们都需要担心隐藏的后门,但是一个更为严重的问题是已知的漏洞,无法在大多数Android设备中修复。 Google试图通过关注解决此问题。该公司每月发布安全评论,Android安全公告,并迫使OEM在设备设置中显示Android安全补丁程序级别。

FTC于2013年强制HTC修复已知漏洞之后,OEM和无线运营商采取了一些措施,并且商店中出售的大多数旗舰设备都会定期收到更新。但是,并非所有设备都能收到它们,因此不能保证将长期支持这些设备。

进步只有在出现问题时才会出现,并且媒体开始对Google及其合作伙伴产生影响。例如,已经提到的Stagefright 迫使FCC和FTC联合起来 “更好地理解并因此改善了移动设备的安全性”,但是这项研究的结果尚未公布。

我可以预测他们将在报告中得出什么结论。原始设备制造商推出后,没有动机去投资支持设备的安全补丁。发布更新需要时间和金钱,并且该方向不会影响消费者的决策。只要消费者不愿为它们付费,大多数OEM都不想花费额外的钱来提高安全性。

谁可以解决这个问题?


整个供应链都应该受到指责,但在不久的将来,我们不应指望有所改善。关于不同玩家可能会采取哪些措施来提高android手机的安全性的一些想法。

Google:维护好坏OEM的清单,说明他们如何维护安全性和发布更新,并且有传言公开羞辱最糟糕的制造商 -但这会破坏与合作伙伴的关系。如果Google确实想要提高安全性,它可能会找到一种方法来告诉消费者哪些OEM,组件制造商和其他合作伙伴不擅长保护用户数据。例如,从联发科技购买BLU产品或带有芯片的设备时,您是否感到安全? Google可能会以此方式更改其下一个规范Android兼容性定义文档,以要求交付具有适当级别的安全补丁的设备,并在相当长的时间内维护这些设备。

OEM:在为华为工作时,我试图与国际荣誉团队合作进行为期24个月的软件更新政策计划,以关注安全问题。令我惊讶的是,营销团队不想在产品发布时提及这一点,但令我感到骄傲的是,那时我们成为了唯一拥有类似规则的OEM。它们不是完美的,但总比没有好。只有Google 保证在Pixel和Nexus设备推出3年后发布与安全相关的更新。我希望更多的OEM能够采取这一举措并制定自己的软件更新规则。

零售商:亚马逊通过暂停BLU R1 HD来做正确的事情,但是按照这种逻辑,他们需要阻止其他存在已知安全问题的销售设备。在Amazon商店中选择设备时,消费者很容易找出它将支持的网络,但是没有关于其提供的安全级别的信息。

技术浏览器:继续报告不良的Android OEM行为。在评论中集中注意软件的支持方式及其更新历史。教育您的听众,使人们可以做出明智的购买决定。

消费者:我敦促您用钱包投票,并从重视安全性的公司购买设备-但是他们的选择太有限了。除了以前的Nexus手机和当前的Pixel手机,对于重视隐私和安全性的人们来说,没有太多选择。

Source: https://habr.com/ru/post/zh-CN399367/

More articles:


All Articles