16 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Производители смартфонов на Android лгут о выходе патчей и создают лишь видимость защиты

Производители смартфонов на Android лгут о выходе патчей и создают лишь видимость защиты

При выборе устройства, немаловажную роль играет репутация производителя: период поддержки устройств, даже не совсем новых, является не последним критерием, и признаком хорошего тона. При этом производитель устраняет уязвимости, и возможно повышает производительность устройства, что делает его в глазах пользователя не только надежным, но иногда и единственным приемлемым выбором (как в случае всеми известной компании).

Однако, многие из вас слышали о ситуации, когда устройство под управлением android перестало обновляться, а это значит, что оно стало более уязвимо для атак хакеров, но не спешите отчаиваться – замена устаревшего устройства на другое – не всегда единственный выход.

К тому же, даже если ваше устройство показывает последние обновления патчей безопасности, это не всегда означает, что так и есть, что было подтверждено в исследовании https://xakep.ru/2018/04/16/android-patches/

Так или иначе, сами пользователи иногда модифицируют прошивку своих устройств, чтобы получить последние обновления безопасности https://forum.xda-deve…-updates-twrp-t3523026
Им в этом помогают энтузиасты, создающие и обновляющие кастом прошивки для их девайсов, которые не сложно установить, следуя инструкции (при наличии компьютера и навыков конечно)

И в третьих, в новейшей Q OS от Google сделали автоматическое обновление патчей безопасности android 10 прямо через play market.
https://www.xda-develo…security-update-issue/
Может быть кто то имеет устройство в котором это реализовано и он сможет поделиться своим опытом.

Было бы не плохо, создать инструкцию, или даже универсальный автоматизированный скрипт, для интеграции обновлений android security path level через magisk или twrp.
Поэтому кто хочет, может участвовать.

Сообщение отредактировал konstantinqq – 08.02.20, 22:21

(Зарезервировано на всякий случай)
Тема про ручное или полу автоматическое обновление системы безопасности андроид, то есть в конечном итоге должны появиться гайды и инструкции как обновить, а так де конечно отзывы, тех кто обновил и у кого может быть, не получилось.

Сообщение отредактировал konstantinqq – 08.02.20, 22:06

кто знает как на миюи обновить патч безопасности андроид?

Вроде бы где то писали что обновы безопасности на 10 андроиде будут сами приходит через маркет, а на деле в миюи как я понял это не реализовано, так вот, как обновить android security path level?

Если уж вопрос был удален, то что и о создании темы говорить?
Но есть и плюс – можно свободно обсуждать, если это касается темы.

Поэтому начну – был у меня mi 9 с миюи и 10 андроидом, но обновлениями безопасности занимался там не плей маркет, а сяоми, из за чего рассчитывать на своевременные обновления патчей безопасности не приходилось)

Вообще, как вы считаете, стоит ли беспокоиться что безопасность андроида давно не обновлялась?

Сообщение отредактировал konstantinqq – 08.02.20, 20:30

Ага, гугл сам там патчит, и Ромы кастомные на дату сборки обычно гугловские патчи содержат, а вендор и кернел должны сами производители или маинтайнеры обновлять

Так что вообще не вижу проблемы, если у кого-то какой-то кастом не обновлялся давно, то есть интсоукция по сборке gsi образов для любой прошивки в теме одноимённой на форуме

Инструкция есть в теме Разработка GSI
На базе скрипта от phhusson

А вот откуда можно скачать патчи, но как интегрировать, все ещё не нашел инструкцию. Особенно чтобы без потери данных например через тврп или магиск.

Всплывают нюансы, и как во всем этом разобраться?

Таким образом вижу примерно такое развитие событий, может быть кто то напишет инструкцию, или ее придется писать кому то другому:
Ну для начала, нужно узнать о совместимости патчей безопасности с установленным андроидом, как я понял, описанное в той теме относится к GSI системам.
Вот.
После того как стало известно о совместимости патча, как я понял, нужно пересобрать из исходников, и поэтому нужно знать где их взять, как создать патч, чтобы без сброса данных, ну и тому подобное.

Сообщение отредактировал konstantinqq – 08.02.20, 21:49

Если честно, понятия не имею)
Может быть по шаблону, подобно тому, как их делает сам производитель.
Ну то есть анализируется вендор, систем, и данные которые касаются патча безопасности.
При этом, существует пользовательская база, где пользователи условно выбирают алгоритм патча – ну к примеру для патча родного миюи или для патча ми еу кастома, и далее скрипт скачивает из репозитория нужные файлы, собирает прошивку, и вот она, только прошей через тврп.
Все.

Ps голосование такое потому что если 2018 и старше – значит производители перестали поддерживать телефон.

Сообщение отредактировал konstantinqq – 08.02.20, 22:35

fsct2k,
Про уязвимости можно больше официальной инфы найти, например пример того, как стоковое устройство без модификаций оказывается под полным контролем хакера, который получает полные системные права.
И это лишь об известных уязвимостях. Но ведь каждый год находят новые критические уязвимости. Складывается ощущение, что их там специально оставляют. И кто вовремя вышедшую заплатку не поставит, сталкивается с повышенным риском взлома.

А вот про уязвимости обхода magisk что можно найти? Рут то магиск менеджер выдаёт, причем можно запретить всем новым запросам поручение рут прав, и для приложения это будет означать почти полное их отсутствие. Ну может оно узнать допустим что телефон рутован, но без выданных прав что оно может? Хотите сказать что магиск куплен и в него встроен бекдор? Это уже похоже на правду.

Другое дело что андроид сама по себе уязвимая система – дай любой программе доступ к файлам, и вот уже можно все не системные файлы передавать кому угодно на оригинальном устройстве, без рутов и прочего.

Про разблокированный загрузчик тоже могу не много сказать – о том что нет способов на 4пда (я не встречал для новых устройств) без Рута модифицировать системные разделы, т. Е. Чтобы разблокированный загрузчик стал подспорьем ко взлому телефона, надо иметь бекдор позволяющий получить полные права на просмотр и изменение. А бекдоры как раз и устраняются патчами безопасности.
Сам по себе разблокированный загрузчик лишь снимает один слой защиты от изменения системных файлов, а именно проверку при загрузке. И то не всегда (ARB например или кирпич по схожим причинам на redmi note 8 pro даже разработчики кастом ромов бессильны обойти без авторизованного производителем edl аккаунта, хотя казалось бы, китайский телефон на МТК).

После размышлений могу и про TWRP оставить комментарий:
Чтобы сделать его применение безопасным, надо от него отделаться – то есть после установки всего необходимого, зашифровать раздел с данными сложным паролем, и удалить или запоролить TWRP, чтобы если кто найдет потерянный телефон не смог стянуть с него данные.

Судя по тому, что подобной темы на 4пда не было, и по текущей популярности этой темы – безопасность удел тех, кому есть что терять. Остальных же, похоже это мало волнует, на уровне “купи айфон” или используй антивирус на флагмане известной фирмы. Справедливо некоторые говорят “кому вы нужны со своими котиками”.

Сообщение отредактировал konstantinqq – 20.02.20, 14:42

Redmi 4X

Жор батарей, перегревы пропали? После обновки G.Play.App и его сервисов? +Upd.: 26/10/19.☝️

Примечание: (Тема будет обновлятся,

««Для всех !»»


Не вините, XIAOMI и свои, новые прошивки 9.5.*.* …

Это, просто совпало по времени, и началось за дней 4-5, до этого!
После, нововведений Google:


Сегодня, втихаря и под шумок, других обнов, ≈ после 4:00 Мск, должен был обновиться G.Play, со всеми своими сервисами, до:

Версий Play Маркета, 10.6.30-all [0] [PR] 201585272., в которых, должен быть откат ошибок…

Проверяйте, пропали-ли перегревы,
жор ресурсов/трафика ии батарей..
На частичных прошивках OTA?

Или, дайте обновится Гугло-сервисам, если отключены его/их обновки .

Я обновлял, по полной версии, точно за них, частичных, не скажу..

Есть, инфа с одного закрытого, чата, что его/их правили, и кому-то, ТАМ неслабо, прилетело..

Инфа непроверенная, «пока», нужно смотреть, мониторить.
Но, как рабочая версия, про наши проблемы – «прокатит».

Прежде чем голосовать, ОБЯЗАТЕЛЕН,☝️ мониторинг:

  • t°C,
  • трафика,
  • загрузки ядра,
  • системы Андроида.

Не торопитесь, в общем.

((На полной прошивке, стало прохладнее)
40÷42 °С, что норма).
+ Это, на ЗАРЯДКЕ, +с 10-ком, запущенных немаленьких прог,.
+ Одной игрухе, копошащейся в фоне и т.д.)

А, вообще, это больше на промышленный шпионаж и массовые диверсии похоже?
(Конкурентная война? На фоне, выхода XIAOMI, на американский рынок?)

ПОДРОБНЕЕ, про конфликт ресурсов;XIAOMI vs Google, 0:1, можно посмотреть, к пр. тут:
http://andro-news.com/news/xiaomi-rekomenduet-udalit-servisy-google-chtoby-ispravit-oshibki.html

Upd.: 4-5/07/18
Прошивки/перепрошивки – НЕ помогают!
Всего 1.5 суток в холодке и посидели, температура выскакивает под 44÷47 °С.

Единственная рекомендация, пока:
ВООБЩЕ не запускать игр, и «тяжёлой» графики.
Хотя-бы до появления баг-фиксов.

Ну, — или «СНОС» Гугло-сервисов…
В первую очередь, этих:

Upd.: 11/07/18, 20:30
Обновился:

Google Play services for Instant Apps
До, Версия: 3.06-release-203970201
+ Ещё один из к.т мелких, быстро проскочил, не углядел.
+ Целиком G.Play.игры:
До: Версия 5.10.6084 (203152957.203152957-000406) (bag-fix)

Перезагружаемся (обязательно).И проверяем расходы ресурсов, батарей..

– – – – – – – – – – – – – – – – – – – – – – – – – – – –

Читать еще:  Dead Pixel Detect and Fix — ремонт пикселей

Upd.: 16/07/18, 12:00.
Обновления: от тут:


https://xakep.ru/

Разработчики
Google,
исправили
ДЕСЯТКИ .
уязвимостей
Android !

На неделе, разработчики Google выпустили|ют..(ССЫЛЬ..), летний набор, Update-Pak’ов , Android, который устранил 11 критических уязвимостей и десятки более мелких проблем. В патч, уровня 2018-07, вошли, сразу 3 критических бага, позволяющих удаленно выполнить произвольный код и включительно, затрагивая, фреймворк, медиа-фреймворк, а также системные компоненты . Другие проблемы, допускали утечку информации, эскалацию привилегий и провоцировали отказ в обслуживании (DoS).

Уязвимости представали опасность для Android:
6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 и 8.1.

Удаленный атакующий имел возможность использовать специально подготовленный файл и с его помощью выполнить на уязвимом устройстве произвольный код, в контексте админ-процессов.
Патч, на 2018-07-10, включает в себя 32 . уязвимости, 8 имеют статус критических и еще 24 рассматриваются как высокоопасные.

Эти проблемы касались ядра, обычных компонент Qualcomm ( А ВОТ, И НАШИ ПЕРЕГРЕВЫ!), + компонент, с закрытым исходным кодом (в том числе стек IPV6, futex, драйвер USB, WLAN, nsfs, OpenGL драйвер ES driver (+ ещё ПЕРЕГРЕВ!),
и ADSPRPC).

Так, в «закрытых» компонентах Qualcomm, исправлено 22 бага !!!, 7 из которых являлись критическими, тогда как в «обычных» компонентах устранили только один критический баг, но позволявший осуществить удаленное выполнение произвольного кода.
В ядре суммарно было обнаружено и закрыто 4 уязвимости, все они были чреваты эскалацией привилегий.

Также, в этом месяце, сообщается, вышли исправление, устраняющее проблемы, подключений к Wi-Fi, через некоторые модели роутеров .

Прим.: К сожалению, неизвестно, какие из обнов БУДУТ вклеены, в MIUI..
Компартия)), как известно, не всё, одобрямс..

– – – – – – – – – – – – – – – – – – – – – – – – – – – –

Upd.: 17/07/18, 22:00.

Фиксы:

SnoopSnitch анализирует прошивку с/ф, на установленные/отсутствующие обновления Android.

На совместимых телефонах, также может собирать и анализировать данные мобильной радиосвязи.

Чтобы вы знали о вашей сетевой, мобильной безопасности и предупреждает вас об угрозах, таких как, поддельные базовых станции (IMSI ловителей), отслеживания пользователей и атаки.

Сетевая безопасность и мониторинг атак.

Темы:

Производители смартфонов на Android лгут о выходе патчей и создают лишь видимость защиты.

https://xakep.ru/2018/04/16/android-patches/
Ообъясняют, что зачастую «тупиком» на пути обновлений становятся производители чипсетов, а не изготовители смартфонов.
К примеру, компания Mediatek зачастую «забывает» о 9-10 патчах, выход которых происходит значительно позже заявленных дат.

В целом аналитики Security Research Labs пришли к следующим выводам, относительно крупных производителей:
0-1 пропущенных патчей: Google, Sony, Samsung, Wiko Mobile;
1-3 пропущенных патчей: Xiaomi , OnePlus, Nokia;
3-4 пропущенных пата: HTC, Huawei, LG, Motorola;
4 и более пропущенных патчей: TCL, ZTE.

Многие производители телефонов Android лгали пользователям об установке обновлений безопасности .
2018-04-13 16:39:26
https://c.mi.com/thread-923212-1-1.html

Как производители Android-смартфонов обманывают своих клиентов .
2018-04-13 22:16:31 (от ОК)
https://c.mi.com/thread-923999-1-1.html

По теме, добавленной, SnoopSnitch.
А то, в личку пишут некоторые..

Оно, практически ничего не может, без рута.

А их прошивка (fix/update паков), зависит от производителя, в нашем случае XIAOMI.
Оно ведь, всё в ядро, зашивается.
Если, кто знает подобные, с зашивками и попроще, и желательно без рут-доступа, милости просим в коменты.
Добавлю, эти вкусности в тему. ✌️ =_=

—————————————————– Upd: 02/08/2019

НО, первым делом испытайте это:

Если, долго и сильно греется, после обновления!
И дня за 3, после прошивки НЕ “успокаивается”.

Разрядить – в ноль.
И зарядить до 100% ВЫКЛЮЧЕННЫМ .
Этот совет мне когда-то помог.

Всего голосов: 61

Перезагрузка CPU, трафика, «жор» пропали ! ☺️✌️

Нет.. тормозит, греет, ХОТЬ ТОЧНО? обновили..

Почему ежемесячные обновления безопасности Android — это фарс

Привет. Меня зовут Иван, и я апдейт-диссидент. После этого должны были послышаться вялые хлопки, но их нет. Скорее всего потому, что многим не понятно слово, которым я себя обозвал. Если вы из их числа, не пытайтесь искать определение этого термина в интернете, потому что его там нет. Я сам придумал так себя называть в тот момент, когда понял, что обновления — это один из самых больших разводов в истории человечества наряду со шведским столом и брошенной наспех бывшему однокласснику, встретившемуся на улице, фразой “созвонимся”.

Обновлений не существует. Вот доказательства

Я уже как-то высказывал своё мнение относительно новых версий Android. Тогда я доходчиво объяснил, что особенного смысла в том, чтобы гоняться за свежими обновлениями операционной системы нет по нескольким причинам. Во-первых, они могут попросту испортить то, что и так исправно работало, суля больше проблем, чем пользы. Во-вторых, пожалуй, все нововведения апдейтов можно получить из стороннего софта, с которого Google и другие компании вроде Apple нагло списывают новые функции для своих ОС. С тех пор моя позиция не изменилась, а лишь усугубилась, ведь есть ещё обновления безопасности.

Зачем нужны обновления

Обновления безопасности — это потрясающе удобная для Google штука. Мало того, что компания может каждый месяц отчитываться о проделанной работе по поддержанию актуальности миллионов Android-смартфонов, по сути, не реализовав никаких нововведений, так ещё сами апдейты, о которых идёт речь, имеют довольно сомнительную природу и содержание. Во всяком случае, у меня они вызывают ощущение какой-то подделки.

Каждый месяц Google выпускает обновления безопасности и объявляет, что исправила n-ное количество уязвимостей. Обычно это некруглое, но довольно существенное число. Чаще всего в пределах от 20 до 30. Классно, подумают многие. Google заботится о своих пользователях и неустанно корпеет над Android, устраняя накопившиеся баги и бреши в системе безопасности. Но, постойте-ка. У вас никогда не возникало вопроса, откуда каждый месяц в Android, который получает новую версию раз в год, берётся такое количество уязвимостей?

Обновления-пустышки

Это может прозвучать надуманно и даже глупо, но меня не покидает мысль о том, что большая часть обновлений безопасности, которые выпускает Google, — это пустышки. В конце концов, нет ничего сложного в том, чтобы выпустить апдейт, который просто меняет билд операционной системы, но при этом не содержит в себе ровным счётом никаких изменений. Некоторые производители так и делали, пока всё это не стало достоянием общественности.

Читайте также: Google выпустила полезное обновление Google Play. Что изменилось

Возможно, уязвимости содержатся в самих обновлениях безопасности? Дескать, одно лечим, другое калечим. Но какой тогда вообще в них смысл, если каждый новый апдейт исправляет 20-30 багов, а на их место приносит ещё 20 или 30. Не проще ли в таком случае вообще откатить билд операционной системы к исходному и больше его не обновлять, чтобы не делать в ней новые дыры, подвергающие пользователей опасности? Другого объяснения тому, откуда в Android появляются новые уязвимости, я не нахожу.

Android небезопасен

Наверное, возможен и другой вариант. Допустим, что в Android действительно есть все эти уязвимости, однако их так много, что каждый месяц разработчики Google исправляют по 20-30 брешей и не могут остановиться, потому что им нет конца и края. Но тогда у меня для вас плохие новости, друзья. Если Android буквально изрешечена уязвимостями и багами, нам с вами не сдобровать. Ведь в таком случае любой хакер сможет копнуть чуть глубже, найти брешь и, воспользовавшись ей, взломать наши смартфоны. А если это так, то Google уже проиграла.

Ох уж этот многострадальный Google Pixel 4a! Вроде и аппарат должен быть неплохой, и время для выхода выбрано максимально правильно, но что-то всегда не ладится. Сразу вспоминается зарядка AirPower, о которой весь Интернет гудел больше года и которая в итоге так и не вышла. Мне новый бюджетный Google Pixel интересен, но судя по последней информации, его придется еще немного подождать. Изначально он должен был появится на конференции Google I/O, после ее отмены заговорили про более ранний срок, потом про май, потом про июнь, теперь называются новые сроки. Но сколько же в итоге его можно ждать и появится ли он вообще? Ведь откладывать бесконечно нельзя, есть еще один фактор, который торопит команду создателей.

Несмотря на то что есть обширная категория пользователей, которые считают Android самой функциональной мобильной ОС, если разобраться, то становится ясно, что без вспомогательного ПО и сервисов – это просто сосуд, требующий наполнения. Google понимает это как никто другой и даже сделала данную особенность своей платформы её фишкой. Во-первых, так удобнее обновлять совместимые устройства, а, во-вторых, так можно зарабатывать, продавая доступ к своим службам производителям за деньги. Ну, а почему бы и нет, если сервисы и правда крутые?

Думаю, многие из наших читателей помнят середину нулевых годов, когда телефоны ещё не были такими умными, как сегодня, но при этом могли похвастать по-настоящему выдающейся внешностью. Не сказать, что дизайн, который выбирали производители, всегда был удачным, но, так или иначе, выглядели аппараты тех лет определённо интереснее нынешних. Однако, если подумать, то становится ясно, что сыграть на дизайне устройства, у которого всю фронтальную панель занимает экран, а половину задней – объектив камеры, довольно сложно. Но для Samsung нет ничего невозможного.

Читать еще:  Куда указывает стрелка компаса: особенности и интересные факты

Нам врут про патчи безопасности Android?

Компания Google ежемесячно выпускает патчи безопасности для Android устройств. Самыми первыми их получают телефоны серии Pixel и Nexus, а затем уже сторонние OEM-производители получают доступ к скачиванию последней версии патча безопасности с актуальными исправлениями. Но похоже, что некоторые компании грешат тем, что устанавливают на свои устройства не все обновления.

Компания Google пытается заставить десятки производителей смартфонов Android, регулярно выпускать обновления программного обеспечения, ориентированные на безопасность.

Производители не следят за безопасностью?

Согласно последнему отчету, который опубликовала издательство Wired, большая часть Android телефонов не получает актуальные обновления безопасности.

Эту тревожную новость обнаружила немецкая Лаборатория безопасности (Security Research Labs). Штаб квартира компании находится в Берлине. Ее основная задача – обеспечить развитие безопасности в сфере мобильной связи, фокусируясь на современных технологиях, которые могут подвергнуть многих людей риску.

Нам лгут об исправлениях безопасности?

Результатами своей двухлетней работы Лаборатория «Security Research Labs» поделилась на конференции по безопасности Hack in the Box в Амстердаме. Также, кроме анализа кода операционной системы Android, компания тщательно проверяла действительно ли телефоны содержат последние исправления безопасности, указанные в настройках.

Как оказалось, больше половины OEM-производителей сообщали пользователям, что у них установлены последние патчи безопасности, в то время как устройство до сих оставалось по факту уязвимым. Многие компании пропускали десятки обновлений для своих устройств, оставляя телефоны уязвимыми для широкого набора известных методов взлома.

Просто меняют цифру в названии патча

Компания SRL проверила официальные прошивки 1200 телефонов от более чем 10 производителей на наличие исправлений, из каждого патча безопасности Android, выпущенного в 2017 года.

Проверялись устройства, сделанные не только самой компанией Google, но и основными производителями телефонов Android, такими как Samsung, Motorola и HTC, а также известными китайскими компаниями, такими как ZTE, Xiaomi, Oneplus, Huawei и TCL

Тестирование показало, что производители чаще всего грешат сменой даты, вместо установки реального патча. Они сообщают пользователям, что устанавливают исправления, но на самом деле не делают этого, создавая ложное чувство безопасности.

Крупные компании, могут случайно пропустить какой патч исправлений, который не является критическим. Другие производители почему-то преднамеренно обманывают своих пользователей.

Учитывая такую ​​скрытую несогласованность, обычному пользователю практически невозможно узнать, какие исправления установлены на его телефоне.

Сколько патчей пропускает каждый производитель?

После усреднения результатов каждого телефона, проверенного в лабораториях SRL, были подведены итоги, где производителей разделили на четыре категории. Разделение на группы основывается на том, насколько точно указанные производителями исправления соответствуют реальности в 2017 году, причем основное внимание уделяется только телефонам, получившим по меньшей мере один патч в октябре 2017 или новее.

Используя смартфон с закончившейся поддержкой, вы серьёзно рискуете своей конфиденциальностью

Некоторые считают фрагментацию Android одним из конкурентных преимуществ мобильной операционной системы Google. Но она может стать серьёзной проблемой для миллионов пользователей Android-устройств, когда речь идёт о распространении ежемесячного обновления безопасности. Это связано с тем, что далеко не каждый производитель своевременно выпускает обновления безопасности для своих смартфонов. И это ещё один весомый довод для поклонников Android в пользу покупки Pixel-смартфона.

Многие Android-смартфоны, в том числе недавно поступившая в продажу 5G-версия Samsung Galaxy Note 10+, до сих пор не получили декабрьское обновление безопасности. Samsung утверждает, что делает всё возможное, чтобы как можно скорее выпустить обновления безопасности для всех своих смартфонов, но признаёт, что сроки выхода апдейтов могут варьироваться в зависимости от регионов и конкретных моделей. При этом есть достаточно много смартфонов, которые не получают соответствующие обновления месяцами.

Большинство пользователей Android считают ежемесячные обновления безопасности бесполезными, поскольку те не приносят никаких изменений и не добавляют новых функций. Но ведь они для этого и не предназначены. Так, декабрьское обновление безопасности устраняет уязвимость, известную как CVE-2019-2232, которая может привести к блокировке смартфона под управлением Android 8, 8.1, 9 или 10. Поэтому, если для вашего смартфона доступен этот апдейт, то настоятельно рекомендуем установить его, защитив тем самым себя от возможной хакерской атаки. Но дело в том, что на данный момент декабрьский патч получил ограниченный круг устройств.

Фрагментация Android объясняется тем, что в отличие от Apple, которая разрабатывает как аппаратное, так и программное обеспечение, смартфоны на платформе Android выпускают множество производителей.

Распространение декабрьского обновления стартовало 2 декабря. И интернет-гигант Google говорит, что для того, чтобы доставить апдейт каждому смартфону Pixel, требуется около полутора недель. Проверить, какое последнее обновление безопасности вы получили, можно в настройках. Для этого зайдите в Настройки — О телефоне — Версия Android.

StandHogg — это опасная уязвимость, которая ставит под угрозу 500 лучших Android-приложений

CVE-2019-2232 — не единственная уязвимость, обнаруженная в Android в последнее время. Так, в ноябре СМИ сообщили о проблеме с приложением Google Камера, которая позволяет злоумышленникам удалённо снимать фото и видео на камеру смартфона ничего не подозревающего пользователя. Эта уязвимость затронула сотни миллионов владельцев Android-устройств по всему миру. Также недавно стало известно, что используя ещё одну брешь в системе безопасности Android, хакеры могут подделывать идентификатор вызывающего абонента и таким образом обманывать пользователей, выведывая у них различную конфиденциальную информацию, например, PIN-коды банковских счетов.

А в начале декабря разработчик программного обеспечения Promon объявил об обнаружении ещё одной уязвимости под названием StandHogg. Вредоносное ПО, маскируясь под популярные Android-приложения, позволяло злоумышленникам прослушивать пользователей через микрофон смартфона, управлять камерой, читать и отправлять сообщения, осуществлять телефонные звонки, определять местоположение жертвы с помощью GPS, просматривать фотографии, файлы и контакты, хранящиеся на смартфоне. Пользователь Android просто мог, как обычно, щелкнуть на значок знакомого приложения, и вредоносное ПО отправило бы запрос на разрешение определённых действий. Нажимая на кнопку «Разрешить», ничего не подозревающий пользователь даёт хакеру зелёный свет. Уязвимость позволяет осуществить фишинг-атаку и получить доступ к важным личным данным.

Недавно интернет-гигант Google объявил, что объединяется с несколькими фирмами, включая вышеупомянутую Lookout, чтобы вместе противостоять вредоносному ПО. Обычно фирмы, занимающиеся исследованиями в области безопасности, сообщают Google о найденных в Android уязвимостях, и компания закрывает их в обновлениях. Однако в отношении StrandHogg, как отмечается, в Google сначала не воспринимали всё всерьёз, и хотя в конечном счёте корпорация удалила приложения, распространяющие вредоносное программное обеспечение, саму уязвимость она так и не исправила. А многие заражённые программы до сих пор установлены на смартфонах пользователей. Одно из них под названием CamScanner было скачано более 100 миллионов раз.

Защита Андроид от нежелательного ПО: эти советы действительно помогут

Каждые несколько месяцев появляются те или иные уязвимости системы безопасности ОС Android, которые могут затрагивать сотни миллионов Android-смартфонов. За последние годы самыми известными примерами такой уязвимости стали Quadrooter и Stagefright. Отметим, что оба они имели существенное различие между собой.

Возникает вполне закономерный вопрос: насколько безопасна ОС Android в повседневной жизни, что может реально помочь от различных опасностей из интернета?

Quadrooter использовал ряд брешей в системе безопасности драйверов от Qualcomm, и эта новость вызвала большой переполох летом прошлого года. 900 миллионов Android-устройств оказались под угрозой. «Опасность! Опасность!» — по крайней мере, именно так это было охарактеризовано теми людьми, кто обнаружил вышеуказанные пробелы. Однако для того, чтобы воспользоваться преимуществами уязвимости Quadrooter, злоумышленник должен быть в состоянии установить и запустить соответствующее приложение на смартфоне.

Уязвимость под названием Stagefright представляла собой совсем иное. Она была сокрыта в функциях обработки медиафайлов и интернет-потоков. Суть проблемы: мог быть использован даже видеофайл, отправленный как MMS. Злоумышленник мог отправить файл пользователю, после чего на смартфоне этого пользователя мог быть активирован вредоносный код. Начиная с версии Android 4.0, Stagefright стало труднее использовать из-за предпринятых системных мер, но, в целом, нельзя сказать, что такая проблема полностью решена.

Отметим, что разница между двумя вышеназванными пробелами в безопасности очевидна: Quadrooter подразумевает выполнение нескольких действий со стороны пользователя, а Stagefright может быть использован удалённо и без контакта с пользователем.

ОС Android располагает несколькими способами обеспечения безопасности для пользователей. Ниже мы расскажем о трёх самых важных мерах безопасности.

Запрет установки неизвестных приложений

В настройках Android есть параметр, отвечающий за разрешение или запрет установки приложений неизвестного происхождения. Такая опция отключена на устройствах в активном состоянии, поэтому вы можете устанавливать приложения только из Play Store. Некоторые производители имеют собственные предустановленные магазины приложений, например, Samsung и его Galaxy Apps. Для подобных приложений ограничения в вышеуказанной опции не применяются.

Также скажем, что такая опция защищает ваш девайс от вредоносных программ, распространяемых через ненадёжного магазина приложений или различные интернет-сайты. Поскольку подобные негативные приложения удаляются из Play Store достаточно быстро, новости о наличии в этом магазине какого-либо вредоносного ПО стали очень редкими.

Для использования магазина приложений Amazon (или альтернативы, например, F-Droid) должна быть активирована опция загрузки приложений из неизвестных источников. Что вы можете предпринять в таком случае?

Антивирусный сканер от Google

Второй рубеж обороны от Google не имеет проблем с совместимостью и предлагает защиту от вредоносных приложений в лице сканера вирусов. Этот параметр стал доступен, начиная с версии Android 4.2, и сегодня является частью сервисов Google Play. По умолчанию сканер вирусов активирован, и вам необходимо оставить его как есть. Эта опция проверяет приложения на наличие вредоносного ПО перед их установкой, а если такое ПО обнаруживается, Android запрещает установку. По крайней мере, так гласит теория.

Читать еще:  Офлайн карты для Android — карты работающие без интернета

По большому счету, сегодня Quadrooter не имеет серьёзных шансов: компания Google подтвердила на сайте Android Central всего через несколько дней после выяснения, что вредоносное ПО Quadrooter не может быть установлено до тех пор, пока активна соответствующая опция защиты. Глава отдела безопасности Android Адриан Людвиг сообщил, что Quadrooter был похож на ещё одно вредоносное ПО Gooligan, которое в декабре прошлого года взламывало аккаунты Google. Что же может стоять за такими предостережениями?

В ежегодном докладе Android Security Report (апрель 2016) было сказано, что в 2015 году с помощью сканера вирусов перспектива угрозы для Android-пользователей была значительно уменьшена. С помощью этой функции у вредоносных приложений нет никаких шансов в борьбе против Google. К слову, сканер вредоносного ПО был неоднократно улучшен, начиная с первой его версии.

Как правило, проверка приложений осуществляется путём определения хеш значения файла APK. Этот показатель сравнивается с базой данных Google, которая содержит возможные коды угроз. Google не только сканирует приложения в Play Store, но также и файлы APK, доступные для скачивания из интернета. Этот несложный способ достаточно эффективен, так как около 90 процентов всех приложений, установленных не из Play Store, уже известны Google и прошли сканирование на предмет наличия потенциальных проблем безопасности.

Помимо всего этого, Google может извлекать отдельные функции из приложений и подвергать их очень похожему процессу. Это позволяет данной компании обнаруживать опасные элементы и предупреждать пользователей при необходимости, и даже предотвращать установку вредного приложения. Плюс, Google также проводит сканирование установленных приложений и может предостеречь от последующих манипуляций с уже установленным приложением. На крайний случай, есть возможность удалить приложения из смартфона, даже если им были предоставлены разрешения администратором устройства.

Тем не менее, Google не в состоянии защитить от всех атак новых видов вредоносного ПО. Однако через несколько часов в лучшем случае, или дней (в худшем), почти все Android-пользователи могут быть защищены от установки определённого вредного приложения – как в случае с Quadrooter. Похожие меры используются и в магазине приложений Play Store. Google также анализирует поведение разработчиков приложений, зарегистрированных в этом магазине, и может воспрепятствовать противоправным действиям с их стороны.

Успокоенные такой информацией, мы решили проверить на деле подобную защиту. Мы включили настройку загрузки приложений из неизвестных источников, установили несколько сканеров вирусов из Play Store, и запустили поиск для игры Super Mario Run для Android, так как наши текущие загрузки должны были быть полны вредным ПО. И что получилось в итоге? Установка сработала без проблем, некоторые из сканеров предупреждали об угрозе. При более близком рассмотрении мы пришли к выводу, что, видимо, мы имеем дело с рекламным ПО, которое может быть идентифицировано как «нежелательное ПО». В целом, подобное программное обеспечение не относится к разряду высокой вредности, представляющего опасность для наших данных или счета мобильного телефона. По крайней мере, мы не увидели предупреждения от Google.

Наш небольшой эксперимент показал, что сканер приложений от Google пропускает некоторые приложения. Нам пока неясно, является ли это запланированным решением: вероятно, Google не относит определённые виды рекламного ПО к категории риска, а сосредоточен на поиске определённых опасных функций в приложениях, прежде чем подать сигнал тревоги.

Текущие патчи безопасности

ОС Android основана на ядре Linux, и есть ещё один уровень защиты для пользователей: современная, полностью исправная операционная система по-прежнему является самой надёжной защитой.

Действительно опасная уязвимость Stagefright привела Google к переосмыслению: с того времени стали выходить ежемесячные обновления безопасности для Android, и сегодня насчитывается уже 18 наборов патчей. Для получения полной картины, вам следует знать, что Google предоставляет такие патчи не только для новейшей версии Android, но и для более старых, включая версию Android 4.4.

Не исключена ситуация, что смартфон под управлением Android Marshmallow находится в более безопасном положении, чем устройство с версией Nougat. Модель Moto Z с Android Nougat, например, содержит патчи безопасности, выпущенные в ноябре 2016 года, тогда как Galaxy S7 с версией Marshmallow уже располагает патчами безопасности, созданными в декабре того же года. То есть, актуальность патчей безопасности имеет прямое отношение к степени безопасности.

Осознание общей ответственности незаменимо

Возможно, четвёртым рубежом защиты является сам пользователь: если кто-то отключает или игнорирует вышеперечисленные меры безопасности, устанавливает файл APK, полученный с помощью SMS, отправленное на ломаном языке (например, английском), а потом бездумно отравляет код на анонимные номера, то из этого следует, что такой человек однозначно нарушает все правила безопасности.

А наш поиск файла APK для игры Super Mario Run? Эта игра ещё не была выпущена официально, поэтому нам не следовало бы устанавливать её, даже если она была бы предложена нам в WhatsApp, или в каком-нибудь рекламном баннере. Исходя из этого, рекомендуется действовать осторожно и игнорировать предложения загрузить какие-либо файлы через электронную почту, SMS или WhatsApp: думать головой и принимать ответственные решения – всегда отличная идея (и не только для безопасности смартфонов).

Нужны ли ОС Android приложения безопасности?

Наш небольшой эксперимент, описанный выше, был ясен и понятен. Несколько самостоятельно установленных сканеров вирусного ПО предупредили меня о наличии рекламного программного обеспечения. Отчёт по безопасности Google в первую очередь направлен на выявление потенциально опасных приложений, хотя производители антивирусных программ уведомляют о потенциально нежелательных приложениях, в дополнение к опасным из них. Это понижает порог идентификации вредоносного ПО, и, соответственно, повышает ваш уровень безопасности.

Также скажем, что мы были бы защищены от этого рекламного программного обеспечения, если бы не активировали опцию загрузки приложений из неизвестных источников. Другим важным аспектом является наличие другие опасностей для Android-пользователей. Глядя на описание различных пакетов безопасности в Play Store, становится понятно, что функции сканера вирусного ПО представляют собой лишь небольшой компонент защиты. В таком случае гораздо полезнее будут функции защиты данных, или защита от атак из браузера и электронной почты. В целом, существует достаточно много аргументов в пользу антивирусных сканеров.

Рекомендуемые настройки безопасности

Представляем вам список рекомендуемых действий и настроек. Прежде всего, это важные системные настройки:

  • «Экран блокировки и безопасность>Безопасность>Неизвестные источники». Лучше всего, не активировать эту опцию, или запретить её сразу же после установки какого-либо приложения;
  • «Google>Безопасность>Проверка приложений»;
  • «Сканирование устройства на наличие угроз безопасности». Оставьте эту опцию включённой;
  • «Улучшить обнаружение вредоносных приложений». Помогает Google обнаруживать не проверенные антивирусом приложения. Активируйте данную опцию.

Андроид безопасен, но не 100%

Отметим, что антивирусный сканер особенно рекомендуется, если вы используете приложения из неизвестных источников. Кроме того, такой сканер устанавливает обновления безопасности, пока они доступны для вашего смартфона. Разработчик вашего антивирусного сканера выпускает какие-либо обновления? Или же с большой неохотой? Напишите письмо этому разработчику, и пусть он знает, что ему необходимо изучить вопрос изменения политики по выпуску обновлений.

Но вернёмся к первоначальному вопросу: правда ли, что Quadrooter может оказать влияние на 900 миллионов устройств? Теоретически, эти устройства были уязвимы из-за наличия пробелов в безопасности, это верно. Но защитные меры от Google быстро уменьшили число устройств, особенно в Европе, где большинство смартфонов продаются с предустановленными сервисами от Google, и только азиатские смартфоны (также большая часть) не имеют дополнительного ПО от Google. В итоге, лишь те пользователи, кто не разрешает телефону устанавливать приложения из неизвестных источников, могут не попасться на крючок злоумышленников (и быть не очень восприимчивы к уязвимости в плане безопасности).

Также все это означает, что Quadrooter никоим образом не угрожает сотням миллионов смартфонов, а гораздо меньшему числу пользователей. Пока что не совсем понятно, может ли сканирование приложений действительно помешать работе всех эксплойтов Quadrooter. Это может установить лишь более исчерпывающий тест с приложениями, подготовленными соответствующим образом.

С другой стороны, уязвимость Stagefright может быть побеждена лишь с помощью патча безопасности. Большинство смартфонов были уязвимы для Stagefright настолько, что сетевые операторы вынуждены были временно приостановить услугу рассылки MMS. Google, со своей стороны, рекомендует запретить мессенджерам автоматически обрабатывать мультимедийные данные.

Также скажем, что коварство Stagefright заключается в том, что любой пользователь, у которого имеется старая версия Android без надёжного уровня защиты с помощью патчей безопасности, по-прежнему уязвим для Stagefright. На данный момент мы говорим о пользователях, использующих версию Android 4.3 или старше, хотя не исключено, что смартфоны с версиями KitKat и Lollipop также могут быть по-прежнему уязвимы.

Насколько мы знаем, Google изучила уязвимость Stagefright и предприняла верные шаги в плане выпуска ежемесячных патчей безопасности. Теперь единственное, что нуждается в улучшении – рассылка обновлений. Ряд производителей уже обратились к Google предоставить обновления пользователям.

Насколько серьёзно вы относитесь к вопросам безопасности вашего смартфона? Вы уже принимали какие-нибудь меры безопасности из вышеперечисленных?

голоса
Рейтинг статьи
Ссылка на основную публикацию
Статьи c упоминанием слов: