一部のAndroid OEMは、セキュリティパッチについてうそを発見しました[更新]

更新、4月13日： GoogleはVergeに次の声明を発表しました。

Androidエコシステムのセキュリティを強化するための継続的な努力に対してKarsten NohlとJakob Kellに感謝します。 Googleが推奨するセキュリティアップデートの代わりにデバイスが別のセキュリティアップデートを使用する状況を考慮して、検出メカニズムの改善に取り組んでいます。セキュリティ更新は、Androidデバイスとユーザーを保護するために使用される多くのレイヤーの1つです。アプリケーションサンドボックスなどの組み込みプラットフォーム保護、およびGoogle Playプロテクトなどのセキュリティサービスも同様に重要です。これらのセキュリティ層は、Androidエコシステムの途方もない多様性と相まって、Androidデバイスのリモート利用が依然として困難であるという研究者の結論に貢献しています。

パッチが欠落していると、確かに携帯電話は最新のものに比べて脆弱になりますが、それでも完全に保護されていないわけではありません。毎月のパッチは間違いなく役立ちますが、すべてのAndroid携帯電話がある程度のセキュリティを強化するための一般的な手段があります。

月に一度、GoogleはAndroid Security Bulletinを更新し、脆弱性やバグがポップアップしたらすぐに修正するために新しい月次パッチをリリースします。多くのOEMが上記のパッチを使用してハードウェアを更新するのが遅いことは秘密ではありませんが、実際には何も変更されていないのに電話を更新したと主張するOEMが発見されました。

この啓示はSecurity Research LabsのKarsten NohlとJakob Lellによって行われ、その発見は最近アムステルダムで開催されたBoxセキュリティ会議での今年のHackで発表されました。 NohlとLellは、Google、Samsung、OnePlus、ZTEなどの1200台のAndroid携帯電話のソフトウェアを調べましたが、そうすることで、これらの企業の一部は、実際にインストールせずに携帯電話を更新するときにセキュリティパッチの外観を変更することがわかりました。

2016年のSamsungのGalaxy J3は、電話にインストールされていなかった12個のパッチがあると主張しました。

欠落したパッチのいくつかは、偶然に作られると予想されますが、NohlとLellは、物事が足りない特定の電話に出くわしました。たとえば、2016年のSamsungのGalaxy J5には含まれていたパッチが正確にリストされていましたが、同じ年のJ3には12個不足していても2017年以降のすべてのパッチが含まれているように見えました。

また、調査では、電話機で使用されているプロセッサの種類が、セキュリティパッチで更新されるかどうかに影響を与える可能性があることが明らかになりました。サムスンのExynosチップを搭載したデバイスでは、スキップされたパッチが非常に少ないことがわかりましたが、MediaTekのものは平均して9.7個のパッチが欠落しています。

テストですべての電話機を実行した後、NohlとLellは、OEMが逃したがまだインストールしたと主張するパッチの数を示すチャートを作成しました。ソニーやサムスンのような企業は、0から1までしか見逃していませんが、TCLとZTEは4つ以上スキップしていることがわかりました。