Pembuat perangkat Android berbohong tentang mendistribusikan patch keamanan

47

Android selalu menjadi target utama untuk hacker, orang-orang bijaksana dan berbagai hama, terutama sebagai sistem mobile yang paling digunakan tetapi juga karena Google dan produsen goyah lebih dari yang seharusnya. Seringkali Google Play Store membuat membersihkan rumah, mengidentifikasi dan menghapus aplikasi berbahaya dari toko  tetapi untuk menjaga software memuaskan terlindung, dibutuhkan komitmen dari semua yang terlibat ( termasuk pengguna ).

Selalu penting untuk menginstal tambalan dan pembaruan keamanan segera setelah tersedia, tetapi bahkan ini tidak menjamin perlindungan lengkap terutama ketika seseorang tidak kompeten atau jahat atau keduanya. Itulah yang dibuktikan oleh perusahaan keamanan Jerman, Security Research Labs ( SRL ) setelah riset ekstensif dan mengungkapkan bahwa banyak dari pembaruan ini tidak seperti yang mereka klaim.

Selama dua tahun, para peneliti Karsten Nohl dan Jakob Lell menemukan sekitar 1.200 Firmwares berbeda untuk produsen perangkat Android seperti Samsung, Motorola, LG, Sony, OnePlus, Huawei dan HTC, serta kurang dikenal TCL, Vivo dan ZTE dan bahkan garis Pixel, dari Google sendiri. Mereka menggunakan beberapa teknik, termasuk reverse engineering dan menemukan bahwa sementara produsen melaporkan deskripsi pembaruan yang termasuk patch keamanan untuk corrigie bug tertentu, sebenarnya mereka tidak ada.

Artinya, mereka berbohong tanpa malu-malu dan meninggalkan perangkat semacam itu tanpa proteksi, dengan pengguna mengalami rasa aman yang salah dan berbahaya.

SLR mengatakan masalahnya adalah lebih umum pada perangkat perusahaan Cina ( seperti yang diharapkan ), tapi secara keseluruhan semua orang berbohong dan beberapa industri kelas berat memiliki angka tinggi dari paket yang hilang, seperti LG dan Motorola. Rata-rata tambalan yang hilang pada perangkat adalah sebagai berikut, berdasarkan perangkat yang menerima setidaknya satu pembaruan keamanan per Oktober 2017:

  • Google Pixel, Samsung, Sony, dan Wiko: rata-rata dari nol hingga satu patch hilang;
  • OnePlus, Nokia dan Xiaomi: satu hingga tiga;
  • LG, Motorola, HTC dan Huawei: antara tiga dan empat;
  • TCL dan ZTE: empat atau lebih.

SLR juga melihat patch keamanan berbasis perangkat keras, khususnya SoC, dan menemukan sesuatu yang telah lama dikatakan oleh banyak orang: MediaTek tidak dapat diandalkan. Di sisi lain Samsung adalah satu dengan insiden terendah dari patch yang hilang, tetapi masih belum nol:

  • Samsung: 0,5 patch rata-rata hilang;
  • Qualcomm: 1.1 patch;
  • HiSilicon: 1.9 tambalan;
  • MediaTek: 9.7 tambalan.

Seperti yang diharapkan, semakin murah perangkat yang lebih rentan itu: SLR membandingkan dua smartphone dari Samsung Galaxy J5 ( 2016 ) dan Galaxy J3 ( 2016 ). Sementara yang pertama memiliki semua pembaruan yang tercantum dengan benar, yang kedua tidak memiliki 12 patch yang dirilis pada tahun 2017 yang dilaporkan oleh pembuatnya merilis. Dia hanya mengatakan dia menginstalnya, tetapi dia tidak melakukannya.

Google telah memberikan John-tanpa-lengan dan mengatakan bahwa banyak perangkat yang dianalisis oleh SLR tidak disertifikasi oleh Android ( yang tidak benar, jika kita melihat dua yang disebutkan di atas atau dari LG dan Motorola, yang memiliki serius masalah dalam pengertian ini ) dan perangkat yang lebih baru memiliki pertahanan yang mencegah intrusi bahkan ketika patch tidak ada, tetapi mengakui bahwa penelitian ini penting dan bahwa lebih dan lebih baik analisis mungkin diperlukan dari sekarang.

SLR diharapkan memberikan rincian lebih lanjut pada  konferensi Hack in the Box yang  akan diadakan hari ini ( 13/04 ) di Kuala Lumpur, Malaysia, termasuk menawarkan daftar lengkap semua perangkat yang telah ditinjau dan yang rentan karena kelalaian produsen, tetapi Anda sudah Anda dapat mengetahui apakah aman atau tidak: perusahaan keamanan telah menyediakan aplikasi bernama  SnoopSnitch , yang dapat memeriksa firmware dan memeriksa perbaikan apa yang sebenarnya dipasang, dan mana yang seharusnya. Ini sangat berharga untuk diperiksa.

LEAVE A REPLY

Please enter your comment!
Please enter your name here