일부 안드로이드 OEM은 보안 패치에 관한 것으로 밝혀졌습니다 [업데이트]

4 월 13 일 업데이트: Google은 Verge에 다음과 같은 진술을했습니다.

Karsten Nohl와 Jakob Kell에게 Android 생태계의 보안 강화를위한 지속적인 노력에 감사드립니다. Google은 기기가 Google이 제안한 보안 업데이트 대신 대체 보안 업데이트를 사용하는 상황을 설명하기 위해 탐지 메커니즘을 개선하기 위해 노력하고 있습니다. 보안 업데이트는 Android 기기 및 사용자를 보호하는 데 사용되는 많은 계층 중 하나입니다. 응용 프로그램 샌드 박싱과 같은 기본 제공 플랫폼 보호 및 Google Play Protect와 같은 보안 서비스도 마찬가지로 중요합니다. 안드로이드 생태계의 다양성과 결합 된 이러한 보안 계층은 안드로이드 기기의 원격 개발이 여전히 도전적이라는 연구자들의 결론에 기여합니다.

패치를 놓치면 확실히 최신 버전에 비해 휴대 전화가 더 취약 해지지 만 완전히 보호되지 않은 것은 아닙니다. 월별 패치는 확실히 도움이되지만 모든 Android 전화에 일정 수준의 보안이 유지되도록하는 일반적인 조치가 있습니다.

한 달에 한 번 Google은 Android 보안 게시판을 업데이트하고 새로운 월별 패치를 출시하여 취약점과 버그가 발생하자마자 수정합니다. 많은 OEM이 해당 패치로 하드웨어를 업데이트하는 속도가 느리다는 것은 비밀이 아니지만, 실제로 일부가 변경되지 않은 경우 일부는 자신의 전화를 업데이트했다고 주장하는 것으로 밝혀졌습니다.

이 계시는 Security Research Labs의 Karsten Nohl와 Jakob Lell에 의해 만들어졌으며, 이번 발견은 최근 암스테르담에서 열린 Hack in the Box 보안 컨퍼런스에서 발표되었습니다. Nohl와 Lell은 Google, Samsung, OnePlus, ZTE 등의 1200 개 Android 휴대폰 소프트웨어를 조사한 결과 실제로 설치하지 않고 휴대폰을 업데이트 할 때 보안 패치 모양이 변경되는 것을 발견했습니다.

2016 년 삼성 갤럭시 J3는 단순히 휴대폰에 설치되지 않은 12 개의 패치를 가지고 있다고 주장했다.

누락 된 패치 중 일부는 우연히 만들어 질 것으로 예상되지만 Nohl와 Lell은 문제가 해결되지 않은 특정 전화를 발견했습니다. 예를 들어, 2016 년 삼성의 갤럭시 J5는 패치를 정확하게 나열했지만 같은 해의 J3는 12 개가 빠졌음에도 불구하고 2017 년 이후로 모든 단일 패치를 갖는 것으로 보입니다.

연구에 따르면 전화기에 사용되는 프로세서 유형이 보안 패치로 업데이트되는지 여부에 영향을 줄 수 있습니다. 삼성의 Exynos 칩이 장착 된 장치는 건너 뛴 패치가 거의없는 것으로 나타 났지만 MediaTek이있는 장치는 평균 9.7 개의 패치가없는 것으로 나타났습니다.

테스트에서 모든 전화를 실행 한 후 Nohl과 Lell은 OEM이 누락했지만 여전히 설치했다고 주장하는 패치 수를 나타내는 차트를 작성했습니다. 소니와 삼성과 같은 회사는 0과 1 사이에서 그리워했지만 TCL과 ZTE는 4 이상을 건너 뛰는 것으로 나타났습니다.