Служба безопасности Google говорит, что компаниям нужно лучше устанавливать исправления для Android

30 ноября 2022 г.

Google предупреждает, что производители смартфонов Android должны усовершенствовать свои устройства.

В блоге В сообщении, опубликованном подразделением Google по кибербезопасности Project Zero, исследователи объясняют самую сильную сторону Android: децентрализация его экосистемы - также его самая большая слабость.

Сейчас ситуация такова, что процесс исправлений выполняется слишком медленно. , слишком громоздкой и слишком разрозненной, из-за чего потребители подвергаются риску известных и относительно простых в использовании уязвимостей.

Проблемы децентрализации

Android, созданный Google, основан на Linux и, по сути, представляет собой решение с открытым исходным кодом, поэтому сторонние Samsung, Oppo, LG и OnePlus, могут стать владельцами своих версию операционной системы.

В результате, когда Google выпускает исправление, оно сначала должно быть проанализировано и изменено производителем, прежде чем оно будет загружено на устройство. Это означает, что пользователи Android могут быть подвержены риску заражения вредоносным ПО в течение длительного периода времени.

Если этот период затянется слишком долго и Google обнародует сведения об уязвимостях, это даст киберпреступникам уникальную возможность взломать конечные точки без необходимости искать новые нулевые дни.

Напротив, Apple предлагает закрытую экосистему для своих устройств. Компания отвечает за создание большей части своего аппаратного и программного обеспечения. Таким образом, когда обновления находятся под жестким контролем Apple, всякий раз, когда компания выпускает патч, большинство конечных устройств получают его довольно быстро.

Это именно то, что произошло с CVE-2021-39793, уязвимостью в драйвере графического процессора ARM Mali, используемой многими устройствами Android, которые TechRadar Pro сообщил в ноябре 2022 года.

< p>Как только Google завершил расследование этого нулевого дня в июле 2022 года, он сообщил о результатах в ARM, которая затем исправила его в августе 2022 года. Тридцать дней спустя Google обнародовала свои выводы.

Однако Google обнаружил, что все тестовые устройства, которые использовали Mali, оставались уязвимыми для проблем. «CVE-2022-36449 не упоминается ни в каких последующих бюллетенях по безопасности», — говорилось тогда в компании, поднимая вопрос о так называемом «отсутствии исправлений».

«Так же, как пользователям рекомендуется исправлять так быстро, как они могут, как только будет доступен выпуск, содержащий обновления безопасности, поэтому то же самое относится к поставщикам и компаниям», — говорится в сообщении в блоге.

«Сведение к минимуму «отсутствия исправлений» в качестве поставщика в этих сценариях, возможно, более важно, поскольку конечные пользователи (или другие поставщики ниже по потоку) блокируют это действие, прежде чем они смогут получить преимущества безопасности исправления. "

"Компании должны сохранять бдительность, внимательно следить за исходными источниками и делать все возможное, чтобы предоставлять полные исправления пользователям как можно скорее".

• Познакомьтесь с лучшими брандмауэрами прямо сейчас

---

Оригинал