خیلی از به‌روزرسانی‌های اندروید فاقد وصله‌های امنیتی گزارش شده هستند

اصلا تصور نکنید که با نصب این به‌روزرسانی‌ها مشکلی که درباره آن صحبت شده حتما برطرف خواهد شد. تحقیقات وسیع و گسترده‌ای که توسط شرکت آلمانی SRL (آزمایشگاه‌های تحقیق درباره امنیت) انجام شده بر این مسئله تأکید می‌کند که بسیاری از بسته‌های به‌روزرسانی اندروید که توسط سازندگان این دستگاه‌ها عرضه می‌شود فاقد وصله‌های برطرف کننده این حفره‌ها هستند.

«کارستن نوهل» و «جاکوب لِل» دو محقق این شرکت هستند که در این خصوص تحقیق کرده‌اند. آن‌ها برای این منظور به‌مدت دو سال از روش مهندسی معکوس و سایر روش‌های موجود جهت تحلیل firmware حدود هزار و دویست اسمارت‌فون از 10 برند معروف دنیا از جمله سامسونگ، موتورولا، اچ‌تی‌سی، شیائومی و ZTE استفاده کردند. علاوه بر این، گوشی گوگل پیکسل هم مورد بررسی قرار گرفت.

اطلاعات و جزئیات بیشتر در خصوص این مسئله مانند مدل‌های آسیب دیده، قرار است در همایش امنیت Hack in the Box ارائه شود. این دو محقق به‌این نتیجه رسیده‌اند که در خیلی از موارد، سازندگان در توضیح به‌روزرسانی خود اعلام می‌کنند که مشکلات گوناگون از جمله حفره‌های امنیتی دستگاه‌های آن‌ها با دریافت این به‌روزرسانی‌ها برطرف می‌شوند، در حالی‌که، در بیشتر مواقع خبری از آن‌ها نیست و اصولا چنین چیزی وجود ندارد.

حتی SRL ادعا می‌کند که گاهی اوقات دستگاه‌هایی دیده شده‌اند که هیچ به‌روزرسانی دریافت نکرده‌اند. در این حالت، سازندگان به‌سادگی تاریخ عرضه بسته‌های مذکور را به‌تعویق می‌اندازند.

بر اساس مقایسه بین دستگاه‌هایی که از تاریخ اکتبر 2017 به‌بعد حداقل یک پکیج به‌روزرسانی دریافت کرده‌اند، SRL به‌این نتیجه رسید که بیشترین مشکل در بین دستگاه‌های برندهای چینی مشاهده شده است. اما برخی از دستگاه‌های برندهای مشهور دنیا مانند سامسونگ و گوگل هم از لیست دریافت کننده به‌روزرسانی‌های مشخص حذف شده‌اند.

- وصله‌هایی که به‌طور متوسط در چهار مورد یا بیشتر از آن وجود نداشته‌اند: TCL و ZTE

- سه یا چهار مورد: اچ‌تی‌سی، هواوی، ال‌جی و موتورولا

- یک تا سه مورد: شیائومی، وان‌پلاس و نوکیا

- بین صفر تا یک: گوگل، سونی، سامسونگ و Wiko

محققان می‌گویند آن دسته از گوشی‌هایی که از چیپ‌های سامسونگ در آن‌ها استفاده شده کمتر شاهد از دست رفتن این وصله‌ها هستند. اما در طرف مقابل گوشی‌هایی که از پردازنده‌های مدیاتک استفاده می‌کنند بیشترین موارد را شامل می‌شوند:

- سامسونگ: به‌طور متوسط 0.5 وصله از دست رفته

- کوالکام: 1.1

- های سیلیکون: 1.9

- مدیاتک: 9.7

به‌طور کلی، گوشی‌های ارزان‌تر بیشتر از سایرین نادیده گرفته می‌شوند. به‌طور مثال، SRL ادعا می‌کند در حالی‌که مدل گلکسی J5 2016 به‌درستی تمام وصله‌های برطرف کننده حفره‌ها را دریافت کرد، اما گلکسی J3 2016 با این‌که طبق گزارش‌ها تمام به‌روزرسانی‌های منتشر شده در سال 2017 را دریافت کرد، اما 12 حفره‌ای که از آن‌ها صحبت شده بود هم‌چنان بدون رفع مشکل وجود دارند و جالب این‌که از این 12 حفره، 2 حفره بسیار خطرناک هستند.

مسئولین گوگل در پاسخ به سئوال محققان SRL درباره این مشکل گفته‌اند که خیلی از مدل‌های بررسی شده در این تحقیق دارای هیچ‌گونه تأییدیه‌ای از سوی اندروید نیستند و به‌همین دلیل است که این مدل‌ها فاقد استانداردهای امنیتی این شرکت هستند.

علاوه بر این، گوگل ادعا می‌کند که بسیاری از اسمارت‌فون‌های جدید دارای ویژگی‌های امنیتی هستند که حتی در صورت وجود رخنه‌های اصلاح نشده، هم‌چنان نفوذ به آن‌ها بسیار سخت و دشوار است. از همین رو، در برخی موارد شرکت سازنده تصمیم می‌گیرد به‌جای برطرف کردن نقاط آسیب‌پذیر آن‌ها را حذف کند.

آن‌ها می‌گویند که نتیجه تحقیقات SRL از اهمیت زیادی برخوردار است و حتی نیاز به انجام تحلیل‌های بیشتر در این خصوص وجود دارد. باید منتظر همایش Hack in the Box باشیم تا بیشتر با وسعت این مشکل آشنا شویم.