Green-sell.info

Новые технологии
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Обновление системы безопасности android

Обновление системы безопасности android

При выборе устройства, немаловажную роль играет репутация производителя: период поддержки устройств, даже не совсем новых, является не последним критерием, и признаком хорошего тона. При этом производитель устраняет уязвимости, и возможно повышает производительность устройства, что делает его в глазах пользователя не только надежным, но иногда и единственным приемлемым выбором (как в случае всеми известной компании).

Однако, многие из вас слышали о ситуации, когда устройство под управлением android перестало обновляться, а это значит, что оно стало более уязвимо для атак хакеров, но не спешите отчаиваться — замена устаревшего устройства на другое — не всегда единственный выход.

К тому же, даже если ваше устройство показывает последние обновления патчей безопасности, это не всегда означает, что так и есть, что было подтверждено в исследовании https://xakep.ru/2018/04/16/android-patches/

Так или иначе, сами пользователи иногда модифицируют прошивку своих устройств, чтобы получить последние обновления безопасности https://forum.xda-deve…-updates-twrp-t3523026
Им в этом помогают энтузиасты, создающие и обновляющие кастом прошивки для их девайсов, которые не сложно установить, следуя инструкции (при наличии компьютера и навыков конечно)

И в третьих, в новейшей Q OS от Google сделали автоматическое обновление патчей безопасности android 10 прямо через play market.
https://www.xda-develo…security-update-issue/
Может быть кто то имеет устройство в котором это реализовано и он сможет поделиться своим опытом.

Было бы не плохо, создать инструкцию, или даже универсальный автоматизированный скрипт, для интеграции обновлений android security path level через magisk или twrp.
Поэтому кто хочет, может участвовать.

Сообщение отредактировал konstantinqq — 08.02.20, 22:21

(Зарезервировано на всякий случай)
Тема про ручное или полу автоматическое обновление системы безопасности андроид, то есть в конечном итоге должны появиться гайды и инструкции как обновить, а так де конечно отзывы, тех кто обновил и у кого может быть, не получилось.

Сообщение отредактировал konstantinqq — 08.02.20, 22:06

кто знает как на миюи обновить патч безопасности андроид?

Вроде бы где то писали что обновы безопасности на 10 андроиде будут сами приходит через маркет, а на деле в миюи как я понял это не реализовано, так вот, как обновить android security path level?

Если уж вопрос был удален, то что и о создании темы говорить?
Но есть и плюс — можно свободно обсуждать, если это касается темы.

Поэтому начну — был у меня mi 9 с миюи и 10 андроидом, но обновлениями безопасности занимался там не плей маркет, а сяоми, из за чего рассчитывать на своевременные обновления патчей безопасности не приходилось)

Вообще, как вы считаете, стоит ли беспокоиться что безопасность андроида давно не обновлялась?

Сообщение отредактировал konstantinqq — 08.02.20, 20:30

Ага, гугл сам там патчит, и Ромы кастомные на дату сборки обычно гугловские патчи содержат, а вендор и кернел должны сами производители или маинтайнеры обновлять

Так что вообще не вижу проблемы, если у кого-то какой-то кастом не обновлялся давно, то есть интсоукция по сборке gsi образов для любой прошивки в теме одноимённой на форуме

Инструкция есть в теме Разработка GSI
На базе скрипта от phhusson

А вот откуда можно скачать патчи, но как интегрировать, все ещё не нашел инструкцию. Особенно чтобы без потери данных например через тврп или магиск.

Всплывают нюансы, и как во всем этом разобраться?

Таким образом вижу примерно такое развитие событий, может быть кто то напишет инструкцию, или ее придется писать кому то другому:
Ну для начала, нужно узнать о совместимости патчей безопасности с установленным андроидом, как я понял, описанное в той теме относится к GSI системам.
Вот.
После того как стало известно о совместимости патча, как я понял, нужно пересобрать из исходников, и поэтому нужно знать где их взять, как создать патч, чтобы без сброса данных, ну и тому подобное.

Сообщение отредактировал konstantinqq — 08.02.20, 21:49

Если честно, понятия не имею)
Может быть по шаблону, подобно тому, как их делает сам производитель.
Ну то есть анализируется вендор, систем, и данные которые касаются патча безопасности.
При этом, существует пользовательская база, где пользователи условно выбирают алгоритм патча — ну к примеру для патча родного миюи или для патча ми еу кастома, и далее скрипт скачивает из репозитория нужные файлы, собирает прошивку, и вот она, только прошей через тврп.
Все.

Ps голосование такое потому что если 2018 и старше — значит производители перестали поддерживать телефон.

Сообщение отредактировал konstantinqq — 08.02.20, 22:35

fsct2k,
Про уязвимости можно больше официальной инфы найти, например пример того, как стоковое устройство без модификаций оказывается под полным контролем хакера, который получает полные системные права.
И это лишь об известных уязвимостях. Но ведь каждый год находят новые критические уязвимости. Складывается ощущение, что их там специально оставляют. И кто вовремя вышедшую заплатку не поставит, сталкивается с повышенным риском взлома.

Читать еще:  Безопасность сети предприятия

А вот про уязвимости обхода magisk что можно найти? Рут то магиск менеджер выдаёт, причем можно запретить всем новым запросам поручение рут прав, и для приложения это будет означать почти полное их отсутствие. Ну может оно узнать допустим что телефон рутован, но без выданных прав что оно может? Хотите сказать что магиск куплен и в него встроен бекдор? Это уже похоже на правду.

Другое дело что андроид сама по себе уязвимая система — дай любой программе доступ к файлам, и вот уже можно все не системные файлы передавать кому угодно на оригинальном устройстве, без рутов и прочего.

Про разблокированный загрузчик тоже могу не много сказать — о том что нет способов на 4пда (я не встречал для новых устройств) без Рута модифицировать системные разделы, т. Е. Чтобы разблокированный загрузчик стал подспорьем ко взлому телефона, надо иметь бекдор позволяющий получить полные права на просмотр и изменение. А бекдоры как раз и устраняются патчами безопасности.
Сам по себе разблокированный загрузчик лишь снимает один слой защиты от изменения системных файлов, а именно проверку при загрузке. И то не всегда (ARB например или кирпич по схожим причинам на redmi note 8 pro даже разработчики кастом ромов бессильны обойти без авторизованного производителем edl аккаунта, хотя казалось бы, китайский телефон на МТК).

После размышлений могу и про TWRP оставить комментарий:
Чтобы сделать его применение безопасным, надо от него отделаться — то есть после установки всего необходимого, зашифровать раздел с данными сложным паролем, и удалить или запоролить TWRP, чтобы если кто найдет потерянный телефон не смог стянуть с него данные.

Судя по тому, что подобной темы на 4пда не было, и по текущей популярности этой темы — безопасность удел тех, кому есть что терять. Остальных же, похоже это мало волнует, на уровне «купи айфон» или используй антивирус на флагмане известной фирмы. Справедливо некоторые говорят «кому вы нужны со своими котиками».

Сообщение отредактировал konstantinqq — 20.02.20, 14:42

Обновление системы безопасности android

Привет. Меня зовут Иван, и я апдейт-диссидент. После этого должны были послышаться вялые хлопки, но их нет. Скорее всего потому, что многим не понятно слово, которым я себя обозвал. Если вы из их числа, не пытайтесь искать определение этого термина в интернете, потому что его там нет. Я сам придумал так себя называть в тот момент, когда понял, что обновления — это один из самых больших разводов в истории человечества наряду со шведским столом и брошенной наспех бывшему однокласснику, встретившемуся на улице, фразой “созвонимся”.

Обновлений не существует. Вот доказательства

Я уже как-то высказывал своё мнение относительно новых версий Android. Тогда я доходчиво объяснил, что особенного смысла в том, чтобы гоняться за свежими обновлениями операционной системы нет по нескольким причинам. Во-первых, они могут попросту испортить то, что и так исправно работало, суля больше проблем, чем пользы. Во-вторых, пожалуй, все нововведения апдейтов можно получить из стороннего софта, с которого Google и другие компании вроде Apple нагло списывают новые функции для своих ОС. С тех пор моя позиция не изменилась, а лишь усугубилась, ведь есть ещё обновления безопасности.

Зачем нужны обновления

Обновления безопасности — это потрясающе удобная для Google штука. Мало того, что компания может каждый месяц отчитываться о проделанной работе по поддержанию актуальности миллионов Android-смартфонов, по сути, не реализовав никаких нововведений, так ещё сами апдейты, о которых идёт речь, имеют довольно сомнительную природу и содержание. Во всяком случае, у меня они вызывают ощущение какой-то подделки.

Каждый месяц Google выпускает обновления безопасности и объявляет, что исправила n-ное количество уязвимостей. Обычно это некруглое, но довольно существенное число. Чаще всего в пределах от 20 до 30. Классно, подумают многие. Google заботится о своих пользователях и неустанно корпеет над Android, устраняя накопившиеся баги и бреши в системе безопасности. Но, постойте-ка. У вас никогда не возникало вопроса, откуда каждый месяц в Android, который получает новую версию раз в год, берётся такое количество уязвимостей?

Обновления-пустышки

Это может прозвучать надуманно и даже глупо, но меня не покидает мысль о том, что большая часть обновлений безопасности, которые выпускает Google, — это пустышки. В конце концов, нет ничего сложного в том, чтобы выпустить апдейт, который просто меняет билд операционной системы, но при этом не содержит в себе ровным счётом никаких изменений. Некоторые производители так и делали, пока всё это не стало достоянием общественности.

Читайте также: Google выпустила полезное обновление Google Play. Что изменилось

Возможно, уязвимости содержатся в самих обновлениях безопасности? Дескать, одно лечим, другое калечим. Но какой тогда вообще в них смысл, если каждый новый апдейт исправляет 20-30 багов, а на их место приносит ещё 20 или 30. Не проще ли в таком случае вообще откатить билд операционной системы к исходному и больше его не обновлять, чтобы не делать в ней новые дыры, подвергающие пользователей опасности? Другого объяснения тому, откуда в Android появляются новые уязвимости, я не нахожу.

Читать еще:  Безопасная загрузка xp

Android небезопасен

Наверное, возможен и другой вариант. Допустим, что в Android действительно есть все эти уязвимости, однако их так много, что каждый месяц разработчики Google исправляют по 20-30 брешей и не могут остановиться, потому что им нет конца и края. Но тогда у меня для вас плохие новости, друзья. Если Android буквально изрешечена уязвимостями и багами, нам с вами не сдобровать. Ведь в таком случае любой хакер сможет копнуть чуть глубже, найти брешь и, воспользовавшись ей, взломать наши смартфоны. А если это так, то Google уже проиграла.

Обновление системы безопасности Android: как проверить версию

Автор: Юрий Белоусов · 16.10.2019

В мобильной операционной системе Android по умолчанию вшита система безопасности, которая призвана защищать устройство от различных угроз, способных навредить ему.

В этой статье рассмотрим, как проверить обновление системы безопасности Android и обновить систему до последней версии.

Обновление системы безопасности Android: как проверить версию

Чтобы проверить версию патча обновления системы безопасности в Android нужно:

  1. Зайти в настройки устройства;
  2. Перейти в раздел «О телефоне»;
  3. В данном разделе отображается вся информация об операционной системе, включая дату обновления системы безопасности Android.

Как обновить систему безопасности Android

Обновление системы безопасности Android происходит вместе с обновление операционной системы. Как правило, на смартфонах и планшетах уже по умолчанию включена функция автоматического обновления.

Чтобы проверить или обновить версию Android нужно:

  1. Зайти в настройки мобильного устройства;
  2. Перейти в раздел «О телефоне»;
  3. Открыть «Обновление системы»;
  4. Если новое обновление ОС доступно, то вам будет предложено его сделать;
  5. Также можно зайти в настройки обновления;

  6. И проверить включено ли автоматическое обновление системы.

Приложение системы безопасности Android

Приложение системы безопасности Android можно найти на рабочем столе смартфона или планшета.

Оно включает в себя следующие функции:

  • Очистка системы;
  • Антивирус;
  • Информация о питании и производительности;
  • Инструмент для ускорения системы;
  • Инструмент для решения проблем;
  • Ускорение игр;
  • Информация о передаче данных;
  • Антиспам;
  • Работа со вторым пространством;
  • Клонирование приложений;
  • Защита приложений;
  • ShareMe – инструмент для передачи данных;
  • Диагностика сети.

Ознакомиться с подробным описанием функций системы безопасности Android можно по ссылке.

Не нашли ответ? Тогда воспользуйтесь формой поиска:

Нам врут про патчи безопасности Android?

Компания Google ежемесячно выпускает патчи безопасности для Android устройств. Самыми первыми их получают телефоны серии Pixel и Nexus, а затем уже сторонние OEM-производители получают доступ к скачиванию последней версии патча безопасности с актуальными исправлениями. Но похоже, что некоторые компании грешат тем, что устанавливают на свои устройства не все обновления.

Компания Google пытается заставить десятки производителей смартфонов Android, регулярно выпускать обновления программного обеспечения, ориентированные на безопасность.

Производители не следят за безопасностью?

Согласно последнему отчету, который опубликовала издательство Wired, большая часть Android телефонов не получает актуальные обновления безопасности.

Эту тревожную новость обнаружила немецкая Лаборатория безопасности (Security Research Labs). Штаб квартира компании находится в Берлине. Ее основная задача – обеспечить развитие безопасности в сфере мобильной связи, фокусируясь на современных технологиях, которые могут подвергнуть многих людей риску.

Нам лгут об исправлениях безопасности?

Результатами своей двухлетней работы Лаборатория «Security Research Labs» поделилась на конференции по безопасности Hack in the Box в Амстердаме. Также, кроме анализа кода операционной системы Android, компания тщательно проверяла действительно ли телефоны содержат последние исправления безопасности, указанные в настройках.

Как оказалось, больше половины OEM-производителей сообщали пользователям, что у них установлены последние патчи безопасности, в то время как устройство до сих оставалось по факту уязвимым. Многие компании пропускали десятки обновлений для своих устройств, оставляя телефоны уязвимыми для широкого набора известных методов взлома.

Просто меняют цифру в названии патча

Компания SRL проверила официальные прошивки 1200 телефонов от более чем 10 производителей на наличие исправлений, из каждого патча безопасности Android, выпущенного в 2017 года.

Проверялись устройства, сделанные не только самой компанией Google, но и основными производителями телефонов Android, такими как Samsung, Motorola и HTC, а также известными китайскими компаниями, такими как ZTE, Xiaomi, Oneplus, Huawei и TCL

Тестирование показало, что производители чаще всего грешат сменой даты, вместо установки реального патча. Они сообщают пользователям, что устанавливают исправления, но на самом деле не делают этого, создавая ложное чувство безопасности.

Крупные компании, могут случайно пропустить какой патч исправлений, который не является критическим. Другие производители почему-то преднамеренно обманывают своих пользователей.

Учитывая такую ​​скрытую несогласованность, обычному пользователю практически невозможно узнать, какие исправления установлены на его телефоне.

Сколько патчей пропускает каждый производитель?

После усреднения результатов каждого телефона, проверенного в лабораториях SRL, были подведены итоги, где производителей разделили на четыре категории. Разделение на группы основывается на том, насколько точно указанные производителями исправления соответствуют реальности в 2017 году, причем основное внимание уделяется только телефонам, получившим по меньшей мере один патч в октябре 2017 или новее.

Читать еще:  Загрузить в безопасном

Кто меньше всего думает о безопасности:

Телефоны от основных поставщиков Android устройств, включая Xiaomi и Nokia, в среднем составляли от одного до трех отсутствующих патчей, и даже крупные поставщики, такие как HTC, Motorola и LG, пропустили от трех до четырех исправлений, которые, по их утверждению, были установлены.

Меньше всего о реальной безопасности своих пользователей думают китайские фирмы TCL и ZTE, на всех телефонах не было в среднем более четырех патчей, которые, по их утверждению, были установлены.

В своем отчете SRL показала в качестве одной из возможных причин отсутствия исправлений – это какой процессор установлен в телефоне. Чаще всего, устройства, которые использовали чипы от тайваньской фирмы MediaTek, не имели более 9 обновлений.

Вторая причина – дешевые телефоны с большей вероятностью пропускают исправления, а также склонны использовать более дешевые чипы.

Конечно, и компания Сяоми грешит на задержку обновлений. Часто разработчики что-то мудрят с версиями патчей безопасности, например выпуская обновление за апрель в марте. Но согласно исследованию немецкой лаборатории SRL, Xiaomi вошла во вторую категорию. Это значит, что в реальности пользователи смартфонов защищены на 80-90%.

Warning: A non-numeric value encountered in /home/xiaomi7/xiaomishka.ru/www/wp-content/themes/publisher/includes/func-review-rating.php on line 212

Warning: A non-numeric value encountered in /home/xiaomi7/xiaomishka.ru/www/wp-content/themes/publisher/includes/func-review-rating.php on line 213

Здравствуйте, дорогие друзья! Меня зовут Михаил Сяоминко, Я фанат техники, гаджетов и смартфонов Xiaomi. Имея доступ к информации, стараюсь предоставлять для читателей «Сяомишки» интересный и качественный контент. Делюсь последними новостями и эксклюзивными материалами.

Производители смартфонов на Android лгут о выходе патчей и создают лишь видимость защиты

Xakep #251. Укрепляем VeraCrypt

Известные ИБ-эксперты, специалисты Security Research Labs, Карстен Нол (Karsten Nohl) и Якоб Лелл (Jakob Lell) представили интересный доклад на конференции Hack In The Box. Исследователи обнаружили, что многие крупные производители устройств на Android, в том числе компании Samsung, Xiaomi, OnePlus, Sony, HTC, LG, ZTE и Huawei, лишь создают видимость выхода патчей, тогда как на самом деле многие баги остаются неисправленными.

Проблема обновления Android-устройств всегда стояла очень остро. В настоящее время разработчики Google каждый месяц выпускают набор обновлений безопасности для своей ОС, а далее эти патчи попадают в руки производителей многочисленных устройств, которые должны самостоятельно адаптировать обновления для своих продуктов и донести их до конечных пользователей. К сожалению, фрагментация рынка по-прежнему велика, а вендоры по-разному относятся к своим обязанностям. Из-за этого многие устройства не получают важных обновлений вовсе.

Нол и Лелл, однако, обнаружили, что и без того печальное положение вещей на самом деле выглядит еще хуже. На протяжении двух лет специалисты тщательно изучали состав обновлений безопасности, выпускаемых крупнейшими производителями устройств на базе Android, и проделали огромную работу, изучив свыше 1200 смартфонов.

Как показало исследование, многие производители хитрят во время выпуска обновлений. Хотя они утверждают, что их устройства получили все актуальные патчи, это ложь, так как некоторые исправления, по неизвестным причинам, «выпадают» из списков и в итоге вообще не доходят до пользователей, о чем те даже не могут узнать. Эксперты объясняют, что порой некоторые патчи не получают даже устройства Pixel.

«Иногда эти ребята просто изменяют дату, не устанавливая никаких патчей. Видимо, дело в маркетинге, они просто ставят уровень обновлений на произвольную дату, которая выглядит лучше всего, — рассказали эксперты журналистам Wired. — Мы обнаружили, что некоторые производители не установили ни единого патча, но меняли даты выхода обновлений на протяжении многих месяцев».

Чаще всего, проблема носит менее масштабный характер. Так, на большинстве устройств Sony и Samsung может не хватать лишь пары обновлений, что может быть простой случайностью. Однако в некоторых случаях все обстоит гораздо хуже. Так, смартфоны J3, выпущенные Samsung в 2016 году, должны иметь все обновления безопасности за 2017 год, но на самом деле 12 патчей не хватает, причем два исправления критические.

При этом Нол и Лелл объясняют, что зачастую «бутылочным горлышком» на пути обновлений становятся производители чипсетов, а не сами изготовители смартфонов. К примеру, компания Mediatek зачастую «забывает» о 9-10 патчах, выход которых происходит значительно позже заявленных дат.

В целом аналитики Security Research Labs пришли к следующим выводам, относительно крупных производителей:

  • 0-1 пропущенных патчей: Google, Sony, Samsung, Wiko Mobile;
  • 1-3 пропущенных патчей: Xiaomi, OnePlus, Nokia;
  • 3-4 пропущенных пата: HTC, Huawei, LG, Motorola;
  • 4 и более пропущенных патчей: TCL, ZTE.

Для проверки устройств на предмет установленных патчей исследователи создали специальное бесплатное приложение SnoopSnitch, которое позволяет узнать, какие исправления на самом деле установлены на устройстве.

SnoopSnitch

Ссылка на основную публикацию
Adblock
detector