Il mio telefono Android è vulnerabile, ma non ci sono aggiornamenti?

Naviga le tue risposte
55

Ho acquistato il nuovissimo HTC Desire 526G con il sistema operativo 4.4.2 (Kitkat), tutto è come dovrebbe essere (non radicato), quindi è ancora alle impostazioni di fabbrica.

Ma ora non ricevo da molto tempo alcun aggiornamento per la sicurezza, ho controllato manualmente in system updates e dice: There are no updates available for your phone.

Se controllo la mia versione di Android, dice: 4.4.2 & Livello patch sicurezza Android: 2016-01-01 , ma nello stesso tempo se vado su dettagli CVE, ho fondato un sacco di vulnerabilità per questo sistema.

Inoltre ho installato X-Ray di Duo Security per verificare se il mio sistema è vulnerabile a qualsiasi exploit e mi ha dato un risultato positivo risultato, che il mio dispositivo è vulnerabile a diversi.

Che cosa posso fare nella mia situazione, intendo come posso aggiornare il mio dispositivo Android per proteggerlo da vulnerabilità conosciute?

    
posta user134969 25.06.2017 - 05:35
fonte

3 risposte

59

In sostanza si sta chiedendo cosa fare se si utilizza un software che è noto per essere vulnerabile ma dove non sono disponibili aggiornamenti. Questo problema non è limitato ai telefoni Android, ma lo troverai ovunque, ad esempio in dispositivi IoT come router o fotocamere, ma anche con software sul PC che supporta solo per un periodo di tempo limitato.

La risposta dovrebbe essere ovvia: o sostituire il software (o il dispositivo) con uno senza vulnerabilità note (e ottenere comunque aggiornamenti) o ridurre il rischio di infezione diminuendo la superficie di attacco.

Nel caso di un telefono Android l'opzione migliore sarebbe probabilmente quella di ottenere software alternativi e ancora supportati come LineageOS. Se nessun software alternativo supporta il tuo dispositivo, potrebbe essere necessario ottenere un nuovo telefono con software ancora supportato e questa volta si spera da un rivenditore noto per un supporto migliore.

Se nulla di tutto ciò è possibile o se i costi non corrispondono al rischio presunto, potresti ridurre la superficie di attacco per ridurre il rischio di un exploit contro il tuo dispositivo. Questo può essere fatto senza connessione di rete (né mobile, WiFi o Bluetooth) e rimuovendo tutte le app di cui non hai realmente bisogno. Se hai root sul telefono, puoi installare anche del firewall su di esso per limitare il traffico di rete a solo alcune app selezionate.

Si noti che non esiste una sicurezza perfetta anche con il software supportato. Quanto impegno e costo investi per la protezione dipende molto da ciò che devi proteggere. Se non ci sono dati sensibili sul dispositivo, si potrebbe accettare un rischio limitato utilizzandolo nella rete mobile e magari in una rete WiFi limitata (in modo che non possa essere utilizzato per sfruttare altri sistemi nella rete domestica). Se invece hai dati sensibili sul dispositivo dovresti probabilmente investire di più e ottenere un dispositivo ancora supportato da un fornitore con aggiornamenti rapidi.

    
risposta data 25.06.2017 - 07:44
fonte
18

Questo è un problema diffuso con quasi tutti i fornitori di telefoni Android.

Sospetto (solo il sospetto, temo) che lo facciano per aumentare le vendite dei loro nuovi modelli. Ho provato a contattare i fornitori e ho ricevuto risposte che variano da "attendere, un aggiornamento è in corso" (no non lo era), a "non stiamo più pubblicando aggiornamenti per quel vecchio modello" (se questo è il caso, il più delle volte il venditore semplicemente non risponde).

Le tue opzioni:

  • balla al loro ritmo, compra un nuovo telefono (ripeti questo ogni anno circa)
  • se il tuo telefono lo supporta, inserisci un sistema operativo personalizzato su (CyanogenMod o simile) (ma poi, per quanto tempo il sistema operativo personalizzato supporterà gli aggiornamenti sul tuo vecchio telefono?)

Temo che noi (i consumatori) non siamo proprio i vincitori di questo gioco.

    
risposta data 25.06.2017 - 05:44
fonte
8

È un po 'tardi per te ora (immagino), ma come fan di Android mi assicuro e compro solo i telefoni dei produttori che so fornire aggiornamenti regolari sulla sicurezza. In passato avevo telefoni che ricevevano effettivamente zero aggiornamenti di sicurezza per tutta la durata del dispositivo, e non volevo doverli preoccupare di nuovo.

Per essere chiari, la ragione per cui questo accade è perché Android è un sistema open source utilizzato dai produttori di telefoni, e non c'è assolutamente nulla che li costringa ad aggiornare i loro telefoni in modo tempestivo. Molti produttori apportano le proprie modifiche al sistema Android di serie, il che significa che un aggiornamento non è nemmeno una semplice questione di passare gli aggiornamenti da Google. Dovrebbero invece incorporare eventuali modifiche al sistema Android alle proprie build, verificare che tutto funzioni ancora e quindi distribuire i nuovi bundle. Può essere un processo molto dispendioso in termini di tempo e denaro (a meno che il produttore non ne preveda specificatamente la gestione), e il fatto è che alla maggior parte della gente non interessa. Quindi, finché non ci sarà una chiara spinta da parte dei consumatori per aggiornamenti regolari e una migliore sicurezza, non accadrà. Per essere chiari, quel livello di domanda guidata dal consumatore non accadrà mai.

Ecco un elenco (abbastanza recente) di dispositivi che ricevono effettivamente gli aggiornamenti:

link

Inoltre, ecco un articolo che ti dà un'idea di come si presenta lo stato delle cose e del fatto che persino Google non è molto felice al riguardo:

link

Ricordagli la prossima volta che ricevi un nuovo telefono. Nel frattempo, le altre risposte qui hanno alcuni ottimi consigli per ora.

    
risposta data 26.06.2017 - 17:05
fonte

Leggi altre domande sui tag

Confronto tra AppArmor e Selinux E 'una buona idea usare l'intera gamma Unicode per generare una password casuale piuttosto che intervalli limitati? [duplicare]