Sicurezza Android senza aggiornamenti

Naviga le tue risposte
27

Ho un telefono Android che, come molti altri, è diventato rapidamente non supportato e non riceve aggiornamenti. Allo stesso tempo ci sono exploit disponibili pubblicamente per le vulnerabilità di escalation dei privilegi, che vengono principalmente utilizzati per il rooting legittimo del telefono, tuttavia, per quanto posso vedere, non c'è nulla che impedisca a un utente malintenzionato di utilizzare questi exploit per bypassare completamente il sistema delle autorizzazioni Android. Questo è già fatto dalle applicazioni utilizzate per il rooting facile del dispositivo - non richiedono autorizzazioni speciali e sono in grado di eseguire gli exploit che danno loro pieno accesso al sistema.

Sembra che l'unica cosa che impedisce a un'applicazione normale nel mercato di aggirare tutte le restrizioni di Android e assumere il controllo di un dispositivo (che non riceve aggiornamenti) spera che Google possa catturare tutte queste applicazioni e vietarle dal mercato . Questo non mi sembra realistico. L'altra opzione è quella di eseguire una ROM personalizzata che spesso riceve aggiornamenti, supponendo che si fida degli sviluppatori ROM e supponendo che la ROM sia pienamente compatibile con il particolare dispositivo.

Quindi, le domande sono: è esatto, o mi sto perdendo qualcosa? E qual è la soluzione migliore per qualcuno che preferisce non occuparsi di ROM personalizzate?

    
posta android user 01.11.2011 - 00:49
fonte

3 risposte

21

Sì, questo è accurato. Se la tua versione del sistema operativo Android ha vulnerabilità note all'escalation dei privilegi, non c'è nulla che impedisca a un'applicazione malintenzionata di sfruttare una vulnerabilità di escalation dei privilegi e quindi di sfuggire alla sandbox (ad esempio, ottenere accesso illimitato al telefono).

Questa assenza di aggiornamenti di sicurezza è una lacuna dell'ecosistema Android. L'ecosistema fa affidamento sui produttori di cellulari e sui vettori per continuare a fornire aggiornamenti di sicurezza, ma molti produttori / operatori di telefonia mobile hanno rifiutato di farlo, per motivi economici. Trattano i telefoni come monouso e non mostrano sempre lealtà ai clienti più anziani. Una volta che il telefono ha qualche anno, smette di fornire aggiornamenti e si concentra sugli ultimi modelli lucenti che vengono venduti, dando la priorità alla vendita di nuovi dispositivi per supportare i clienti precedenti. Questo non è molto ecologico e non è particolarmente adatto al cliente. Penso che sia sfortunato, ma sembra essere un dato di fatto. E così via.

C'è una eccellente analisi di questo fenomeno di Michael DeGusta. Ecco una infografica che mostra i risultati della sua analisi:

Crediti:MichaelDeGustainTheUnderstatement.

Aggiornamento(26/12/2012):ArsTechnicaha una bella panoramica della situazione con gli aggiornamenti di Android, un anno dopo. Sfortunatamente, non è bello: le cose non sono migliorate e molti telefoni Android non ricevono aggiornamenti. I rischi per la sicurezza rimangono.

    
risposta data 01.11.2011 - 08:11
fonte
5

alcuni punti validi ... Personalmente scelgo il percorso personalizzato, mi riferisco alla fiducia dello sviluppatore, questo è vero ... Proprio come ogni altro progetto open source, basato sulla comunità. E per quanto riguarda Google, Apple, Microsoft, ecc. Trovo molto facile fidarsi di un progetto aperto rispetto a qualcosa di closed source. Queste sono le scelte che dobbiamo fare con tutte le piattaforme tecnologiche. FWIW, Cyanogen attualmente funziona per Google, quindi apparentemente si fidano di lui. (Sono sicuro che hai sentito parlare di Cyanogenmod, è quello che io e molti altri utilizziamo per la mia scelta)

non ci sono molte opzioni a livello di sistema operativo per ottenere aggiornamenti se i gestori non stanno andando a spingerli, senza andare su root / custom.

Per quanto riguarda le app nel marketplace, devi solo mantenere il buon senso, proprio come faresti per trovare e installare app per il tuo computer. Controlla le valutazioni, il feedback e il conteggio dei download di un'app. Questi sono di solito un buon indicatore.

    
risposta data 01.11.2011 - 01:18
fonte
0

Ovviamente è tutto un compromesso rischio / beneficio - anche il modello alternativo di Apple è difettoso. Diversi difetti, certo, ma ancora una volta devi fidarti di qualcosa.

Se sei preoccupato, vuoi veramente controllare il codice da solo o ottenere un revisore indipendente del codice che lo faccia per te. Molto difficile con Apple. Molto semplice con qualcosa come Cyanogen.

Per me, Android è l'unico sistema operativo che mi dà la funzionalità di cui ho bisogno su uno smartphone, quindi limito i miei rischi esaminando ogni installazione, eseguendo antivirus e in generale seguendo le buone pratiche.

Per Android ora - nel 2016 - più operatori offrono aggiornamenti, ma soprattutto è più facile acquistare telefoni indipendenti dall'operatore senza dover utilizzare root o utilizzare ROM personalizzate. Questi telefoni tendono ad avere aggiornamenti più frequenti, e finora sembra che il periodo di aggiornamento duri più a lungo.

    
risposta data 03.11.2011 - 10:04
fonte

Leggi altre domande sui tag

Qual è lo scopo del controllo redirect_uri di OAuth 2.0? Quali sono i vantaggi di Nessus rispetto a OpenVAS?