블랙 베리의 DTEK50 보안 바를 높이는 데 실패 검토

4 년 전 나는 회사가 탈선하기 시작하면서 남아있는 몇 안되는 블랙 베리 사용자 중 한 명이었다.

현재이 회사는 안드로이드가 트랙에서 다시 찾을 수 있다고 생각합니다. 그것의 데뷔 안드로이드 스마트 폰은 툭 떨어 뜨 렸지만, 그것은 “세계에서 가장 안전한 안드로이드 스마트 폰”으로 오늘 청구되는 그것의 reinvented BlackBerry DTEK50으로 스스로를 바꿀 수 있기를 희망한다.

많은 사람들이 같은 문장에서 “안드로이드”와 “보안”이 모순이 아닌 다른 것이 될 수 있다고 생각하지 않는다는 점을 감안할 때, 대부분 확인되지 않고 검증되지 않은 주장이 우리주의를 끌기에 충분했습니다.

이러한 주장을 2 주 동안 조사한 결과, 여기에 우리가 배운 것이 있습니다.

블랙 베리의 DTEK50은 대부분의 경우 애플의 아이폰과 구글의 넥서스와 같은 다른 보안 장치의 보안 기능과 잘 어울리는 패셔너블 한 스마트 폰이다. 그러나 DTEK50은 의미있는 방식으로 보안 바를 수행하거나 향상시킬 수 없었습니다. 그로 인해 우리는 이것이 “세계에서 가장 안전한 안드로이드 스마트 폰”이라는 회사의 주장에 이의를 제기합니다.

보안 관련자에게 물어 보면 정기적 인 패치 일정을 유지하는 것이 가장 잘 알려진 보안 문제를 제거하는 가장 효과적인 방법입니다. 그래서 작년에 “스테이지 프리트 (Stagefright)”취약점으로 인해 Google은 매월 보안 패치를 제공하기 시작했습니다.

Google의 자체 브랜드 Nexus 기기는 패치를 먼저 제공하고 다른 회사는 앞으로 며칠 및 몇 주 후에 팔로우 – 일부는 일정을 유지하지 않을 것입니다.

블랙 베리는 보안 문제에 대한 당일 치기 패치를 제공 할 것이라고 발표했다.이 패치는 구글이나 구글 파트너들이 공개 한 보안 패치에 대해 “제로 데이 패치”(일반적인 악성 코드 설명자의 혼동 스럽다)라고 설명했다.

이것이 가장 중요한 보안 전문가와 개인 정보 보호에 관심있는 사람들의 말입니다.

신속한 보안 패치가 효과적입니다.

이 작은 6 달러짜리 가제트를 통해 호텔 객실로 침입 할 수 있으며 Microsoft는 해커가 사용자 이름과 암호를 도용 할 수있는 Windows 결함을 수정하지 않으며 암호화 ransomware는 이제 공격자 비즈니스 모델을 ‘신뢰할 수있는’공격자 모델로 만들었으며 해커는 지프를 다시 한 번 하이재킹합니다. ; 해커가 위험한 링크를 ‘사실상 모든 사람이 클릭’할 수있는 방법, Samsung Pay의 결함으로 해커가 신용 카드를 무선으로 훑어 볼 수 있음, Quadrooter의 결함으로 9 억 대의 안드로이드 기기가 위험에 처해 있음

블랙 베리는 그 스케줄 밖에서 공개되는 문제를 해결할 수 있다면 그렇게 할 것이라고 말했다.

이를 테스트 할 실제 방법은 없습니다. DTEK50이 제조 라인에서 곧바로 취약 해졌고, “Quadrooter”라는 4 가지 새로운 보안 결함 중 하나에 빠진 것을 발견했을 때, 우리는 운이 좋았습니다. – Google의 월간 패치 계획에 대한 최신 정보 임에도 불구하고.

결함 중 세 개는 이미 수정되어 7 월의 매월 보안 패치의 일환으로 출시되었습니다. 네 번째 문제를 해결하기 위해 고발 된 Qualcomm은 긴급 패치를 발표했지만 9 월까지는 널리 배포되지 않습니다.

이 리뷰를 쓰는 시점에서 블랙 베리는 쿼드 로이터 결함을 패치하지 않았으며, 블랙 베리 대변인은 반복적 인 이메일에 답장을 보내지 않았다. (업데이트 :이 보안 분석이 게시 된 후 BlackBerry는 잠금 해제 된 전화에 대한 패치를 릴리스했음을 확인했지만 이동 통신사에 연결된 사용자는 이동 통신사에서 승인을 얻을 때까지 패치를받지 못합니다.)

패치를 더 빨리 그리고 정기적으로 제공함으로써 안드로이드의 패치 일정은 애플의 것보다 틀림없이 더 좋을 것입니다. 이것은 엉뚱한 것이고 일반적으로 다른 소프트웨어 개선과 번들되었을 때만 발표됩니다.

그러나 좋은 패치 관리는 실제로 적용될 때만 작동합니다.

휴대 전화의 하드웨어 루트 또는 보안 부팅 프로세스에 대해 알지 못할 수도 있지만 휴대 전화의 보안 무결성을 유지하는 데 중요한 부분입니다.

전화의 스위치 온 절차의 모든 프로세스는 암호로 서명됩니다. 즉, 해커가 부트 프로세스에서 아무 것도 변경하지 않으면 코드가 일치하지 않고 프로세스가 중지됩니다. 예를 들어 악성 코드가 발견되면 전화가 부팅되지 않아 데이터가 해독되지 않습니다. 죽은 사람의 스위치라고 생각하십시오. (그리고 블랙 베리는 심층적 인 블로그 게시물에서 자세히 설명합니다).

(웹 사이트/)

그런 이유로 애플은 수년 동안 아이폰에 이러한 기능을 포함시켰다. 녹녹스 기술이 탑재 된 현대의 삼성 폰도 그렇다.

안드로이드는 구운이 기능을 제공하지만, 운영체제의 최신 버전 인 안드로이드 Nougat가 출시 될 때 엄격하게 적용되는 기능이 될 것입니다.

임원들은 DTEK50이 출시 된 지 몇 개월 만에 새로운 소프트웨어를 얻게되면 전화 부팅 프로세스가 훨씬 더 강력해질 것이라고 말했다. 그 동안 좋은 시작이지만 보안 바늘을 앞으로 밀지는 않습니다.

암호화는 지난 한 해 동안 논란이되었던 주제가되었습니다. 주로 애플이 하드웨어와 소프트웨어 패키지를 통제하기 때문에 애플은 먼저 시장에서 벗어났다. Android는 성능 및 조각화 문제로 인해 어려움을 겪었습니다.

현대의 모든 iPhone 및 Android Marshmallow 기기와 마찬가지로 DTEK50은 점점 더 보편화 된 스마트 폰 기능인 풀 디스크 암호화 기능을 갖추고 있습니다.

블랙 베리는 또한 공격자가 데이터를 추출하거나 장치를 제어하기가 더 어렵다는 안드로이드의 “강화”노력을 강요한다. 이러한 기능 중 하나는 “향상된 난수”생성을 포함합니다. 여기에 대해서는 더 자세히 설명했습니다.

짧은 버전은이 점에 대해 우리에게 이야기 한 암호 작성자에 따르면 블랙 베리의 단호한 노력이 “전화의 보안을 의미있게 바꿀 수는 없다”고 말했습니다. 왜냐하면 회사는 부서지기 쉬운 것을 고치려고하기 때문입니다. 블랙 베리는 보안 전문가가 검사하거나 검증 할 수없는 암호화 기능을 향상시키기 위해 비밀리 고 독점적 인 방법을 사용했기 때문에 전화가 안전 할 수 있지만 방법과 이유를 알기 전까지는 ( 전화를 완전히 신뢰하지 않아야합니다.)

처음으로 Priv로 데뷔 한 폰의 주력 앱에 대한 나의 가장 큰 불만은 아무것도하지 않았으며 여전히 그렇지 않다는 것이다.

당신이 그것을 놓친 경우에, 전화는 그것의 기함 app, DTEK의 이름을 따서 붙여진다. 이 앱은 홈 화면에 자리 잡고 있으며 휴대 전화의 게이트웨이 상태 대시 보드 역할을합니다. 강력한 패스 코드가 설정된 경우와 앱이 휴대 전화의 기능을 사용하는 경우와 같이 기기 보안 수준을 알려줍니다. 악의적 인 앱이 카메라 또는 마이크를 트리거하는 경우 알려주지 만 차단하지는 않습니다.

(웹 사이트/)

블랙 베리는 앱이 “지속적으로”개선 될 것이라고 말한 데이비드 클라이더마허 (David Kleidermacher)의 약속에도 불구하고 앱이 처음으로 프리 롤에 공개 된 이래로 앱이 변경되지 않았다고 밝혔다.

처음으로 앱에 대한 가혹한 표현이있었습니다.

“DTEK는 정보 유출 사건보다는 데이터 유출을 적극적으로 완화하는 개인 정보 보호 앱과는 달리 일이 언제 일어나는지 알려주는 정보 앱 이상은 아닙니다 […] 귀하의 데이터가 당신이 사용하는 다양한 애플 리케이션도 아니며, 애플 리케이션을 제거하는 것을 제외하고는 그것에 대해 많은 것을 할 수있는 옵션을 제공하지 않습니다. ”

이제 Priv와 DTEK50 모두 Android Marshmallow를 실행하고 있으며 두 휴대 전화에는 기본적으로 iPhone 스타일의 앱 권한이 있습니다. 따라서 앱을 세분화하고 액세스 할 수있는 권한을 갖게됩니다.

나는 안드로이드에 대한 승리로서, 블랙 베리의 부분에 대한 가치있는 향상에 대해서도 언급했다. 그럼에도 불구하고 DTEK50은 안드로이드 마쉬멜로 우나 아이폰을 구동하는 다른 장치와 동등하다.

보안 및 개인 정보 보호에 관해서 안드로이드는 이미 나쁜 랩을 가지고 있습니다. 그 인상을 높이는 것은 무엇이든 사업에 이익이 될 수 있습니다.

그러나 블랙 베리는 최초의 안드로이드 화신으로부터 어떤 교훈도 얻지 못했고, 그 자체의 입회로 인해 전화 보안이 향상되지 않았다.

사례 : Alex Thurber, 글로벌 장치 판매 책임자는 Priv과 DTEK50이 DTEK50과 마찬가지로 “안전함”때문에 “가장 안전한 두 스마트 폰”이라고 회의에서 이야기했습니다.

현실은 마케팅 부서에서 자제 할 때 다른 제품이나 서비스처럼 보안 기능이 뛰어나지 않는 전화기에 직면하고 있습니다.이 제품은 전체 보안 기능을 손상시키지 않습니다.

허락하면 회사는 Quadrooter에 대해 미리 알지 못했습니다. 이른바 개인 정보 보호 앱은 차단하거나 완화하지 않으며 수동적으로 조언합니다. 우리는 하드웨어 개선을 환영 할 수는 있지만, 이미 세계 최고 보안 안드로이드 스마트 폰으로서의 지위를 얻기 위해서는 이미 높은 수준의 보안 바를 넘어 서기에 충분하지 않다.

보안 공간에서 동등하거나 더 나은 보안 기능을 갖춘이 전화기를 판매하고 판매하는 것은 사람들에게 허위의 희망을 줄 수 있으며 모든 장애물에 대해 해커와 공격자를 물리 칠 위험이있는 사람들에게는 위험합니다.

보안 연구원은 가장 안전한 스마트 폰이 대부분의 사람들에게 가장 유용하지 않다고 말합니다. 그러나 완벽 함이 없다면 많은 사람들이 다른 어떤 것보다 iPhone을 선택할 것입니다. 시도하고 테스트 한 iPhone은 정부의 고객 데이터 요구를 견딜 수있었습니다. 완벽한 것은 아니지만 하드웨어 및 소프트웨어에 대한 Apple의 독점적 인 폐쇄는 대부분의 다른 장치보다 훨씬 까다로운 작업이었습니다.

이제 가장 안전한 안드로이드 폰은 무엇입니까? 최선의 방법은 신속한 취약성 패치로 인해 취약성과 취약성이 가장 적은 Nexus 스마트 폰입니다.

보안

동부 표준시 오후 2시 25 분에 업데이트 :이 보안 분석 결과가 공개 된 후 블랙 베리는 남은 쿼드 로터 결함을 처음 공개 한 지 일주일 만에 패치했다.

Microsoft Sprightly, First Take : 스마트 폰에 매력적인 콘텐츠 만들기

하드웨어 루트 신뢰 및 보안 부팅 : 환영하지만 새로운 것은 아닙니다.

암호화는 표준이지만 Android에 대한 질문은 “강화”

DTEK의 앱은 화를 내고 알려주지 만 차단하지는 않습니다.

결론 : 보안, 두 가지 걸리지 만 교훈 없음

검은 모자 2016

BlackBerry DTEK50

Xplore Xslate D10, 첫 번째 시도 : 까다로운 환경을위한 까다로운 Android 태블릿

Kobo Aura ONE, First Take : 8GB 저장 용량의 대형 스크린 전자 리더기

Getac S410, 첫 번째 시도 : 거친 야외 친화적 인 14 인치 노트북