En analyse af officielle firmware builds udgivet i de sidste to år afslører, at Android OEM'er bliver bedre til at udrulle sikkerhedsrettelser.
Tilbage i 2018 offentliggjorde forskere fra Security Research Labs (SRLabs) et papir, der fremhævede, hvordan flere Android OEM'er erklærede Android Security Patch-niveauer, men faktisk ikke inkorporerede alle de nødvendige patches på deres enheder. Avisen vakte en del opsigt i Android-fællesskabet, og Google iværksatte efterfølgende en undersøgelse af hver enhed med en noteret "patch gap." Det ser ud til, at Googles undersøgelse har haft en positiv effekt på Android-patch-økosystemet, som en nylig rapport fra ZDNet påpeger, at Android OEM-patch-rater har vist betydelige forbedringer i de sidste to år.
Rapporten citerer den seneste analyse udgivet af SRLabs, der tager højde for officielle firmware builds udgivet indtil 2019. SRLabs har sporet disse builds for at bestemme, hvor hurtigt OEM'er opdaterer enheder med det seneste Android Security Patch Level, efter at Google har udgivet den månedlige Android Security Bulletin. Firmaet crowdsourcede data fra brugere, der havde deres
OEM'er savnede at implementere halvt så mange patches i 2019, som de gjorde i 2018. SRLabs omtaler dette som "rate of missed patches", som for 2019 var under 0,4 og for 2018 var 0,7. Denne værdi er gennemsnittet af alle ubesvarede patches pr. OEM. De talte kun kritiske og høje sværhedsgrader i denne bestemmelse.
Månedlige sikkerhedsopdateringer blev leveret til brugerne cirka 15 % hurtigere samlet set, faldende fra et gennemsnit på 44 dage til et gennemsnit på 38 dage. For at få disse resultater tilnærmede SRLabs forskellen mellem byggedatoen for hver firmware og patch-niveaudatoen for den pågældende firmware.
Android-økosystemet er stadig fragmenteret, da mange OEM'er skal anvende sikkerhedsrettelser til mange forskellige Android-versioner. Derudover bruger mange brugere stadig enheder på ikke-understøttede EOL-versioner. SRLabs fandt ud af, at kun 30 % af de unikke uploads i 2019 var fra brugere, der kører Android 9 Pie eller nyere.
OEM'er havde en tendens til at lappe deres mest udbredte Android-versioner hurtigere end deres mindre udbredte version. For Samsung og Xiaomi var det Android 7.1.1, mens det for ASUS var Android 9. Nogle OEM'er, som Google og HMD Global, patchede deres enheder utroligt hurtigt. SRLabs tilskriver dette det faktum, at disse OEM'er bruger vaniljebygninger og også frigiver færre enheder end nogle af de andre. Hvis du er interesseret i at lære mere om, hvordan månedlige Android-sikkerhedspatch-opdateringer fungerer, kan du tjekke vores detaljerede forklaring ved at følge dette link.
Kilde: SRLabs
Via: ZDNet