Android-OEM's zijn steeds beter geworden in het uitrollen van beveiligingspatches

Uit een analyse van officiële firmwareversies die de afgelopen twee jaar zijn uitgebracht, blijkt dat Android-OEM's steeds beter worden in het uitrollen van beveiligingspatches.

In 2018 publiceerden onderzoekers van Security Research Labs (SRLabs) een paper waarin werd benadrukt hoe verschillende Android-OEM's Android-beveiligingspatchniveaus declareerden, maar bevatten niet echt alle noodzakelijke patches op hun apparaten. De krant zorgde voor veel opschudding in de Android-gemeenschap en Google startte vervolgens een onderzoek naar elk apparaat met een merkte op "patch gap." Het lijkt erop dat het onderzoek van Google een positief effect heeft gehad op het Android-patch-ecosysteem, zo blijkt uit een recent rapport van ZDNet wijst erop dat de Android OEM-patchpercentages de afgelopen twee jaar aanzienlijke verbeteringen hebben laten zien.

Het rapport citeert de nieuwste analyse van SRLabs, waarin rekening wordt gehouden met officiële firmware-builds die tot 2019 zijn uitgebracht. SRLabs heeft deze builds gevolgd om te bepalen hoe snel OEM's apparaten updaten met het nieuwste Android-beveiligingspatchniveau nadat Google het maandelijkse Android-beveiligingsbulletin heeft gepubliceerd. Het bedrijf verzamelde de gegevens van gebruikers die hun gegevens hadden

SnoopSnitch applicatie geïnstalleerd en ze identificeerden ongeveer 10.000 unieke firmware-builds met patchniveaus uit 2018, samen met 7000 unieke firmware-builds met patchniveaus uit 2019. Op basis van de verzamelde gegevens heeft SRLabs de volgende informatie vrijgegeven:

OEM's hebben in 2019 de helft minder patches geïmplementeerd dan in 2018. SRLabs noemt dit het "percentage gemiste patches", dat voor 2019 lager was dan 0,4 en voor 2018 0,7. Deze waarde is het gemiddelde van alle gemiste patches per OEM. Bij deze bepaling telden ze alleen kritieke en zeer ernstige patches.

Maandelijkse beveiligingsupdates werden in het algemeen ongeveer 15% sneller aan gebruikers geleverd, wat daalde van gemiddeld 44 dagen naar gemiddeld 38 dagen. Om deze resultaten te verkrijgen, heeft SRLabs het verschil geschat tussen de builddatum van elke firmware en de patchniveaudatum van die firmware.

Het Android-ecosysteem is nog steeds gefragmenteerd, omdat veel OEM's beveiligingspatches op veel verschillende Android-versies moeten toepassen. Bovendien gebruiken veel gebruikers nog steeds apparaten met niet-ondersteunde EOL-versies. SRLabs ontdekte dat slechts 30% van de unieke uploads in 2019 afkomstig was van gebruikers met Android 9 Pie of nieuwer.

OEM's hadden de neiging hun meest gebruikte Android-versies sneller te patchen dan hun minder vaak gebruikte versie. Voor Samsung en Xiaomi was dat Android 7.1.1, terwijl dat voor ASUS Android 9 was. Sommige OEM's, zoals Google en HMD Global, hebben hun apparaten ongelooflijk snel gepatcht. SRLabs schrijft dit toe aan het feit dat deze OEM's standaardversies gebruiken en ook minder apparaten uitbrengen dan sommige anderen. Als u meer wilt weten over hoe maandelijkse updates van de Android-beveiligingspatch werken, kunt u onze gedetailleerde uitleg hieronder bekijken deze link.


Bron: SRLabs

Via: ZDNet