Analiza oficjalnych wersji oprogramowania sprzętowego wydanych w ciągu ostatnich dwóch lat pokazuje, że producenci OEM Androida są coraz lepsi we wdrażaniu poprawek zabezpieczeń.
W 2018 roku badacze z Security Research Labs (SRLabs) opublikowali artykuł, w którym podkreślili, że kilku producentów OEM systemu Android deklarowało poziomy poprawek zabezpieczeń systemu Android, ale w rzeczywistości nie zawierały wszystkich niezbędnych poprawek na swoich urządzeniach. Artykuł wywołał spore zamieszanie w społeczności Androida, a następnie Google wszczął dochodzenie w sprawie każdego urządzenia wyposażonego w zanotowano „lukę w łatce”. Jak wynika z niedawnego raportu, wygląda na to, że dochodzenie Google miało pozytywny wpływ na ekosystem poprawek do Androida z ZDNet Zwraca uwagę, że w ciągu ostatnich dwóch lat liczba poprawek OEM do Androida znacznie się poprawiła.
W raporcie przytacza się najnowszą analizę opublikowaną przez SRLabs, która uwzględnia oficjalne kompilacje oprogramowania sprzętowego wydane do 2019 roku. SRLabs śledzi te kompilacje, aby określić, jak szybko producenci OEM aktualizują urządzenia do najnowszego poziomu poprawek zabezpieczeń Androida po opublikowaniu przez Google comiesięcznego Biuletynu zabezpieczeń Androida. Firma pozyskała dane od użytkowników, którzy je posiadali
SnoopSnitch zainstalowano aplikację i zidentyfikowano około 10 000 unikalnych wersji oprogramowania sprzętowego z poziomami poprawek z 2018 r. oraz 7000 unikalnych wersji oprogramowania sprzętowego z poziomami poprawek z 2019 r. Na podstawie zebranych danych SRLabs opublikowało następujące informacje:Producenci OEM nie wdrożyli w 2019 r. o połowę mniej poprawek niż w 2018 r. SRLabs nazywa to „wskaźnikiem pominiętych poprawek”, który w 2019 r. wyniósł poniżej 0,4, a w 2018 r. wyniósł 0,7. Wartość ta jest średnią wszystkich pominiętych poprawek na producenta OEM. W tym ustaleniu zliczyli tylko poprawki krytyczne i o wysokiej ważności.
Miesięczne aktualizacje zabezpieczeń były dostarczane użytkownikom ogólnie o około 15% szybciej, skracając się ze średnio 44 dni do średnio 38 dni. Aby uzyskać te wyniki, firma SRLabs oszacowała różnicę między datą kompilacji każdego oprogramowania sprzętowego a datą poziomu poprawki tego oprogramowania.
Ekosystem Androida jest nadal rozdrobniony, ponieważ wielu producentów OEM musi stosować poprawki zabezpieczeń do wielu różnych wersji Androida. Ponadto wielu użytkowników nadal korzysta z urządzeń w nieobsługiwanych wersjach EOL. SRLabs odkryło, że tylko 30% unikalnych plików przesłanych w 2019 r. pochodziło od użytkowników korzystających z Androida 9 Pie lub nowszego.
Producenci OEM zwykle łatali najczęściej wdrażane wersje Androida szybciej niż ich rzadziej wdrażane wersje. W przypadku Samsunga i Xiaomi był to Android 7.1.1, natomiast w przypadku ASUSa był to Android 9. Niektórzy producenci OEM, tacy jak Google i HMD Global, niewiarygodnie szybko łatali swoje urządzenia. SRLabs przypisuje to faktowi, że ci producenci OEM korzystają z prostych kompilacji i wypuszczają mniej urządzeń niż niektórzy inni. Jeśli chcesz dowiedzieć się więcej o działaniu comiesięcznych aktualizacji poprawek zabezpieczeń systemu Android, zapoznaj się z naszym szczegółowym wyjaśnieniem, klikając poniżej ten link.
Źródło: SRLabs
Przez: ZDNet