Výrobcovia Android OEM sa zlepšujú v zavádzaní bezpečnostných opráv

V roku 2018 výskumníci z laboratórií Security Research Labs (SRLabs) zverejnili dokument, v ktorom zdôraznili, ako niekoľko výrobcov OEM systému Android deklarovalo úrovne opráv zabezpečenia systému Android, ale v skutočnosti nezahŕňali všetky potrebné záplaty na ich zariadeniach. Noviny spôsobili v komunite Androidu značný rozruch a spoločnosť Google následne začala vyšetrovanie každého zariadenia s a poznamenal "patch gap". Zdá sa, že vyšetrovanie spoločnosti Google malo pozitívny vplyv na ekosystém opráv pre Android, ako uvádza nedávna správa od ZDNet poukazuje na to, že miera opráv pre Android OEM zaznamenala za posledné dva roky výrazné zlepšenie.

Správa cituje najnovšiu analýzu vydanú spoločnosťou SRLabs, ktorá zohľadňuje oficiálne zostavy firmvéru vydané do roku 2019. SRLabs sledoval tieto zostavy, aby zistil, ako rýchlo výrobcovia OEM aktualizujú zariadenia pomocou najnovšej úrovne opráv zabezpečenia systému Android po tom, ako spoločnosť Google zverejní mesačný bulletin zabezpečenia systému Android. Spoločnosť získavala údaje od používateľov, ktorí ich mali

SnoopSnitch nainštalovanú aplikáciu a identifikovali približne 10 000 jedinečných verzií firmvéru s úrovňami opráv z roku 2018 spolu so 7 000 jedinečnými zostavami firmvéru s úrovňami opráv z roku 2019. Na základe zhromaždených údajov spoločnosť SRLabs zverejnila nasledujúce informácie:

Výrobcovia OEM nestihli v roku 2019 implementovať o polovicu menej opráv ako v roku 2018. SRLabs to označuje ako „mieru zmeškaných záplat“, ktorá bola v roku 2019 nižšia ako 0,4 a v roku 2018 bola 0,7. Táto hodnota je priemerom všetkých zmeškaných opráv na OEM. Pri tomto určovaní započítali iba kritické a vysoko závažné záplaty.

Mesačné aktualizácie zabezpečenia boli používateľom doručované celkovo o 15 % rýchlejšie, čo sa skrátilo z priemerných 44 dní na priemerných 38 dní. Na získanie týchto výsledkov spoločnosť SRLabs aproximovala rozdiel medzi dátumom zostavenia každého firmvéru a dátumom úrovne opravy tohto firmvéru.

Ekosystém Androidu je stále fragmentovaný, pretože mnohí výrobcovia OEM musia aplikovať bezpečnostné záplaty na mnoho rôznych verzií Androidu. Okrem toho mnohí používatelia stále používajú zariadenia na nepodporovaných verziách EOL. SRLabs zistil, že iba 30 % jedinečných nahraní v roku 2019 pochádzalo od používateľov so systémom Android 9 Pie alebo novším.

Výrobcovia OEM mali tendenciu opravovať svoje najrozšírenejšie verzie systému Android rýchlejšie ako ich menej nasadzované verzie. Pre Samsung a Xiaomi to bol Android 7.1.1, zatiaľ čo pre ASUS to bol Android 9. Niektorí výrobcovia OEM, ako napríklad Google a HMD Global, opravili svoje zariadenia neuveriteľne rýchlo. SRLabs to pripisuje skutočnosti, že títo výrobcovia OEM používajú vanilkové zostavy a tiež vydávajú menej zariadení ako niektoré iné. Ak máte záujem dozvedieť sa viac o tom, ako fungujú mesačné aktualizácie bezpečnostných opráv pre Android, môžete si prečítať náš podrobný vysvetľujúci postup tento odkaz.

---

Zdroj: SRLabs

Cez: ZDNet