Varnostni raziskovalci so odkrili, da je več proizvajalcev originalne opreme za Android lagalo ali napačno predstavljalo, kateri varnostni popravki so nameščeni na njihovi napravi. Včasih celo posodobijo niz varnostnega popravka, ne da bi dejansko karkoli popravili!
Kot da stanje z varnostno posodobitvijo za Android ne bi moglo biti še slabše, se zdi, da so nekatere proizvajalce naprav Android ujeli na laži o tem, kako varni so v resnici njihovi telefoni. Z drugimi besedami, nekateri proizvajalci naprav so trdili, da njihovi telefoni izpolnjujejo določeno raven varnostnih popravkov, čeprav v resnici njihovi programski opremi manjkajo potrebni varnostni popravki.
To je glede na Žično ki je poročal o raziskavi, ki naj bi bila objavljeno jutri na varnostni konferenci Hack in the Box. Raziskovalca Karsten Nohl in Jakob Lell iz Security Research Labs sta zadnji dve leti porabila za obratno inženirstvo na stotine naprav Android, da bi preverili, ali so naprave res varne pred grožnjami, za katere trdijo, da so varne proti. Rezultati so osupljivi - raziskovalci so odkrili precejšnjo "razkorak" med številnimi telefoni poročilo o ravni varnostnega popravka in katere ranljivosti so ti telefoni dejansko zaščiteni proti. »Vrzel v popravkih« se razlikuje med napravo in proizvajalcem, vendar glede na Googlove zahteve, kot so navedene v mesečnih varnostnih biltenih, sploh ne bi smela obstajati.
The Google Pixel 2 XL teče na prvi Predogled za razvijalce za Android P z Varnostni popravki iz marca 2018.
Po mnenju raziskovalcev so nekateri izdelovalci naprav Android šli celo tako daleč, da so namerno napačno predstavili raven varnostnega popravka naprave tako, da preprosto spreminjanje datuma, prikazanega v nastavitvah, ne da bi dejansko namestili kakršne koli popravke. To je neverjetno enostavno ponarediti – celo vi ali jaz bi lahko to naredili na zakoreninjeni napravi s spreminjanjem ro.build.version.security_patch v gradnji.prop.
Od 1200 telefonov več kot ducata proizvajalcev naprav, ki so jih testirali raziskovalci, je skupina ugotovila, da celo naprave vrhunskih proizvajalcev naprav so imele "vrzeli v popravkih", čeprav so imeli manjši proizvajalci naprav na tem področju še slabše rezultate. Zdi se, da so Googlovi telefoni varni, ker serije Pixel in Pixel 2 niso napačno predstavile, katere varnostne popravke imajo.
V nekaterih primerih so raziskovalci to pripisali človeški napaki: Nohl meni, da so včasih podjetja, kot sta Sony ali Samsung, pomotoma spregledala popravek ali dva. V drugih primerih ni bilo razumne razlage, zakaj so nekateri telefoni trdili, da popravljajo določene ranljivosti, čeprav so v resnici pogrešali več kritičnih popravkov.
Ekipa v laboratorijih SRL je sestavila grafikon, ki glavne proizvajalce naprav kategorizira glede na to, koliko popravkov so zamudili od oktobra 2017 naprej. Za vsako napravo, ki je od oktobra prejela vsaj eno posodobitev varnostnega popravka, je SRL želel videti, katera naprava izdelovalci so bili najboljši in kateri so bili najslabši pri natančnem popravku svojih naprav glede na varnost tistega meseca bilten.
Jasno, Google, Sony, Samsung in manj znani Wiko so na vrhu seznama, TCL in ZTE pa na dnu. To pomeni, da sta zadnji dve podjetji zamudili vsaj 4 popravke med varnostno posodobitvijo za eno od svojih naprav po oktobru 2017. Ali to nujno pomeni, da sta TCL in ZTE kriva? Da in ne. Medtem ko je za podjetja sramotno napačno predstavljati raven varnostnega popravka, SRL poudarja, da so pogosto krivi prodajalci čipov: naprave, ki se prodajajo s čipi MediaTek, pogosto nimajo številnih kritičnih varnostnih popravkov ker MediaTek izdelovalcem naprav ne zagotovi potrebnih popravkov. Po drugi strani pa je veliko manj verjetno, da bodo Samsung, Qualcomm in HiSilicon zamudili zagotavljanje varnostnih popravkov za naprave, ki delujejo na njihovih naborih čipov.
Kar se tiče Googlovega odziva na to raziskavo, podjetje priznava njen pomen in je sprožilo preiskavo vsake naprave z opazno "vrzeljo v popravkih". Ni še nobene besede o tem, kako natančno Google namerava preprečiti to situacijo v prihodnosti, saj Google ne izvaja nobenih obveznih preverjanj, s katerimi bi zagotovil, da naprave uporabljajo raven varnostnega popravka, za katero trdijo, da teče. Če vas zanima, kateri popravki manjkajo vaši napravi, jih je ustvarila ekipa laboratorijev SRL aplikacija za Android, ki analizira vdelano programsko opremo vašega telefona za nameščene in manjkajoče varnostne popravke. Vsa potrebna dovoljenja za aplikacijo in potrebo po dostopu do njih si lahko ogledate tukaj.
Cena: brezplačno.
4.
Nedavno smo poročali, da se Google morda pripravlja razdelite ravni ogrodja Android in varnostnega popravka dobavitelja. Glede na te nedavne novice se to zdaj zdi bolj verjetno, zlasti ker gre večina krivde prodajalcem, ki svojim strankam ne zagotovijo pravočasnih popravkov čipov.