Аналіз офіційних збірок мікропрограм, випущених за останні два роки, показує, що OEM-виробники Android стають кращими у розгортанні патчів безпеки.
Ще в 2018 році дослідники з Security Research Labs (SRLabs) опублікували статтю, в якій висвітлювали, як кілька OEM-виробників Android оголошували рівні виправлень безпеки Android, але насправді не включали всі необхідні виправлення на своїх пристроях. Стаття викликала неабиякий резонанс у спільноті Android, і згодом Google розпочав розслідування щодо кожного пристрою з a помічений "патч розрив". Схоже, що розслідування Google позитивно вплинуло на екосистему виправлень Android, згідно з нещодавнім звітом від ZDNet зазначає, що за останні два роки кількість виправлень Android OEM показала значне покращення.
У звіті цитується останній аналіз, опублікований SRLabs, який враховує офіційні версії прошивки, випущені до 2019 року. SRLabs відстежує ці збірки, щоб визначити, як швидко OEM-виробники оновлюють пристрої за допомогою останнього рівня безпеки Android після того, як Google опублікує щомісячний бюлетень безпеки Android. Фірма збирала дані від користувачів, які мали свої
SnoopSnitch встановлено програму, і вони визначили близько 10 000 унікальних збірок мікропрограми з рівнями виправлень з 2018 року, а також 7000 унікальних збірок мікропрограми з рівнями виправлень з 2019 року. На основі зібраних даних SRLabs оприлюднила таку інформацію:Виробники оригінального обладнання не впровадили вдвічі менше виправлень у 2019 році, ніж у 2018 році. SRLabs називає це «коефіцієнтом пропущених патчів», який у 2019 році був нижче 0,4, а в 2018 році — 0,7. Це середнє значення всіх пропущених патчів на OEM. У цьому визначенні вони враховували лише критичні та високосерйозні патчі.
Щомісячні оновлення системи безпеки доставлялися користувачам приблизно на 15% швидше, зменшившись у середньому з 44 днів до 38 днів. Щоб отримати ці результати, SRLabs приблизно оцінив різницю між датою збірки кожної мікропрограми та датою виправлення цієї мікропрограми.
Екосистема Android все ще фрагментована, оскільки багатьом виробникам обладнання доводиться застосовувати виправлення безпеки для різних версій Android. Крім того, багато користувачів досі використовують пристрої на непідтримуваних версіях EOL. SRLabs виявив, що лише 30% унікальних завантажень у 2019 році були від користувачів з Android 9 Pie або новішої версії.
OEM-виробники, як правило, виправляли свої найпоширеніші версії Android швидше, ніж менш поширені версії. Для Samsung і Xiaomi це був Android 7.1.1, а для ASUS – Android 9. Деякі OEM-виробники, як-от Google і HMD Global, виправляли свої пристрої неймовірно швидко. SRLabs пояснює це тим фактом, що ці OEM-виробники використовують ванільні збірки, а також випускають менше пристроїв, ніж деякі з інших. Якщо вам цікаво дізнатися більше про те, як працюють щомісячні оновлення безпеки Android, ви можете ознайомитися з нашим детальним поясненням, виконавши це посилання.
Джерело: SRLabs
Через: ZDNet