Актуализация, 13 април: Google даде следното изявление на на ръба:
Бихме искали да благодарим на Карстен Нол и Якоб Кел за постоянните им усилия за укрепване на сигурността на екосистемата на Android. Работим с тях, за да подобрим техните механизми за откриване, за да отчетем ситуации, при които дадено устройство използва алтернативна актуализация за защита вместо предложената от Google актуализация за защита. Актуализациите за защита са едно от многото слоеве, използвани за защита на устройства и потребители с Android. Вградените защити на платформата, като например пясъчника на приложенията, и услугите за сигурност, като Google Play Protect, са също толкова важни. Тези слоеве на сигурност – съчетани с огромното разнообразие на екосистемата на Android – допринасят за заключенията на изследователите, че отдалечената експлоатация на устройства с Android остава предизвикателство.
Пропуснатите корекции със сигурност правят телефона ви по-уязвим в сравнение с тези, които са актуални, но дори и да е така, това не означава, че сте напълно незащитени. Месечните корекции определено помагат, но има общи мерки, за да се гарантира, че всички телефони с Android имат известно ниво на подобрена сигурност.
Веднъж месечно Google актуализира Бюлетин за сигурността на Android и пуска нови месечни корекции за коригиране на уязвимости и грешки веднага щом се появят. Не е тайна, че много производители на оригинално оборудване бавно актуализират своя хардуер със споменатите пачове, но е така сега е открит че някои от тях твърдят, че са актуализирали телефоните си, когато всъщност нищо не се е променило.
Това разкритие беше направено от Karsten Nohl и Jakob Lell от Security Research Labs и техните открития бяха представени наскоро на тазгодишната конференция за сигурност Hack in the Box в Амстердам. Нол и Лел изследваха софтуера на 1200 телефона с Android от Google, Samsung, OnePlus, ZTE и други и след това, установиха, че някои от тези компании променят външния вид на корекцията за сигурност, когато актуализират своите телефони, без действително да инсталират тях.
Galaxy J3 на Samsung от 2016 г. твърди, че има 12 пача, които просто не са били инсталирани на телефона.
Някои от пропуснатите корекции се очаква да бъдат направени случайно, но Nohl и Lell се натъкнаха на определени телефони, при които нещата просто не се наредиха. Например, докато Galaxy J5 на Samsung от 2016 г. точно изброява корекциите, които има, J3 от същата година изглежда има всяка една корекция от 2017 г. насам, въпреки че липсват 12 от тях.
Проучването също така разкри, че типът процесор, използван в телефона, може да окаже влияние върху това дали той се актуализира с корекция за сигурност или не. Установено е, че устройствата с чипове Exynos на Samsung имат много малко пропуснати пачове, докато тези с MediaTek имат средно 9,7 липсващи пача.
След като преминаха през всички телефони в тяхното тестване, Nohl и Lell създадоха диаграма, очертаваща колко кръпки OEM производителите са пропуснали, но въпреки това твърдят, че са инсталирали. Компании като Sony и Samsung пропуснаха само между 0 и 1, но беше установено, че TCL и ZTE пропускат 4 или повече.
- 0-1 пропуснати корекции (Google, Sony, Samsung, Wiko)
- 1-3 пропуснати корекции (Xiaomi, OnePlus, Nokia)
- 3-4 пропуснати корекции (HTC, Huawei, LG, Motorola)
- 4+ пропуснати корекции (TCL, ZTE)
Малко след като тези констатации бяха обявени, Google каза, че ще започне разследване на всяко от тях виновни производители на оригинално оборудване, за да разберат какво точно се случва и защо потребителите са лъгани за това кои корекции правят и кои не имат.
Дори и с това казано, какво е вашето мнение за това? Изненадани ли сте от новината и ще има ли това влияние върху телефоните, които купувате в бъдеще? Звукът е изключен в коментарите по-долу.
Защо все още използвам BlackBerry KEYone през пролетта на 2018 г