Aktualizace, 13. dubna: Společnost Google poskytla následující prohlášení Verge:
Rádi bychom poděkovali Karstenu Nohlovi a Jakobu Kellovi za jejich pokračující úsilí o posílení bezpečnosti ekosystému Android. Spolupracujeme s nimi na vylepšení jejich detekčních mechanismů, aby byly zohledněny situace, kdy zařízení používá alternativní aktualizaci zabezpečení namísto aktualizace zabezpečení navržené společností Google. Aktualizace zabezpečení jsou jednou z mnoha vrstev používaných k ochraně zařízení Android a uživatelů. Neméně důležité jsou vestavěné ochrany platformy, jako je sandboxing aplikací, a bezpečnostní služby, jako je Google Play Protect. Tyto vrstvy zabezpečení – v kombinaci s obrovskou rozmanitostí ekosystému Android – přispívají k závěrům výzkumníků, že vzdálené využívání zařízení Android zůstává náročné.
Zmeškané záplaty jistě činí váš telefon zranitelnějším ve srovnání s těmi, které jsou aktuální, ale i tak to neznamená, že jste zcela nechráněni. Měsíční opravy rozhodně pomáhají, ale existují obecná opatření, která mají zajistit, aby všechny telefony Android měly určitou úroveň zvýšeného zabezpečení.
Jednou měsíčně Google aktualizuje Bulletin zabezpečení systému Android a vydává nové měsíční opravy, které opravují zranitelnosti a chyby, jakmile se objeví. Není žádným tajemstvím, že mnoho výrobců OEM pomalu aktualizuje svůj hardware pomocí zmíněných záplat, ale je to tak nyní objeveno že někteří z nich tvrdí, že aktualizovali své telefony, i když se ve skutečnosti vůbec nic nezměnilo.
Toto odhalení učinili Karsten Nohl a Jakob Lell z Security Research Labs a jejich zjištění byla nedávno prezentována na letošní bezpečnostní konferenci Hack in the Box v Amsterdamu. Nohl a Lell prozkoumali software 1200 telefonů Android od společností Google, Samsung, OnePlus, ZTE a dalších, a když tak učinili, zjistili, že některé z těchto společností mění vzhled bezpečnostních záplat při aktualizaci svých telefonů, aniž by je skutečně instalovaly jim.
Samsung Galaxy J3 z roku 2016 tvrdil, že má 12 záplat, které jednoduše nebyly do telefonu nainstalovány.
Očekává se, že některé z chybějících záplat budou vytvořeny náhodou, ale Nohl a Lell narazili na určité telefony, kde se věci prostě nesčítaly. Například zatímco Samsung Galaxy J5 z roku 2016 přesně vyjmenoval opravy, které měl, J3 ze stejného roku se zdálo, že má každý jednotlivý patch od roku 2017, přestože jich chybí 12.
Průzkum také odhalil, že typ procesoru použitého v telefonu může mít vliv na to, zda bude nebo nebude aktualizován pomocí bezpečnostní opravy. Bylo zjištěno, že zařízení s čipy Samsung Exynos mají velmi málo přeskočených záplat, zatímco zařízení s MediaTek měla v průměru 9,7 chybějících záplat.
Po testování všech telefonů Nohl a Lell vytvořili graf, který nastínil, kolik záplat OEM výrobci zmeškali, ale přesto tvrdili, že je nainstalovali. Společnosti jako Sony a Samsung chyběly pouze mezi 0 a 1, ale TCL a ZTE přeskočily 4 nebo více.
- 0-1 zmeškané opravy (Google, Sony, Samsung, Wiko)
- 1–3 zmeškané opravy (Xiaomi, OnePlus, Nokia)
- 3–4 zmeškané opravy (HTC, Huawei, LG, Motorola)
- 4+ zmeškané opravy (TCL, ZTE)
Krátce po oznámení těchto zjištění Google uvedl, že zahájí vyšetřování každého z nich provinilým OEM, aby zjistili, co se přesně děje a proč jsou uživatelé lhaní o tom, které opravy dělají a které ne mít.
I přes to, co na to říkáte? Překvapila vás tato zpráva a bude to mít dopad na telefony, které budete kupovat v budoucnu? Zvuk v komentářích níže.
Proč na jaře 2018 stále používám BlackBerry KEYone