Ενημέρωση, 13 Απριλίου: Η Google έχει δώσει την ακόλουθη δήλωση στον το χείλος:
Θα θέλαμε να ευχαριστήσουμε τους Karsten Nohl και Jakob Kell για τις συνεχείς προσπάθειές τους να ενισχύσουν την ασφάλεια του οικοσυστήματος Android. Συνεργαζόμαστε μαζί τους για να βελτιώσουμε τους μηχανισμούς ανίχνευσης για να λάβουν υπόψη καταστάσεις όπου μια συσκευή χρησιμοποιεί μια εναλλακτική ενημέρωση ασφαλείας αντί για την ενημέρωση ασφαλείας που προτείνει η Google. Οι ενημερώσεις ασφαλείας είναι ένα από τα πολλά επίπεδα που χρησιμοποιούνται για την προστασία συσκευών και χρηστών Android. Οι ενσωματωμένες προστασίες πλατφόρμας, όπως το sandboxing εφαρμογών και οι υπηρεσίες ασφαλείας, όπως το Google Play Protect, είναι εξίσου σημαντικές. Αυτά τα επίπεδα ασφάλειας —σε συνδυασμό με την τεράστια ποικιλομορφία του οικοσυστήματος Android— συμβάλλουν στα συμπεράσματα των ερευνητών ότι η απομακρυσμένη εκμετάλλευση συσκευών Android παραμένει πρόκληση.
Οι αναπάντητες ενημερώσεις κώδικα σίγουρα κάνουν το τηλέφωνό σας πιο ευάλωτο σε σύγκριση με εκείνα που είναι ενημερωμένα, αλλά ακόμα κι έτσι, αυτό δεν σημαίνει ότι είστε εντελώς απροστάτευτοι. Οι μηνιαίες ενημερώσεις κώδικα σίγουρα βοηθούν, αλλά υπάρχουν γενικά μέτρα για να διασφαλιστεί ότι όλα τα τηλέφωνα Android διαθέτουν κάποιο επίπεδο βελτιωμένης ασφάλειας.
Μία φορά το μήνα, η Google ενημερώνει το Δελτίο ασφαλείας Android και κυκλοφορεί νέες μηνιαίες ενημερώσεις κώδικα για τη διόρθωση ευπαθειών και σφαλμάτων μόλις εμφανιστούν. Δεν είναι μυστικό ότι πολλοί OEM αργούν να ενημερώσουν το υλικό τους με τις εν λόγω ενημερώσεις κώδικα, αλλά είναι τώρα ανακαλύφθηκε ότι ορισμένοι από αυτούς ισχυρίζονται ότι έχουν ενημερώσει τα τηλέφωνά τους, ενώ, στην πραγματικότητα, τίποτα δεν έχει αλλάξει καθόλου.
Αυτή η αποκάλυψη έγινε από τους Karsten Nohl και Jakob Lell από το Security Research Labs και τα ευρήματά τους παρουσιάστηκαν πρόσφατα στο φετινό συνέδριο ασφαλείας Hack in the Box στο Άμστερνταμ. Οι Nohl και Lell εξέτασαν το λογισμικό 1200 τηλεφώνων Android από τις Google, Samsung, OnePlus, ZTE και άλλες, και αφού το έκαναν, διαπίστωσε ότι ορισμένες από αυτές τις εταιρείες αλλάζουν την εμφάνιση της ενημερωμένης έκδοσης κώδικα ασφαλείας όταν ενημερώνουν τα τηλέφωνά τους χωρίς να την εγκαθιστούν πραγματικά τους.
Το Galaxy J3 της Samsung από το 2016 ισχυρίστηκε ότι είχε 12 ενημερώσεις κώδικα που απλά δεν είχαν εγκατασταθεί στο τηλέφωνο.
Ορισμένες από τις αναπάντητες ενημερώσεις αναμένονται να δημιουργηθούν σε περίπτωση ατυχήματος, αλλά ο Nohl και ο Lell βρήκαν ορισμένα τηλέφωνα στα οποία τα πράγματα απλά δεν αθροίζονται. Για παράδειγμα, ενώ το Galaxy J5 της Samsung από το 2016 απαρίθμησε με ακρίβεια τις ενημερώσεις κώδικα που είχε, το J3 της ίδιας χρονιάς φάνηκε να έχει κάθε ενημερωμένη έκδοση κώδικα από το 2017, παρόλο που έλειπε 12 από αυτές.
Η έρευνα αποκάλυψε επίσης ότι ο τύπος του επεξεργαστή που χρησιμοποιείται σε ένα τηλέφωνο μπορεί να έχει αντίκτυπο στο αν ενημερώνεται ή όχι με μια ενημερωμένη έκδοση κώδικα ασφαλείας. Οι συσκευές με τσιπ Exynos της Samsung βρέθηκαν να έχουν πολύ λίγες ενημερώσεις κώδικα που παραλείφθηκαν, ενώ αυτές με MediaTek είχαν κατά μέσο όρο 9,7 ενημερώσεις που λείπουν.
Αφού διεξήγαγαν όλα τα τηλέφωνα στις δοκιμές τους, οι Nohl και Lell δημιούργησαν ένα γράφημα που περιγράφει πόσες ενημερώσεις κώδικα έχασαν οι OEM αλλά εξακολουθούν να ισχυρίζονται ότι έχουν εγκαταστήσει. Εταιρείες όπως η Sony και η Samsung έχασαν μόνο μεταξύ 0 και 1, αλλά η TCL και η ZTE βρέθηκαν να παρακάμπτουν 4 ή περισσότερα.
- 0-1 χαμένες ενημερώσεις κώδικα (Google, Sony, Samsung, Wiko)
- 1-3 αναπάντητες ενημερώσεις κώδικα (Xiaomi, OnePlus, Nokia)
- 3-4 αναπάντητες ενημερώσεις κώδικα (HTC, Huawei, LG, Motorola)
- 4+ αναπάντητες ενημερώσεις κώδικα (TCL, ZTE)
Λίγο μετά την ανακοίνωση αυτών των ευρημάτων, η Google είπε ότι θα ξεκινούσε έρευνες για καθένα από αυτά ένοχοι OEM για να μάθουν τι ακριβώς συμβαίνει και γιατί λένε ψέματα στους χρήστες σχετικά με το ποιες ενημερώσεις κώδικα κάνουν και ποια όχι έχω.
Ακόμα κι αν ειπωθεί αυτό, ποια είναι η άποψή σας για αυτό; Είστε έκπληκτοι από τα νέα και θα έχει αντίκτυπο στα τηλέφωνα που αγοράζετε στο μέλλον; Ακούγεται στα σχόλια παρακάτω.
Γιατί εξακολουθώ να χρησιμοποιώ ένα BlackBerry KEYone την άνοιξη του 2018