Päivitys 13. huhtikuuta: Google on antanut seuraavan lausunnon The Verge:
Haluamme kiittää Karsten Nohlia ja Jakob Kelliä heidän jatkuvista ponnisteluistaan Android-ekosysteemin turvallisuuden vahvistamiseksi. Työskentelemme heidän kanssaan parantaaksemme heidän tunnistusmekanismejaan, jotta ne voivat ottaa huomioon tilanteet, joissa laite käyttää vaihtoehtoista tietoturvapäivitystä Googlen suositteleman tietoturvapäivityksen sijaan. Tietoturvapäivitykset ovat yksi monista tasoista, joita käytetään Android-laitteiden ja -käyttäjien suojaamiseen. Sisäänrakennetut alustan suojaukset, kuten sovellusten hiekkalaatikko, ja tietoturvapalvelut, kuten Google Play Protect, ovat yhtä tärkeitä. Nämä turvallisuustasot – yhdistettynä Android-ekosysteemin valtavaan monimuotoisuuteen – vaikuttavat tutkijoiden päätelmiin, joiden mukaan Android-laitteiden etäkäyttö on edelleen haastavaa.
Huolimatta jääneet korjaustiedostot tekevät puhelimestasi varmasti haavoittuvamman verrattuna ajan tasalla oleviin, mutta silti se ei tarkoita, että olet täysin suojaamaton. Kuukausittaiset korjaustiedostot auttavat ehdottomasti, mutta yleisiä toimenpiteitä on olemassa sen varmistamiseksi, että kaikissa Android-puhelimissa on jonkin verran parannettu suojaus.
Google päivittää kerran kuukaudessa Android-tietoturvatiedote ja julkaisee uusia kuukausittaisia korjaustiedostoja korjatakseen haavoittuvuuksia ja bugeja heti, kun ne ilmestyvät. Ei ole mikään salaisuus, että monet OEM-valmistajat ovat hitaita päivittämään laitteistoaan mainituilla korjaustiedostoilla, mutta niin se on nyt on löydetty että jotkut heistä väittävät päivittäneensä puhelimiaan, vaikka itse asiassa mikään ei ole muuttunut ollenkaan.
Tämän paljastuksen tekivät Karsten Nohl ja Jakob Lell Security Research Labsista, ja heidän havaintojaan esiteltiin äskettäin tämän vuoden Hack in the Box -tietoturvakonferenssissa Amsterdamissa. Nohl ja Lell tutkivat 1200 Googlen, Samsungin, OnePlusin, ZTE: n ja muiden valmistajien Android-puhelimen ohjelmistoja ja tehdessään niin havaitsi, että jotkut näistä yrityksistä muuttavat tietoturvakorjauksen ulkonäköä päivittäessään puhelimiaan asentamatta niitä itse niitä.
Samsungin Galaxy J3 vuodelta 2016 väitti, että siinä oli 12 korjaustiedostoa, joita ei yksinkertaisesti asennettu puhelimeen.
Joidenkin puuttuvien korjaustiedostojen odotetaan valmistuvan vahingossa, mutta Nohl ja Lell törmäsivät tiettyihin puhelimiin, joissa asiat eivät vain sopineet yhteen. Esimerkiksi vaikka Samsungin Galaxy J5 vuodelta 2016 listasi tarkasti sen korjaustiedostot, saman vuoden J3:ssa näytti olevan jokainen korjaus vuodesta 2017, vaikka niistä puuttui 12.
Tutkimus paljasti myös, että puhelimessa käytetyn prosessorin tyyppi voi vaikuttaa siihen, päivitetäänkö se tietoturvakorjauksella vai ei. Samsungin Exynos-siruilla varustetuissa laitteissa havaittiin olevan hyvin vähän ohitettuja korjaustiedostoja, kun taas MediaTekin laitteissa keskimääräinen puuttuminen oli 9,7.
Käytyään läpi kaikki testauksessaan olevat puhelimet Nohl ja Lell loivat kaavion, josta käyvät ilmi, kuinka monta korjaustiedostoa OEM-valmistajilta jäi väliin, mutta ne väittivät silti asentaneensa. Sonyn ja Samsungin kaltaiset yritykset jättivät vain 0–1, mutta TCL: n ja ZTE: n havaittiin ohittavan neljä tai enemmän.
- 0-1 puuttunut korjaustiedosto (Google, Sony, Samsung, Wiko)
- 1-3 puuttuvaa korjaustiedostoa (Xiaomi, OnePlus, Nokia)
- 3-4 puuttuvaa korjaustiedostoa (HTC, Huawei, LG, Motorola)
- Yli 4 puuttuvaa korjaustiedostoa (TCL, ZTE)
Pian näiden havaintojen julkistamisen jälkeen Google ilmoitti aloittavansa tutkimukset jokaisesta näistä syylliset OEM-valmistajat selvittääkseen, mitä tarkalleen tapahtuu ja miksi käyttäjille valehdellaan siitä, mitä korjauksia he tekevät ja mitä eivät omistaa.
Mitä mieltä olet tästä huolimatta? Oletko yllättynyt uutisista, ja onko tällä vaikutusta ostamiisi puhelimiin jatkossa? Ääni alla olevissa kommenteissa.
Miksi käytän edelleen BlackBerry KEYonea keväällä 2018