Ažuriranje, 13. travnja: Google je dao sljedeću izjavu the Verge:
Željeli bismo zahvaliti Karstenu Nohlu i Jakobu Kellu na njihovim stalnim naporima da ojačaju sigurnost Android ekosustava. Radimo s njima na poboljšanju njihovih mehanizama otkrivanja kako bismo uzeli u obzir situacije u kojima uređaj koristi alternativno sigurnosno ažuriranje umjesto sigurnosnog ažuriranja koje je predložio Google. Sigurnosna ažuriranja jedan su od mnogih slojeva koji se koriste za zaštitu Android uređaja i korisnika. Ugrađene zaštite platforme, kao što je sandboxing aplikacija, i sigurnosne usluge, kao što je Google Play Protect, jednako su važne. Ovi slojevi sigurnosti—u kombinaciji s ogromnom raznolikošću Android ekosustava—pridonose zaključcima istraživača da daljinsko iskorištavanje Android uređaja ostaje izazovno.
Propuštene zakrpe zasigurno čine vaš telefon ranjivijim u usporedbi s onima koji su ažurni, ali čak i tako, to ne znači da ste potpuno nezaštićeni. Mjesečne zakrpe definitivno pomažu, ali postoje opće mjere koje osiguravaju da svi Android telefoni imaju određenu razinu poboljšane sigurnosti.
Jednom mjesečno Google ažurira Androidov sigurnosni bilten i objavljuje nove mjesečne zakrpe za ispravljanje ranjivosti i grešaka čim se pojave. Nije tajna da mnogi proizvođači originalne opreme sporo ažuriraju svoj hardver navedenim zakrpama, ali jest sada otkriveno da neki od njih tvrde da su ažurirali svoje telefone, a zapravo se ništa nije promijenilo.
Do ovog su otkrića došli Karsten Nohl i Jakob Lell iz Security Research Labsa, a njihova su otkrića nedavno predstavljena na ovogodišnjoj sigurnosnoj konferenciji Hack in the Box u Amsterdamu. Nohl i Lell ispitali su softver 1200 Android telefona iz Googlea, Samsunga, OnePlusa, ZTE-a i drugih, i nakon toga, otkrili su da neke od tih tvrtki mijenjaju izgled sigurnosne zakrpe prilikom ažuriranja svojih telefona bez stvarne instalacije ih.
Samsungov Galaxy J3 iz 2016. tvrdio je da ima 12 zakrpa koje jednostavno nisu bile instalirane na telefonu.
Očekuje se da će neke od propuštenih zakrpa biti napravljene slučajno, ali Nohl i Lell naišli su na određene telefone na kojima stvari jednostavno nisu išle. Na primjer, dok je Samsungov Galaxy J5 iz 2016. točno naveo zakrpe koje ima, čini se da J3 iz iste godine ima sve zakrpe od 2017. unatoč tome što nedostaje 12 od njih.
Istraživanje je također otkrilo da vrsta procesora koji se koristi u telefonu može utjecati na to hoće li se ažurirati sigurnosnom zakrpom ili ne. Utvrđeno je da uređaji sa Samsungovim Exynos čipovima imaju vrlo malo preskočenih zakrpa, dok su oni s MediaTekovim u prosjeku imali 9,7 nedostajućih zakrpa.
Nakon što su pregledali sve telefone u svom testiranju, Nohl i Lell izradili su grafikon koji prikazuje koliko su zakrpa proizvođači originalne opreme propustili, ali su ipak tvrdili da su ih instalirali. Tvrtke poput Sonyja i Samsunga promašile su samo između 0 i 1, ali je utvrđeno da TCL i ZTE preskaču 4 ili više.
- 0-1 propuštenih zakrpa (Google, Sony, Samsung, Wiko)
- 1-3 propuštena zakrpa (Xiaomi, OnePlus, Nokia)
- 3-4 propuštene zakrpe (HTC, Huawei, LG, Motorola)
- 4+ propuštena zakrpa (TCL, ZTE)
Ubrzo nakon što su ova otkrića objavljena, Google je rekao da će pokrenuti istrage o svakom od njih krive OEM-e da saznaju što se točno događa i zašto se korisnicima laže o tome koje zakrpe rade, a koje ne imati.
Čak i uz to rečeno, što mislite o ovome? Jeste li iznenađeni viješću i hoće li to imati utjecaja na telefone koje ćete kupovati u budućnosti? Isključite zvuk u komentarima ispod.
Zašto još uvijek koristim BlackBerry KEYone u proljeće 2018