Update, 13 april: Google heeft de volgende verklaring gegeven aan de rand:
We willen Karsten Nohl en Jakob Kell bedanken voor hun voortdurende inspanningen om de beveiliging van het Android-ecosysteem te versterken. We werken met hen samen om hun detectiemechanismen te verbeteren om rekening te houden met situaties waarin een apparaat een alternatieve beveiligingsupdate gebruikt in plaats van de door Google voorgestelde beveiligingsupdate. Beveiligingsupdates zijn een van de vele lagen die worden gebruikt om Android-apparaten en gebruikers te beschermen. Ingebouwde platformbeveiligingen, zoals applicatie-sandboxing, en beveiligingsservices, zoals Google Play Protect, zijn net zo belangrijk. Deze beveiligingslagen, gecombineerd met de enorme diversiteit van het Android-ecosysteem, dragen bij aan de conclusies van de onderzoekers dat het op afstand exploiteren van Android-apparaten een uitdaging blijft.
Gemiste patches maken je telefoon zeker kwetsbaarder in vergelijking met up-to-date patches, maar dat betekent niet dat je volledig onbeschermd bent. Maandelijkse patches helpen zeker, maar er zijn algemene maatregelen om ervoor te zorgen dat alle Android-telefoons een bepaald niveau van verbeterde beveiliging hebben.
Eén keer per maand werkt Google de Android-beveiligingsbulletin en brengt maandelijks nieuwe patches uit om kwetsbaarheden en bugs op te lossen zodra ze opduiken. Het is geen geheim dat veel OEM's traag zijn met het updaten van hun hardware met de genoemde patches, maar dat is het wel nu ontdekt dat sommigen van hen beweren hun telefoons te hebben bijgewerkt, terwijl er in feite helemaal niets is veranderd.
Deze onthulling is gedaan door Karsten Nohl en Jakob Lell van Security Research Labs, en hun bevindingen zijn onlangs gepresenteerd op de Hack in the Box-beveiligingsconferentie van dit jaar in Amsterdam. Nohl en Lell onderzochten de software van 1200 Android-telefoons van Google, Samsung, OnePlus, ZTE en anderen. ontdekte dat sommige van deze bedrijven het uiterlijk van de beveiligingspatch wijzigen bij het updaten van hun telefoons zonder daadwerkelijk te installeren hen.
Samsung's Galaxy J3 uit 2016 beweerde 12 patches te hebben die simpelweg niet op de telefoon waren geïnstalleerd.
Sommige van de gemiste patches zullen naar verwachting per ongeluk zijn gemaakt, maar Nohl en Lell kwamen bepaalde telefoons tegen waar dingen gewoon niet klopten. Terwijl de Galaxy J5 van Samsung uit 2016 bijvoorbeeld nauwkeurig de patches opsomde die hij had, leek de J3 uit hetzelfde jaar sinds 2017 elke patch te hebben, ondanks het feit dat er 12 ontbraken.
Uit het onderzoek bleek ook dat het type processor dat in een telefoon wordt gebruikt, van invloed kan zijn op het al dan niet updaten met een beveiligingspatch. Apparaten met de Exynos-chips van Samsung bleken zeer weinig overgeslagen patches te hebben, terwijl apparaten met MediaTek-chips gemiddeld 9,7 ontbrekende patches hadden.
Nadat ze alle telefoons tijdens hun tests hadden doorgenomen, maakten Nohl en Lell een grafiek met het aantal patches dat OEM's hadden gemist, maar nog steeds beweerden te hebben geïnstalleerd. Bedrijven als Sony en Samsung misten slechts tussen 0 en 1, maar TCL en ZTE bleken 4 of meer over te slaan.
- 0-1 gemiste patches (Google, Sony, Samsung, Wiko)
- 1-3 gemiste patches (Xiaomi, OnePlus, Nokia)
- 3-4 gemiste patches (HTC, Huawei, LG, Motorola)
- 4+ gemiste patches (TCL, ZTE)
Kort nadat deze bevindingen bekend waren gemaakt, zei Google dat het een onderzoek zou starten naar elk van de schuldige OEM's om erachter te komen wat er precies aan de hand is en waarom gebruikers worden voorgelogen over welke patches ze wel en niet doen hebben.
Zelfs met dat gezegd, wat is uw mening hierover? Ben je verrast door het nieuws en heeft dit invloed op de telefoons die je in de toekomst koopt? Geluid uit in de reacties hieronder.
Waarom ik in het voorjaar van 2018 nog steeds een BlackBerry KEYone gebruik