Oppdatering 13. april: Google har gitt følgende uttalelse til kanten:
Vi vil gjerne takke Karsten Nohl og Jakob Kell for deres fortsatte innsats for å styrke sikkerheten til Android-økosystemet. Vi jobber med dem for å forbedre gjenkjenningsmekanismene deres for å ta hensyn til situasjoner der en enhet bruker en alternativ sikkerhetsoppdatering i stedet for den Google foreslåtte sikkerhetsoppdateringen. Sikkerhetsoppdateringer er ett av mange lag som brukes for å beskytte Android-enheter og brukere. Innebygde plattformbeskyttelser, som app-sandboxing, og sikkerhetstjenester, som Google Play Protect, er like viktige. Disse lagene av sikkerhet – kombinert med det enorme mangfoldet i Android-økosystemet – bidrar til forskernes konklusjoner om at ekstern utnyttelse av Android-enheter fortsatt er utfordrende.
Tapte oppdateringer gjør absolutt telefonen mer sårbar sammenlignet med de som er oppdatert, men likevel betyr det ikke at du er helt ubeskyttet. Månedlige patcher hjelper definitivt, men det er generelle tiltak på plass for å sikre at alle Android-telefoner har et visst nivå av forbedret sikkerhet.
En gang i måneden oppdaterer Google Android sikkerhetsbulletin og lanserer nye månedlige patcher for å fikse sårbarheter og feil så snart de dukker opp. Det er ingen hemmelighet at mange OEM-er er trege med å oppdatere maskinvaren med nevnte patcher, men det er det nå blitt oppdaget at noen av dem hevder å ha oppdatert telefonene sine når faktisk ingenting er endret i det hele tatt.
Denne avsløringen ble gjort av Karsten Nohl og Jakob Lell fra Security Research Labs, og funnene deres ble nylig presentert på årets Hack in the Box-sikkerhetskonferanse i Amsterdam. Nohl og Lell undersøkte programvaren til 1200 Android-telefoner fra Google, Samsung, OnePlus, ZTE og andre, og etter å ha gjort det, fant ut at noen av disse selskapene endrer utseendet på sikkerhetsoppdateringen når de oppdaterer telefonene sine uten faktisk å installere dem.
Samsungs Galaxy J3 fra 2016 hevdet å ha 12 patcher som rett og slett ikke var installert på telefonen.
Noen av de tapte oppdateringene forventes å bli laget ved et uhell, men Nohl og Lell kom over visse telefoner der ting bare ikke stemte. For eksempel, mens Samsungs Galaxy J5 fra 2016 nøyaktig listet opp patchene den hadde, så det ut til at J3 fra samme år hadde hver eneste patch siden 2017, til tross for at den mangler 12 av dem.
Forskningen avslørte også at typen prosessor som brukes i en telefon kan ha innvirkning på hvorvidt den blir oppdatert med en sikkerhetsoppdatering eller ikke. Enheter med Samsungs Exynos-brikker ble funnet å ha svært få oppdateringer som ble hoppet over, mens de med MediaTek-lapper hadde 9,7 manglende oppdateringer i gjennomsnitt.
Etter å ha kjørt gjennom alle telefonene i testingen deres, laget Nohl og Lell et diagram som skisserer hvor mange patcher OEM-er gikk glipp av, men fortsatt hevdet å ha installert. Selskaper som Sony og Samsung savnet bare mellom 0 og 1, men TCL og ZTE ble funnet å hoppe over 4 eller flere.
- 0-1 tapte oppdateringer (Google, Sony, Samsung, Wiko)
- 1-3 tapte oppdateringer (Xiaomi, OnePlus, Nokia)
- 3-4 tapte oppdateringer (HTC, Huawei, LG, Motorola)
- 4+ tapte oppdateringer (TCL, ZTE)
Kort tid etter at disse funnene ble kunngjort, sa Google at de ville starte undersøkelser av hver av disse skyldige OEM-er for å finne ut nøyaktig hva som skjer og hvorfor brukere blir løyet til om hvilke patcher de gjør og ikke ha.
Selv med det sagt, hva synes du om dette? Er du overrasket over nyhetene, og vil dette ha innvirkning på telefonene du kjøper fremover? Lyd av i kommentarfeltet nedenfor.
Hvorfor jeg fortsatt bruker en BlackBerry KEYone våren 2018