Uppdatering 13 april: Google har gett följande uttalande till gränsen:
Vi vill tacka Karsten Nohl och Jakob Kell för deras fortsatta ansträngningar för att stärka säkerheten i Android-ekosystemet. Vi arbetar med dem för att förbättra deras upptäcktsmekanismer för att ta hänsyn till situationer där en enhet använder en alternativ säkerhetsuppdatering istället för den säkerhetsuppdatering som Google föreslagit. Säkerhetsuppdateringar är ett av många lager som används för att skydda Android-enheter och användare. Inbyggda plattformsskydd, som applikationssandboxing, och säkerhetstjänster, som Google Play Protect, är lika viktiga. Dessa säkerhetslager – i kombination med den enorma mångfalden av Androids ekosystem – bidrar till forskarnas slutsatser om att fjärrexploatering av Android-enheter fortfarande är utmanande.
Missade patchar gör verkligen din telefon mer sårbar jämfört med de som är uppdaterade, men ändå betyder det inte att du är helt oskyddad. Månatliga patchar hjälper definitivt, men det finns allmänna åtgärder för att säkerställa att alla Android-telefoner har en viss nivå av förbättrad säkerhet.
En gång i månaden uppdaterar Google Android säkerhetsbulletin och släpper nya månatliga patchar för att fixa sårbarheter och buggar så snart de dyker upp. Det är ingen hemlighet att många OEM-tillverkare är långsamma med att uppdatera sin hårdvara med nämnda patchar, men det är det nu upptäckts att några av dem hävdar att de har uppdaterat sina telefoner när det i själva verket inte har förändrats något alls.
Denna avslöjande gjordes av Karsten Nohl och Jakob Lell från Security Research Labs, och deras resultat presenterades nyligen vid årets Hack in the Box-säkerhetskonferens i Amsterdam. Nohl och Lell undersökte programvaran för 1200 Android-telefoner från Google, Samsung, OnePlus, ZTE och andra, och när de gjorde det, fann att några av dessa företag ändrar utseendet på säkerhetskorrigeringen när de uppdaterar sina telefoner utan att faktiskt installera dem dem.
Samsungs Galaxy J3 från 2016 påstod sig ha 12 patchar som helt enkelt inte var installerade på telefonen.
Några av de missade lapparna förväntas göras av misstag, men Nohl och Lell stötte på vissa telefoner där saker och ting inte stämde. Till exempel, medan Samsungs Galaxy J5 från 2016 exakt listade de patchar den hade, verkade J3 från samma år ha varenda patch sedan 2017 trots att 12 av dem saknades.
Forskningen visade också att typen av processor som används i en telefon kan ha en inverkan på om den uppdateras med en säkerhetskorrigering eller inte. Enheter med Samsungs Exynos-chips visade sig ha väldigt få överhoppade patchar, medan de med MediaTek-enheter hade i genomsnitt 9,7 saknade patchar.
Efter att ha kört igenom alla telefoner i sina tester skapade Nohl och Lell ett diagram som visar hur många patchar som OEM-tillverkare missade men ändå påstod sig ha installerat. Företag som Sony och Samsung missade bara mellan 0 och 1, men TCL och ZTE visade sig hoppa över 4 eller fler.
- 0-1 missade patchar (Google, Sony, Samsung, Wiko)
- 1-3 missade patchar (Xiaomi, OnePlus, Nokia)
- 3-4 missade patchar (HTC, Huawei, LG, Motorola)
- 4+ missade patchar (TCL, ZTE)
Kort efter att dessa fynd tillkännagavs sa Google att de skulle inleda undersökningar av var och en av dessa skyldiga OEM-tillverkare för att ta reda på exakt vad som händer och varför användarna ljuges om vilka patchar de gör och inte gör ha.
Även med det sagt, vad tycker du om detta? Är du förvånad över nyheten och kommer detta att påverka de telefoner du köper framöver? Ljud av i kommentarerna nedan.
Varför jag fortfarande använder en BlackBerry KEYone våren 2018