Néhány android oem, akikről kiderült, hogy hazudnak a biztonsági javításokról [frissítés]

Frissítés, április 13: A Google a következő nyilatkozatot adott a Verge-nek:

Szeretnénk köszönetet mondani Karsten Nohlnek és Jakob Kellnek az Android ökoszisztéma biztonságának megerősítése érdekében tett erőfeszítéseikért. Dolgozunk velük az észlelési mechanizmusuk fejlesztésén, figyelembe véve azokat a helyzeteket, amikor egy eszköz alternatív biztonsági frissítést használ a Google által javasolt biztonsági frissítés helyett. A biztonsági frissítések az Android készülékek és a felhasználók védelmére használt sok réteg egyike. Ugyanilyen fontosak a beépített platformvédelem, például az alkalmazás homokozója, és a biztonsági szolgáltatások, például a Google Play Protect. A biztonság ezen rétegei - az Android ökoszisztéma hatalmas sokféleségével együtt - hozzájárulnak a kutatók következtetéseihez, miszerint az Android eszközök távoli kiaknázása továbbra is kihívást jelent.

Az elmulasztott javítások minden bizonnyal kiszolgáltatottabbá teszik a telefont a legfrissebb telefonokhoz képest, de még így is, ez nem azt jelenti, hogy teljesen védtelenek vagytok. A havi javítások határozottan segítenek, ám vannak általános intézkedések annak biztosítására, hogy az összes Android telefon biztonságosabb legyen.

Havonta egyszer a Google frissíti az Android biztonsági közleményt, és új havi javításokat tesz közzé a sebezhetőség és a hibák javítására, amint azok megjelennek. Nem titok, hogy sok eredeti gyártó lassan frissíti a hardvert az említett javításokkal, de most felfedezték, hogy néhányuk állítja, hogy frissítette telefonjait, valójában semmi sem változott.

Ezt a kijelentést Karsten Nohl és Jakob Lell készítette a Security Research Labs-ból, és megállapításaikat nemrég mutatták be az amszterdami Hack in the Box biztonsági konferencián. Nohl és Lell megvizsgálta a Google, a Samsung, a OnePlus, a ZTE és mások 1200 Android telefonjának szoftverét, és ezt megfigyelve megállapította, hogy ezek közül a vállalatok közül néhány megváltoztatja a biztonsági javítás megjelenését, amikor telefonjaikat frissíti, valódi telepítés nélkül.

A Samsung 2016-os Galaxy J3 állítása szerint 12 javítás van, amelyeket egyszerűen nem telepítettek a telefonra.

Néhány elmulasztott javítás várhatóan véletlenül készül, ám Nohl és Lell bizonyos telefonokon találkoztak, ahol a dolgok egyszerűen nem adódtak össze. Például, míg a Samsung 2016-os Galaxy J5 pontosan felsorolta a meglévő javításokat, az ugyanazon év J3-i úgy tűnt, hogy 2017 óta minden javítással rendelkezik, annak ellenére, hogy 12 hiányzik.

A kutatás azt is feltárta, hogy a telefonban használt processzor típusa hatással lehet arra, hogy frissül-e egy biztonsági javítással. A Samsung Exynos chipekkel rendelkező készülékeiben nagyon kevés kihagyott javítás található, míg a MediaTek készülékeknél átlagosan 9, 7 hiányzó javítás történt.

Miután átvizsgálta az összes telefont a tesztelés során, Nohl és Lell elkészített egy diagramot, amely felvázolja, hogy az OEM-ek hány javítást hagytak ki, de azt állították, hogy telepítették. Az olyan cégek, mint a Sony és a Samsung, csak 0 és 1 között maradtak le, de a TCL és a ZTE közül kimaradtak 4 vagy annál többet.

• 0-1 nem fogadott javítás (Google, Sony, Samsung, Wiko)
• 1-3 kihagyott javítás (Xiaomi, OnePlus, Nokia)
• 3-4 kihagyott javítás (HTC, Huawei, LG, Motorola)
• 4+ elmulasztott javítás (TCL, ZTE)

Nem sokkal azután, hogy ezeket a megállapításokat bejelentették, a Google azt mondta, hogy vizsgálatot indít az egyes bűnös OEM-ekkel kapcsolatban, hogy megtudja, mi történik pontosan, és miért hazudnak a felhasználóknak arról, hogy mely javításokat végeznek és nem.

Még ha ezt mondtad is, mi a helyzet veled? Meglepte a hír, és ez hatással lesz a vásárolt telefonokra? Az alábbiakban megjegyzések szólnak.

Miért használom még mindig a BlackBerry KEYone készüléket 2018 tavaszán