Badacze pracujący dla zlokalizowanego w Niemczech biura Security Research Labs, dokonali ciekawego odkrycia. Dotyczy ono praktyk takich firm jak Google, HTC, Samsung, Sony, Motorola, ZTE, TCL i innych. Zdarza się, że pomijają one wydawanie niektórych łatek bezpieczeństwa na swoje urządzenia. Samo w sobie nie byłoby to niczym dziwnym, jednak smartfony pokazują informacje, że nieobecne na nich łatki zabezpieczeń… są na nich zainstalowane.
Security Research Labs (SRL) pokusiło się o sprawdzenie oprogramowania układowego na 1200 telefonach z Androidem i sprawdzenie, które z nich miały zainstalowane wszystkie łatki bezpieczeństwa wydane przez Google. Wyniki badania były ciekawe, bo okazało się, że żadna firma nie jest bez skazy.
Z oczywistych względów najmniej aktualizacyjnych grzechów ma Google, gdyż na Pixele pierwszej i drugiej generacji trafiała prawie że każda poprawka zabezpieczeń, jednak inni producenci mają więcej za uszami. Nawet flagowym modelom brakowało pewnych poprawek, a co najlepsze – na smartfonach wyświetlała się informacja, że zostały one zainstalowane. W ten sposób mydli się oczy ich użytkownikom, którzy przez to uważają, że ich urządzenia są bezpieczniejsze niż w rzeczywistości.
Założyciel SRL, Kersten Nohl, twierdzi, że w niektórych przypadkach producent może celowo opuścić aktualizację łatki bezpieczeństwa, a nawet dwóch, jeśli uzna, że nie dotyczy ona jakiegoś modelu. Jako przykład podał Samsunga Galaxy J3 (2016), z którego dziennika aktualizacji można wyczytać, że dostał wszystkie możliwe poprawki zabezpieczeń, a w rzeczywistości pominięto ich 12, w tym dwie określone jako „krytyczne”, czyli absolutnie niezbędne do zapewnienia bezpieczeństwa smartfona.
Nie tylko producenci smartfonów są winni dziur w zabezpieczeniach naszych urządzeń. Dużo do powiedzenia w tej kwestii mają też dostawcy procesorów, gdyż część łatek dotyczy właśnie działania chipsetów. Największe zaniedbania ma pod tym względem MediaTek, który średnio opuszcza 9,7 wydań poprawek rocznie. Może to wynikać z faktu, że tańsze telefony z układami tego producenta znacznie rzadziej dostają aktualizacje.
Google twierdzi, że niektóre urządzenia objęte badaniem mogły nawet nie mieć certyfikatu Androida, co oznacza, że standardy bezpieczeństwa Google nie miały w nich zastosowania, ale skutecznie zaniżały średnią aktualizacji. A niektóre łatki mogły być pominięte przez producentów dlatego, że zdecydowali się usunąć całkowicie funkcję sprawiającą problemy, zamiast naprawiać ją poprawkami. Google współpracuje z SRL, by wyciągnąć jeszcze więcej wniosków z zebranych danych.
Testy Security Research Labs trwały dwa lata, a ich wyniki zostaną zaprezentowane jeszcze dzisiaj na konferencji Hack in the Box w Amsterdamie.
źródło: Wired przez PhoneArena
zdjęcie tytułowe: Kārlis Dambrāns na licencji CC BY 2.0
