Německá firma SRL (Security Research Labs) zaměřená na bezpečnost zjistila, že mobilní výrobci často přeskakují aktualizace zabezpečení svých smartphonů, přestože tvrdí, že byly do telefonu již nainstalovány. Podle zjištění SRL se to týká Googlu, HTC, Samsungu, Sony, Motoroly, ZTE, TCL a dalších. Ukazuje se, že se rozhodně nejedná o ojedinělou praxi. Problému se již začalo přezdívat „Patch Gap“.
Co je „Patch Gap“? Android smartphony tvrdí, že mají poslední update zabezpečení, přesto jej od výrobce nedostaly...
SRL podle svého vyjádření zkontrolovala firmware u 1 200 smartphonů s Androidem a zkoumala opravy, které vydal Googlu v rámci Android Security Bulletinů v loňském roce. Pokud dáme stranou Pixely první a druhé generace, ukázalo se, že i smartphony vyšších tříd různých výrobců tvrdí, že dostaly nejnovější aktualizace, záplaty přesto ve firmwaru nalezeny nebyly. A uživatelé si tak mylně myslí, že jejich zařízení je zabezpečené daleko lépe, než ve skutečnosti je.
Smutným rekordmanem je podle SRL Samsung Galaxy J3 (2016), který byl ještě do začátku března veden mezi smartphony, které dostávají čtvrtletí aktualizace zabezpečení. Podle SRL telefon tvrdí, že má nejnovější aktualizace z konce loňského roku, přesto však všechny přeskočil. Nejedná se o 12 updatů, jak se ve zdrojovém článku hovoří, ale „jen“ o čtyři čtvrtletní aktualizace. I přesto se však jedná o znepokojivé zjištění, protože telefon přeskočil dva updaty, které pro něj byly v roce 2017 vedeny jako „kritické pro udržení jeho bezpečnosti“. Galaxy J5 (2016) přitom u aktualizací zabezpečení nijak nelhal.
SRL ze všech zkoumaných smartphonů vyhodnotil zajímavé výsledky. V prvním grafu se zaměřil na průměrný počet „přeskočení“ aktualizací u smartphonů podle značek. Nejméně přeskočení mají Google, Sony, Samsung a Wiko. Na opačném pólu se nacházejí značky HTC, Huawei, LG, Motorola a také TCL s ZTE. Právě tyto dvě značky zřejmě své smartphony aktualizují vůbec nejjednodušeji. Přepíší datum poslední aktualizace zabezpečení v nastavení jako by se nechumelilo.
Podle SRL něj může mít na opoždění či přeskočení aktualizací vliv i samotných dodavatelů čipsetů, s nimiž jsou chyby často spjaty. při objevení bugů tak mobilní výrobci často čekají na to, až záplatu nabídne výrobce čipsetu. A v tom nejhůře dopadly smartphony postavené na MediaTeku s průměrným přeskočením 9,7 updatů. Podle Karstena Nohla se SRL se ukazuje, že při koupi levnějších smartphonů, kde kraluje MediaTek, se rázem ocitáte v hůře udržovaném ekosystému.
Na studii reagoval i samotný Google, který tvrdí, že část z 1 200 smartphonů nebyla certifikována, tudíž ani aktualizaci zabezpečení dostat z principu nemohla. A k přeskočení aktualizací Google dodává to, že někteří výrobci potenciálně nebezpečné funkce rovnou preventivně odstranili, aniž by řešili její záplatu. Google přesto požádal o spolupráci s SRL aby se mohl do výsledků testů zanořit hlouběji a vyvodit z něj další závěry.
Bezpečnostní záplaty se na Androidu šíří pomalu:
Chcete si ověřit, jak si stojí vaše zabezpečení vzhledem ke skutečným opravám? Vyzkoušejte aplikaci SnoopSnitch od SRL.
Zdroj Wired
