Sommige Android-fabrikanten liegen over security-updates
Google worstelt al langer met het notoir trage updatebeleid van verschillende Android-fabrikanten. Volgens de laatste bekende cijfers draait Android 8.0 Oreo nog altijd maar op 1,1 procent van alle Android-toestellen wereldwijd. Ook de uitrol van de maandelijkse security-updates die Google aanbiedt, verloopt niet van een leien dakje. Onderzoek van Security Research Labs, waar Wired over bericht, toont aan dat verschillende fabrikanten niet eerlijk zijn over welke patches op hun apparaten werden geïnstalleerd.
Als je in de instellingen kijkt bij de informatie over je telefoon, zie je daar ook op welk maandelijks patchniveau je toestel zit. Security Research Labs spendeerde twee jaar aan de analyse van verschillende Android-toestellen om te controleren of ook daadwerkelijk alle security-updates waren geïnstalleerd die onder dat patchniveau vallen. De onderzoekers stelden een “patch gap” vast, waarbij soms tientallen patches ontbraken die eigenlijk geïnstalleerd moesten zijn volgens het geadverteerde patchniveau.
Verzuim
Het ging bovendien niet om een geïsoleerd geval: er werden 1.200 smartphones onderzocht van fabrikanten als HTC, Motorola, Samsung, Sony, TCL, ZTE en zelfs Google zelf. Zelfs op de belangrijkste vlaggenschiptelefoons ontbraken soms patches, al kan je de fabrikanten daarbij niet allemaal over dezelfde kam scheren. Google, Samsung en Sony ging er maar af en toe iets mis, terwijl het verzuim bij ZTE en TCL veel opvallender was.
Bovendien leek er in een klein aantal gevallen zelfs sprake van bewust bedrog. “We vonden enkele fabrikanten die geen enkele patch op een toestel installeerden, maar wel het patchniveau aanpasten”, vertelde onderzoeker Karsten Nohl aan Wired. Het is met name dat voorliegen waar de onderzoekers een probleem mee hebben, omdat gebruikers zo een vals gevoel van veiligheid krijgen.
Google zegt tegen Wired een onderzoek te zijn gestart om de gecertificeerde toestellen van elke OEM in overeenstemming te brengen. Volgens het bedrijf zijn sommige ontbrekende patches wellicht te verklaren doordat fabrikanten ervoor gekozen hebben om de getroffen features in hun totaliteit te verwijderen of omdat het om toestellen ging die niet de officiële veiligheidscertificering van Android genieten.
SnoopSnitch
Of de patches nu bewust of per ongeluk worden achtergehouden, de situatie blijft dat gebruikers de dupe zijn. Hun toestellen blijven, soms integendeel tot wat de fabrikant beweert, onbeschermd tegen kwetsbaarheden in de software. De onderzoekers van Security Research Labs hebben daarom de gratis applicatie SnoopSnitch beschikbaar gemaakt in de Play Store waarmee je kan analyseren of er eventueel patches ontbreken.