Tyske sikkerhedsfolk har fundet frem til, at selvom en Android-telefon modtager opdateringer på en månedlig basis til, så er det ikke sikkert, enheden modtager alle relevante opdateringer. Det oplyser The Register på baggrund af et indlæg fra tyske Security Research Labs (SRL).
Som flere ved, er der stor forskel på, hvor ofte Android-telefoner modtager sikkerhedsopdateringer. Mens Googles egne enheder, Pixel og Nexus, i perioder modtager månedlige opdateringer til både styresystemet og drivere, så er andre producenter ikke nødvendigvis så omhyggelige med at udsende opdateringer til deres enheder. Og ifølge sikkerhedsfolk i SRL så er hyppige sikkerhedsopateringer ikke i sig selv ensbetydende med, at telefonen er sikker.
»At installere patches hver måned er et vigtigt første skridt, men det er stadig utilstrækkeligt, medmindre alle relevante patches er inkluderet i disse opdateringer. Vores store undersøgelse af Android-telefoner viser, at de fleste Android-leverandører regelmæssigt glemmer at inkludere patches og efterlader dele af økosystemet blotlagt for underliggende risici,« fortæller Karsten Nohl og Jakob Lell fra SRL i et indlæg her.
Indlægget indeholder en tabel, der viser, at mens Google og Sony er blandt de bedste til at få alle patches med på en regelmæssig basis, så er ZTE og TCL ifølge undersøgelsen blandt de værste til at udelade patches.
The Register bemærker, at Google Play Service er blevet udstyret med kode, der gør det muligt at skubbe Android-patches ud til enhederne uden om leverandørerne. Men komponenter såsom drivere kan ikke opdateres på denne måde, og derfor får nogle enheder kun delvise opdateringer.
De tyske forskere understreger, at manglende patches ikke er det samme som, at en telefon bliver malware-befængt. Eksempelvis skal brugeren måske først narres til at installere en ondsindet app udenom Google Play, og det kan også være nødvendigt at udnytte adskillige sårbarheder på en upatched enhed for at omgå de indbyggede sikkerhedsmekanismer i Android såsom ASLR.
Er at der er tale om et hashed checksum af binær kode taget fra AOSP, personerne har jo ikke adgang til de forskellige producenters kode.
Det svarer også egentlig godt med både Sony og Google er dem som "scorer højst", fordi begge producenter går meget op i at være tæt på AOSP.
Selvom de går meget op i blandt andet optimeringer foretaget af kompileringsværktøjerne, og ender med 73 forskellige varianter af den samme rettelse, så ændrer det jo ikke på at de sammenligner på 2 forskellige "kodebaser".