Android-telefoner bliver ikke patched i bund

Illustration: Android Logo
Selvom en Android-telefon får månedlige opdateringer, er det ikke ensbetydende med, at alle relevante patches bliver installeret.

Tyske sikkerhedsfolk har fundet frem til, at selvom en Android-telefon modtager opdateringer på en månedlig basis til, så er det ikke sikkert, enheden modtager alle relevante opdateringer. Det oplyser The Register på baggrund af et indlæg fra tyske Security Research Labs (SRL).

Som flere ved, er der stor forskel på, hvor ofte Android-telefoner modtager sikkerhedsopdateringer. Mens Googles egne enheder, Pixel og Nexus, i perioder modtager månedlige opdateringer til både styresystemet og drivere, så er andre producenter ikke nødvendigvis så omhyggelige med at udsende opdateringer til deres enheder. Og ifølge sikkerhedsfolk i SRL så er hyppige sikkerhedsopateringer ikke i sig selv ensbetydende med, at telefonen er sikker.

»At installere patches hver måned er et vigtigt første skridt, men det er stadig utilstrækkeligt, medmindre alle relevante patches er inkluderet i disse opdateringer. Vores store undersøgelse af Android-telefoner viser, at de fleste Android-leverandører regelmæssigt glemmer at inkludere patches og efterlader dele af økosystemet blotlagt for underliggende risici,« fortæller Karsten Nohl og Jakob Lell fra SRL i et indlæg her.

Læs også: Malware-inficerede Google Play-apps dannede stort DDoS-botnet

Indlægget indeholder en tabel, der viser, at mens Google og Sony er blandt de bedste til at få alle patches med på en regelmæssig basis, så er ZTE og TCL ifølge undersøgelsen blandt de værste til at udelade patches.

The Register bemærker, at Google Play Service er blevet udstyret med kode, der gør det muligt at skubbe Android-patches ud til enhederne uden om leverandørerne. Men komponenter såsom drivere kan ikke opdateres på denne måde, og derfor får nogle enheder kun delvise opdateringer.

De tyske forskere understreger, at manglende patches ikke er det samme som, at en telefon bliver malware-befængt. Eksempelvis skal brugeren måske først narres til at installere en ondsindet app udenom Google Play, og det kan også være nødvendigt at udnytte adskillige sårbarheder på en upatched enhed for at omgå de indbyggede sikkerhedsmekanismer i Android såsom ASLR.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
Thomas Larsen

Er at der er tale om et hashed checksum af binær kode taget fra AOSP, personerne har jo ikke adgang til de forskellige producenters kode.

Det svarer også egentlig godt med både Sony og Google er dem som "scorer højst", fordi begge producenter går meget op i at være tæt på AOSP.

Selvom de går meget op i blandt andet optimeringer foretaget af kompileringsværktøjerne, og ender med 73 forskellige varianter af den samme rettelse, så ændrer det jo ikke på at de sammenligner på 2 forskellige "kodebaser".

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017