Cambridge-forskere: Her er de producenter, der er ringest til at opdatere Android

15. oktober 2015 kl. 06:203
I gennemsnit er 87,7 pct. af Android-enheder sårbare i forhold til mindst én af 11 kendte sikkerhedshuller, har britiske forskere fundet frem til. Forskerne har ligeledes skabt et point-system til at vurdere, hvilke producenter der er bedst til at opdatere.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Sikkerheden i det mobile styresystem Android er en relativ størrelse, da ikke alle telefonproducenter opdaterer deres forskellige mærker lige hurtigt. Men generelt set står det ifølge forskning fra universitetet i Cambridge sløjt til.

I en rapport (PDF) beskriver forskerne Daniel R. Thomas, Alastair R. Beresford og Andrew Rice, Computer Laboratory på Cambridge Universitet, hvordan 87,7 pct. af Android-enheder i gennemsnit er sårbare over for mindst en af 11 kendte sårbarheder målt over en fire-årig periode.

Forskerne har fokuseret på forskellige typer af sårbarheder, der tillader en angriber at opnå betydelige rettigheder - eksempelvis root - uden at have fysisk adgang til enheden.

Data er samlet ind fra 20.400 enheder i en periode fra 2011 til 2015 på tværs af forskellige producenter. Enhederne har været udstyret med app'en Device Analyzer, som forskerne står bag, og som er lagt på Google Play.

Google Nexus er umiddelbart bedst

I konklusionen til rapporten skriver forskerne, at sikkerheden i Android afhænger af rettidig levering af opdateringer, der kan fikse kritiske sårbarheder. Og at uheldigvis modtager få enheder prompte opdateringer. Ifølge rapporten er flaskehalsen producenterne bag telefonerne.

Artiklen fortsætter efter annoncen

Af rapporten kan man desuden læse, at Googles Nexus-brand, som bliver produceret af andre, klarer sig bedre end de øvrige mærker, når det kommer til at holde Android-enheder sikre.

Alligevel vil hovedforfatter på rapporten, Daniel Thomas, ikke uden videre anbefale Nexus-enheder frem for andre modeller.

I en e-mail til Version2 forklarer han, at dataene kun er samlet fra enheder, der har haft Device Analyzer-softwaren installeret, og derfor er billedet heller ikke fuldstændigt. Daniel Thomas påpeger i den forbindelse, at hvis flere installere programmet, vil datagrundlaget også bliver bedre.

»Nexus-enheder klarer sig langt bedre end gennemsnittet af ikke-Nexus-enheder, men der kan være andre enheder, der er lige så gode, uden vi ved det.«

Artiklen fortsætter efter annoncen

Derudover har der i løbet af dataindsamlingsperioden været en udvikling, fortæller Daniel Thomas, hvor eksempelvis LG er begyndt at frigive hyppigere opdateringer. Det kan, mener han, hænge sammen med, at LG i løbet af perioden også har udgivet Nexus-mærket.

Google tjener penge på sikker Android

Forklaringen på, hvorfor Nexus hurtigere får lukket huller i sikkerheden sammenlignet med de øvrige målte mærker, skyldes ifølge Daniel Thomas incitament.

Han fortæller, at Google har større grund til at holde Android sikkert, fordi virksomheden - også efter telefonen er blevet solgt - henter løbende indtægter via Google Play-butikken.

Bliv opdateret om it - tilmeld dig Version2s nyhedsbrev

De enkelte producenter får derimod kun penge, når enheden bliver solgt.

»Forskellige leverandører bekymrer sig mere eller mindre om deres omdømme i forhold til sikkerhed, og derfor poster de forskellige mængder af ressourcer i at understøtte eksisterende enheder,« skriver Daniel Thomas.

I rapporten skriver forskerne, at der er en asymmetri mellem producenterne, som ved, om en enhed for øjeblikket er sikker og vil modtage opdateringer, og så kunderne, som ikke ligger inden med denne viden.

Pointsystem

Men med rapporten håber forskerne også, at øge incitamentet for producenterne i forhold til at sikre brugernes enheder. I den anledning har forskerne udarbejdet et point-system, som de bruger til at vurdere, hvor flittige producenterne er til at frigive opdateringer i den målte periode.

Artiklen fortsætter efter annoncen

Scoren kalder de FUM, og den er sammensat af tre komponenter: andelen af enheder, som ikke indeholder kendte, kritiske sårbarheder. Andelen af enheder, som er opdateret med den seneste software. Og antallet af sårbarheder, som producenten endnu ikke har fixet på nogen enheder.

»Vi håber, at FUM-scoren vil øge prioriteringen af sikkerhed hos alle leverandører,« skriver Daniel Thomas.

Den nyelige fremkomst af de berygtede Stagefright-sårbarheder, ser dog ud til at have øget producenters prioritering i forhold til at fikse sårbarheder, påpeger Daniel Thomas.

»Det kommer til at tage noget tid, før vi ved, hvor stor en forskel det har gjort, og om det holder ved,« skriver han.

Alternativ Android

Benchmark af Android-enheder
Skalaen går op til 10, som er det bedste

  • Nexus devices 5.2

  • LG 4.0

  • Motorola 3.1

  • Samsung 2.7

  • Sony 2.5

  • HTC 2.5

  • Asus 2.4

  • Alps 0.7

  • Symphony 0.3

  • Walton 0.3


Udover den Android, som Google står bag, og som mange producenter bruger, er der også alternative Android-systemer som CyanogenMod. Hvordan det står til med opdateringsfrekvensen på disse platforme, har forskerne dog ikke fået fat i nok data til at kunne sige noget endegyldigt om.

»Jeg ville forvente, at CyanogenMod ville være bedre end mange telefonmodeller (eng. device models), efter som de ikke få så mange opdateringer, mens CyanogenMod ser ud til at få ret mange regelmæssige opdateringer. Vi kan dog ikke sige noget præcist om, hvor det lander, eller hvordan klarer sig i forhold til Nexus-enhederne eller specifikke producenter,« skriver Daniel Thomas.

Forskerne har samlet en rangordning af producenter og mærker - se boks. Data er kun indsamlet fra de enheder, der har haft forskernes Device Analyzer-software installeret. Skalaen går op til 10, som er det bedste.

På hjemmesiden http://androidvulnerabilities.org/ kan du læse mere om Device Analyser og forskernes resultater.

3 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
3
19. april 2016 kl. 15:25

.. fabrikanterne ikke bare deres telefoner mere åbne, således at det er nemmere selv at installere en alternativ rom på den hardware man har betalt!

Så kunne man også sagtens leve uden fabrikanternes bloatware opdagteringer.

2
19. april 2016 kl. 15:08

Jeg har lige været forbi playstore for at kikke på Device Analyzer appen og jeg ville ALDRIG installere en app som kræver så mange rettigheder, det er jo sindsygt ! Dog har jeg set en lommelygte app som krævede så godt som alle tilgængelige rettigheder og var ret populær ! Hvad sker der i hovedet på folk (både udviklere og brugere) en lommelygte app skal KUN have lov til kamera og flash punktum ! Og den smøre der skal formidle at dette er en android test app drukner i vanvittige mængder af ord (absolut ikke en formidler der har skrevet det) og heller ikke en med evner i "begrænsningens ædle kunst"

1
15. oktober 2015 kl. 10:44

Rigtigt dejligt med forskning og forhåbentlig kan det få gang i opdateringerne. Det er jo urimeligt man skal købe ny telefon for at få sikkerhedsopdateringer

Men jeg synes det er en bekymrende App der kan overvåge ens adfærd og have tilladelser til næsten alt. Det bliver ikke mig der installerer den.