Cambridge-forskere: Her er de producenter, der er ringest til at opdatere Android

Illustration: Android Logo
I gennemsnit er 87,7 pct. af Android-enheder sårbare i forhold til mindst én af 11 kendte sikkerhedshuller, har britiske forskere fundet frem til. Forskerne har ligeledes skabt et point-system til at vurdere, hvilke producenter der er bedst til at opdatere.

Sikkerheden i det mobile styresystem Android er en relativ størrelse, da ikke alle telefonproducenter opdaterer deres forskellige mærker lige hurtigt. Men generelt set står det ifølge forskning fra universitetet i Cambridge sløjt til.

I en rapport (PDF) beskriver forskerne Daniel R. Thomas, Alastair R. Beresford og Andrew Rice, Computer Laboratory på Cambridge Universitet, hvordan 87,7 pct. af Android-enheder i gennemsnit er sårbare over for mindst en af 11 kendte sårbarheder målt over en fire-årig periode.

Forskerne har fokuseret på forskellige typer af sårbarheder, der tillader en angriber at opnå betydelige rettigheder - eksempelvis root - uden at have fysisk adgang til enheden.

Data er samlet ind fra 20.400 enheder i en periode fra 2011 til 2015 på tværs af forskellige producenter. Enhederne har været udstyret med app'en Device Analyzer, som forskerne står bag, og som er lagt på Google Play.

Google Nexus er umiddelbart bedst

I konklusionen til rapporten skriver forskerne, at sikkerheden i Android afhænger af rettidig levering af opdateringer, der kan fikse kritiske sårbarheder. Og at uheldigvis modtager få enheder prompte opdateringer. Ifølge rapporten er flaskehalsen producenterne bag telefonerne.

Af rapporten kan man desuden læse, at Googles Nexus-brand, som bliver produceret af andre, klarer sig bedre end de øvrige mærker, når det kommer til at holde Android-enheder sikre.

Alligevel vil hovedforfatter på rapporten, Daniel Thomas, ikke uden videre anbefale Nexus-enheder frem for andre modeller.

Læs også: Sony Mobile maner til ro trods blodrød sårbarheds-detektor: Det er falsk alarm

I en e-mail til Version2 forklarer han, at dataene kun er samlet fra enheder, der har haft Device Analyzer-softwaren installeret, og derfor er billedet heller ikke fuldstændigt. Daniel Thomas påpeger i den forbindelse, at hvis flere installere programmet, vil datagrundlaget også bliver bedre.

»Nexus-enheder klarer sig langt bedre end gennemsnittet af ikke-Nexus-enheder, men der kan være andre enheder, der er lige så gode, uden vi ved det.«

Derudover har der i løbet af dataindsamlingsperioden været en udvikling, fortæller Daniel Thomas, hvor eksempelvis LG er begyndt at frigive hyppigere opdateringer. Det kan, mener han, hænge sammen med, at LG i løbet af perioden også har udgivet Nexus-mærket.

Google tjener penge på sikker Android

Forklaringen på, hvorfor Nexus hurtigere får lukket huller i sikkerheden sammenlignet med de øvrige målte mærker, skyldes ifølge Daniel Thomas incitament.

Han fortæller, at Google har større grund til at holde Android sikkert, fordi virksomheden - også efter telefonen er blevet solgt - henter løbende indtægter via Google Play-butikken.

Bliv opdateret om it - tilmeld dig Version2s nyhedsbrev

De enkelte producenter får derimod kun penge, når enheden bliver solgt.

»Forskellige leverandører bekymrer sig mere eller mindre om deres omdømme i forhold til sikkerhed, og derfor poster de forskellige mængder af ressourcer i at understøtte eksisterende enheder,« skriver Daniel Thomas.

I rapporten skriver forskerne, at der er en asymmetri mellem producenterne, som ved, om en enhed for øjeblikket er sikker og vil modtage opdateringer, og så kunderne, som ikke ligger inden med denne viden.

Pointsystem

Men med rapporten håber forskerne også, at øge incitamentet for producenterne i forhold til at sikre brugernes enheder. I den anledning har forskerne udarbejdet et point-system, som de bruger til at vurdere, hvor flittige producenterne er til at frigive opdateringer i den målte periode.

Scoren kalder de FUM, og den er sammensat af tre komponenter: andelen af enheder, som ikke indeholder kendte, kritiske sårbarheder. Andelen af enheder, som er opdateret med den seneste software. Og antallet af sårbarheder, som producenten endnu ikke har fixet på nogen enheder.

»Vi håber, at FUM-scoren vil øge prioriteringen af sikkerhed hos alle leverandører,« skriver Daniel Thomas.

Den nyelige fremkomst af de berygtede Stagefright-sårbarheder, ser dog ud til at have øget producenters prioritering i forhold til at fikse sårbarheder, påpeger Daniel Thomas.

Læs også: Mobilgiganter reagerer prompte på sikkerhedsbrist: lover månedlige sikkerhedsopdateringer

»Det kommer til at tage noget tid, før vi ved, hvor stor en forskel det har gjort, og om det holder ved,« skriver han.

Alternativ Android

Udover den Android, som Google står bag, og som mange producenter bruger, er der også alternative Android-systemer som CyanogenMod. Hvordan det står til med opdateringsfrekvensen på disse platforme, har forskerne dog ikke fået fat i nok data til at kunne sige noget endegyldigt om.

»Jeg ville forvente, at CyanogenMod ville være bedre end mange telefonmodeller (eng. device models), efter som de ikke få så mange opdateringer, mens CyanogenMod ser ud til at få ret mange regelmæssige opdateringer. Vi kan dog ikke sige noget præcist om, hvor det lander, eller hvordan klarer sig i forhold til Nexus-enhederne eller specifikke producenter,« skriver Daniel Thomas.

Forskerne har samlet en rangordning af producenter og mærker - se boks. Data er kun indsamlet fra de enheder, der har haft forskernes Device Analyzer-software installeret. Skalaen går op til 10, som er det bedste.

På hjemmesiden http://androidvulnerabilities.org/ kan du læse mere om Device Analyser og forskernes resultater.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Mogens Lysemose

Rigtigt dejligt med forskning og forhåbentlig kan det få gang i opdateringerne. Det er jo urimeligt man skal købe ny telefon for at få sikkerhedsopdateringer

Men jeg synes det er en bekymrende App der kan overvåge ens adfærd og have tilladelser til næsten alt. Det bliver ikke mig der installerer den.

  • 3
  • 1
Dave Pencroof

Jeg har lige været forbi playstore for at kikke på Device Analyzer appen og jeg ville ALDRIG installere en app som kræver så mange rettigheder, det er jo sindsygt !
Dog har jeg set en lommelygte app som krævede så godt som alle tilgængelige rettigheder og var ret populær !
Hvad sker der i hovedet på folk (både udviklere og brugere) en lommelygte app skal KUN have lov til kamera og flash punktum !
Og den smøre der skal formidle at dette er en android test app drukner i vanvittige mængder af ord (absolut ikke en formidler der har skrevet det) og heller ikke en med evner i "begrænsningens ædle kunst"

  • 0
  • 0
Christian Nobel

.. fabrikanterne ikke bare deres telefoner mere åbne, således at det er nemmere selv at installere en alternativ rom på den hardware man har betalt!

Så kunne man også sagtens leve uden fabrikanternes bloatware opdagteringer.

  • 0
  • 0
Log ind eller Opret konto for at kommentere