Mobilgiganter reagerer prompte på sikkerhedsbrist: lover månedlige sikkerhedsopdateringer

Illustration: Android Logo
Google var først med et løfte om månedlige sikkerhedsopdateringer til Android OS, og nu følger flere af de helt tunge mobilproducenter - Samsung, LG og Lexus - trop.

For godt en uge siden skrev vi om en sikkerhedsbrist, der potentielt satte sikkerheden på en lille milliard Android-enheder over styr. Med blot en enkelt MMS, som ikke engang behøvede at blive åbnet, kunne der skabes fuld adgang til 90% af samtlige androidtelefoner.

Kort efter afsløringen af sikkerhedsbristet, annoncerede Google, at Android OS ville blive opdateret månedligt, men det i sig selv løste ikke den usikkerhed, afsløringen i første omgang skabte. Der herskede nemlig stor tvivl om, hvorvidt de mange mobilproducenter hver især ville implementere opdateringerne hurtigt nok.

Læs også: VIDEO: Så simpelt og effektivt kunne Stagefright-hullet i Android udnyttes

Nu forlyder det, at der fremover, på månedlig basis, vil komme sikkerhedsopdateringer til Googles Nexus-enheder, samt mobilenheder fra Samsung og LG. De to sidstnævnte firmaer garanterer ligeledes, at de vil opretholde de løbende opdateringer på deres enheder i op til tre år, og den udmelding glæder David Jacoby, der er seniorforsker i sikkerhed hos Kaspersky.

»Hvis mobilproducenterne rent faktisk holder, hvad de lover, så er det helt fantastisk og et betydeligt skridt i den rigtige retning sikkerhedsmæssigt,« siger David Jacoby, der dog ærgrer sig over, at der skulle så meget til, før Google og mobilproducenterne indså, at der var et kæmpe problem.

»Det her er jo noget, journalister og sikkerhedsfirmaer har påpeget op til flere gange,« tilføjer han.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (21)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bent Jensen

Så producenter der laver en indsats kan se at det også kan betale sig på bundlinjen.

Det undre mig ikke at ASUS ikke er at finde her, de har en dårligere service og opdateringen ind selv de ringeste kineser, så hold jer HELT fra dem.

Ellers har jeg været selv glad for min oneplus.net , selv om jeg manual måtte opdater den. Hvis nogen ser efter en ny mobil, og har lidt tålmodighed så prøv 2'erne. Springer selv over, vil prøve at have en mobil i mere end 2 år, for EN gang skyld. Det er ikke lykkes siden jeg skiftet fra nokia, selv om min Nexus 5 var tæt på, men her satte glasset en stopper for det.

Er der ikke en sammenblanding af navne og produktserie i artikkelen :-(

  • 1
  • 0
Jarnis Bertelsen

De garanterer ligeledes, at de vil opretholde de løbende opdateringer på deres enheder i op til tre år

De to små ord "op til" gør denne udmelding komplet værdiløs. Derudover kan tre år definderes på mange måder. Er det 3 år fra den sidste mobil forlader en forhandler, 3 år fra den udgår af produktion, 3 år fra den kommer på markedet eller 3 år fra den annonceres af producenten?

Ligesom fødevarer har en "mindst holdbar til" dato burde mobiler have en "mindst opdateret til" dato, så det i det mindste kunne være en slags konkurrenceparameter for den bevidste forbruger.

  • 13
  • 0
Nikolaj Bech

Ja, så har de ikke lovet mere end de kan holde. Og gælder det alle modeller?

Jeg har måttet sande at 'Mini' modellen af HTC One (M7) tilsyneladende ikke får Android 5 (modellen er kun 2 år gammel) og jeg er spændt på om den får nogen opdateringer i forbindelse med de sidste ugers sårbarheder. Jeg forventer det ikke :-(

Opdateringer er åbenbart forbeholdt de absolutte top modeller og ikke de 'skrabede' modeller med små skærme til os med små hænder/lommer.

  • 0
  • 0
René Nielsen

Så længe der er salg i en model skal den nok blive opdateret, men producenterne har jo en interesse i at få os til at købe nye modeller og ved at holde gamle modeller opdateret saver man jo den gren af – man selv sidder på.

Jeg tror ikke på at der tilføjes ny funktionalitet, ligesom jeg tror at ”buggen” skal have en vis kvalitet og mediebevågenhed før en 2 år gammel model bliver patchet.

  • 0
  • 0
Mads Lorenzen Editor

Jeg har ikke kunnet finde teleoperatører, der (fortæller at de) bruger deres egne versioner af Android i Danmark eller norden endnu? Tips modtages med kyshånd.

Angående hvor længe mobilmodellerne hver især vedligeholdes softwaremæssigt, må vi umiddelbart afvente svar indtil en gang i næste uge. Tak for opmærksomheden :)

  • 3
  • 0
Jakob Damkjær

"Jeg har ikke kunnet finde teleoperatører, der (fortæller at de) bruger deres egne versioner af Android i Danmark eller norden endnu? Tips modtages med kyshånd."

Det gør de ikke men de skal alligevel være med i legen fordi det er ikke samsungs servere opdateringerne bliver tilgængelige fra. Det er teleoperatørenes servere, så det er endnu et komplicerende trin i det morads som sikkerhedsopdateringer på Android er...

At mobilproducenterne og Google fint kan give lipservice om at de tar trin for at forbedre situationen... Men hvis de ikke har de tusinder af teleoperatøre der er på planeten med i deres initiativ er det tomme ord der ikke faktisk forbedre situationen for almindelige forbrugere...

Og skylden for at systemet er så fucked op ligger for Googles dør der ikke har designet deres system så de har muligheden for at fikse det ved at ta en central beslutning om at unfucke systemet...

Men jeg vil æde min gamle hat på at Google og mobilproducenterne vil lægge ansvaret fra sig og kaste muder på operatørene for at de ikke vil betale for Googles dårlige samvittighed...

  • 1
  • 1
Baldur Norddahl
  • 4
  • 0
Jakob Damkjær

Opdateringerne bliver frigivet af operatørene til enhederne der er registreret til den operatør...

Det er helt gak gak men sådan er det. Tror det til dels har rod i operatør info instillingerne så enhederne kan funger som telefoner og trådløs 2/3/4G data forbindelse. Samtidtig er der også indstillinger som telefonsvare og viderestilinges systemerne for hver operatør der som det var åbentlyst ikke var operatør uafhængige som vist en iOS opdatering for et års penge siden hvor iOS 7 eller 8 ikke understøttede den elastik og tyggegummi måde som TDC laver viderestilling og telefonsvare på... Det er ulempen ved central global udgivelse af software at teleoperatøren kun har mulighed for at teste via beta testing.

Fordelen ved at den meget lille del af en moderne smartphone der har direkte interaktion med teleoperatøren kan tilpasses af teleoperatøren er forsvindende lille sammenlignet med fordelen ved at ha global release på sikkerheds og feature opdateringer...

Men i Android økosystemet, med undtagelse af nørder der rooter deres telefoner og installere cyanogen ect. builds, er det telepoperatørene der bestemmer hvornår en software update der er klar fra google og mobilproducenten bliver tilgængeligt for de kunder den teleoperatør har...

  • 0
  • 1
Poul-Henning Kamp Blogger

Det er på tide at der bliver indført et produktansvar for indlejret software og ved samme lejlighed kunne man passende stille krav om at moderne forbrugerelektronik skal kunne holde 10 år og at det bliver supporteret og sikkerhedsopdateret i alle 10 år.

  • 4
  • 0
Jakob Damkjær

Dog nok lidt urealistisk med 10 år...

NB! ref. der tilhøre tidliger post fra Samsung der allerede i deres udtalelser forsøger at lægge ansvaret hos teleoperatørene...

http://www.reuters.com/article/2015/08/07/us-android-security-idUSKCN0QC...

Samsung Vice President Rick Segal acknowledged that his company could not force the telecommunications carriers that buy its devices in bulk to install the fixes and that some might do so only for higher-end users.

  • 1
  • 0
Jacob Nordfalk

Gå ind i Meddelelser (eller hvad din SMS-app hedder), Indstillinger, Multimediemeddelelser og FJERN krydset i Automatisk modtagelse: Hent beskeder automatisk.
Og så skal du i fremtiden lade være med at åbne MMS-meddelelser fra folk du ikke regner med at få MMS'er fra ;-)

  • 5
  • 1
Baldur Norddahl

Opdateringerne bliver frigivet af operatørene til enhederne der er registreret til den operatør...

Det vil kræve at enheden er registreret til en operatør. Det er ikke tilfældet for nogen af de Android enheder jeg har eller har haft (HTC Desire HD, Samsung S3, Samsung S6, Nexus 9 (uden 3G modem), Nexus Player). De to sidste enheder kan slet ikke tilslutte et mobilnetværk, så det er simpelthen umuligt at de skulle få opdateringer fra en "operatør".

Min Samsung S6 er tilmed købt med et 3 abonnement. Men den kom direkte fra hylden båret af mig selv til kassen i Fona, og først ved betaling fik ekspedienten at vide at jeg ville købe et 3 abonnement sammen med den og dermed få noget rabat.

Jeg tror du forveksler med situationen i USA, hvor de store operatører sælger modificerede udgaver af telefonerne, som ikke alene er låst til en bestemt operatør men også indeholder apps og begrænsninger for den specifikke operatør. F.eks. kan de finde på at slå muligheden for "tethering" fra (koster ekstra abonnement). I det tilfælde er det naturligt at opdateringerne kommer fra operatøren, da det ikke er producentens standard firmware der køres med.

Vi har også låste telefoner i Danmark, men jeg har ikke hørt om operatører der har lagt deres egen firmware på.

  • 4
  • 0
Jakob Damkjær

Så er der kommet software opdateringer ?

Tillykke du har købt en telefon... Det øjeblik den bliver registreret til et nætværk downloader den indstillingsfiler til telefonen og er rullet ind i deres update system for android. For det er mobiloperatørene der styre hvornår opdateringer udkommer til Android...

At den nye telefon du kan købt formentlig vil få opdateringer relativt hurtigt og opdateringer til Android... og måske vil den løbende få opdateringer i fremtiden... det ændre ikke udsigten for de android bruger der købte en telefon sidste år eller forige år...

Telemarkedet i Danmark er ikke magisk... Selv om de ikke har specielt firmware og andet crapware som andre landes operatøre installere på telefoner så er der ikke en særlig server hos Samsung som sørger for at sende opdateringer til dem der har købt mobilerne i Danmark. Din telefon er købt i Fona... Ikke fra Samsung og Fona har heller ikke en opdaterings server. 3 har en opdaterings server men giv besked hvornår du faktisk får din opdatering ?

Ifølge Ars Technica skulle opdateringen komme med en opdatering i August...

http://arstechnica.com/gadgets/2015/08/waiting-for-androids-inevitable-s...

"Also, the most popular Android devices are getting the fix in August includin Samsung Galaxy S6 Galaxy S6 Edge, Galaxy S5, Galaxy S4, Galaxy S3, Note 4, Note 4 Edge. HTC One M7, One M8, One M9. LG Electronics G2, G3, G4. Sony Xperia Z2, Xperia Z3, Xperia Z4, Xperia Z3 Compact. Android One."

Kom frisk med total hulk smash ragefest... Opdateringen er allerede lavet til android OS 5.1 (som kun køre på 2.6% af android telefoner 5 måneder efter 5.1 er udgivet) den ligger bare på Samsungs servere. Mens brugere af selv de nyeste android telefoner stadig ikke er beskyttet...

Måske får de fingeren ud og opdatere lidt mere promte med den her specifikke sårbarhed... men normalt har der været ugers ventetid på opdateringer til de nyeste telefoner, måneders ventetid på sidste års modeller... og ingen opdateringer til forrige års modeller.

Compare and contrast... på iPhone køre 85% på 8.X og på android køre 18% på android 5.X. iOS 8.4 køre på iPhone 4S udgivet i 2011 og om lidt vil den også kunne køre iOS 9.X og det er en telefon der er godt 4 år gammel.

  • 1
  • 2
Baldur Norddahl

Hej Jakob, har du dokumentation på at ikke-operatør specifikke OS opdateringer hentes hos operatøren?

Det kan han ikke for det er absurd. Det er FUD.

Alverdens MVNO'er kan ikke vedligeholde opdateringer for samtlige Android telefoner der findes derude. Der findes virkelig mange.

Jeg bemærker også at Jakob hurtigt skøjtede hen over at min tablet og min Android TV boks slet ikke har kontakt til mobilnetværket. Hvem styrer så opdateringerne til dem?

Sagen er at visse teleoperatører har solgt modificerede Android telefoner, hvor opdateringer kom fra deres egne servere. Jakob har herfra konkluderet at det gælder ALLE Android telefoner. Men det passer ikke. Langt de fleste Android telefoner solgt i Danmark er umodificerede udgaver, hvor det er producenten der står for opdateringerne.

Der er ikke noget formål med at operatøren vedligeholder opdateringer hvis ikke de har modificeret firmwaren. Så det gider de naturligvis ikke bruge penge på.

Og så er det iøvrigt ikke meget anderledes med iPhone. Husker i da den første iPhone kom frem og Apple forlangte at mobilnetværkene skulle godkendes, før de kunne bruges? Men det var dengang. Idag er situationen en anden, både for Android og iPhone.

  • 3
  • 0
Jakob Damkjær

At det er op til operatørene ? Uden at hedge det med et "undtagen i særlige lande hvor vi kan distribuere opdateringen direkte og der er den tilgængelig idag"...

Er din ulåste android telefon opdateret til en version af 5.1 der ikke er sårbar overfor stagefright ?

Men det er den ikke vel ?

Talte ikke om tablet eller andet grej... Har ikke hørt eller læst noget om hvordan de bliver opdateret....

Men er din tablet opdateret så den ikke er sårbar overfor stagefright ?

Som jeg har sagt tidligere er det ikke firmware opdatering... Det er indstillingsfiler (mobilnet telefon svare viderestillings osv en masse ting der skal tilpasses den enkelte operatørs systemer software osv)...

Bemærk at jeg også mener det er helt gak at det er sådan. Men det gør ikke at det magisk bliver anderledes... Og android har ikke central distribution af godkendte system opdatinger...

Nej jeg har ikke noget link til system indstillingsfiler men du kan heller ikke fremvise din ikke eksisterende opdaterede telefon ? Hvis du viser en android telefon med en samsung variant af android 5.1 der ikke er sårbar (det rigtige fik ikke bare at slå MMS autoplay fra) så har du nok ret i at der findes servere der operatør uafhængigt opdatere android dimser...

Ikke engang Googles egne telefoner købt direkte fra google har fået en opdatering... Hvorfor er det tilfældet ?

Og hvis der er sådan opdaterings servere hvorfor er der ikke nogen af de tech medier der dækker historien der nævner dem ?

  • 0
  • 0
René Vangsgaard

Hej Jakob. Tilføj gerne links hvor producenterne, f.eks. Samsung, siger "undtagen i særlige lande hvor vi kan distribuere opdateringen direkte og der er den tilgængelig idag".

Jeg er overbevist om at opdateringerne kun skal "forbi" de operatører som har tilpassede firmware versioner, hvilket er udbredt i USA, England og Jamaica - og nok også andre lande. Jeg kan ikke finde dokumentation for at operatørerne er del af opdateringskæden for versioner, som ikke er operatorspecifikke.

Mobilproducenterne ruller som regel opdateringerne ud i batches - hvordan disse batches udvælges har jeg ikke fundet noget info på.

  • 1
  • 0
Log ind eller Opret konto for at kommentere