E un lucru știut de toată lumea că telefoanele Android din zona middle și low end primesc greu sau poate niciodată patch-urile de securitate Android, dar puțini s-au întrebat dacă și flagship-urile sunt într-o situație similară, mai ales cele ale unor producători de renume precum Samsung, HTC, LG, Sony, Xiaomi sau Huawei. De la întrebarea asta au plecat doi specialiști în securitate de la Security Research Labs – Karsten Nohl și Jakob Lell – când au început să analizeze sistematic dacă toate patch-urile Android sunt livrate și instalate pe acele aparate care teoretic raportează cea mai recentă versiune de Android, cu tot cu patch-urile de securitate.
În mod normal, dacă ajungi să citești pe smartphone-ul tău Android că ai cea mai recentă versiune de Android, cu cel mai recent set de patch-uri, stai liniștit. Se pare că nu e chiar așa și că producătorii de smartphone-uri ne-au cam mințit, faptul că ni se oferă cea mai recentă dată la Android security patch level, nu înseamnă că lucrurile chiar și stau așa.
La conferința Hack in the Box din Amsterdam, Karsten Nohl și Jakob Lell au prezentat concluzia unei analize pe care au făcut-o în ultimii doi ani, în care au verificat dacă patch-urile anunțate de producători sunt și prezente pe smartphone-urile Android. Spre surpriza lor și a noastră, au găsit multe discrepanțe între ceea ce producătorii au declarat că ar fi prezent și ceea e este efectiv instalat pe smartphone. În realitate multe patch-uri lipsesc, chiar dacă nivelul de securitate este anunțat ca fiind ridicat, lăsând smartphone-urile vulnerabile.
Anumiți producători au tendința de a lăsa pe afară anumite patch-uri, chiar dacă informațiile prezentate pe telefon dau siguranța că ele ar fi prezente. În urma analizei a 1200 de smartphone-uri de la Google, Samsung, Sony, Nokia, Huawei, Motorola, LG, HTC, ZTE și TCL cercetătorii au identificat că anumiți producători uită să ofere toate patch-urile.
Dintre aceștia, Google, Sony și Samsung stau cel mai bine, rata lor de omisiune fiind mină (în medie 1 patch) pe când alții – HTC, Huawei, LG, Motorola – uită să dea periodic 3-4 patch-uri. Totuși, vorbim de o medie pe producător, situația diferind de la model la model.
În cazul Samsung, modelul J5 din 2016 avea o reprezentare corectă în timp ce lui J3 din 2016 îi lipseau 12 patch-uri, o diferență majoră între ceea ce era anunțat și ceea ce era de fapt instalat pe aparat.
Se pare că o explicație plauzibilă constă în faptul că patch-urile variază și în funcție de cipset: cele cu procesoare Samsung erau cele mai bine protejate, la polul opus fiind cele MediaTek, cu până la 10 probleme nerezolvate.
Raportul SRL nu face decât să confirme ceea ce știam: aparatele ieftine sunt și rămân vulnerabile pe toată durata de viață, producătorii nu pre se ocupă să ofere patch-uri Android, cele mai scumpe au șanse să se descurce mai bine.
Pentru a face utilizatorilor viața mai ușoară, compania Security Research Labs a lansat aplicația noopSnitch , ce permite verificarea individuală a congruenței dintre nivelul de securitate anunțat de producător și numărul real de patch-uri aplicate.
Dacă vreți, puteți să verificați singuri nivelul de securitate.
La mine, pe HTC U11+, cu Android 8 și patch-urile de securitate de la 1 decembrie, raportul arată așa:
Oficial nu lipsește nimic.
Voi cum stați? Și mai ales, ce părere aveți de această discrepanță?
via wired
Ala e la misto daca testez un telefon vechi aparaut in 2016 care are android 7 si nu a mai primit update de 2 ani imi arata ca e la zi tot
🙂 Oarecum are dreptate. Nu ai niciun update mai nou pentru respectivul aparat, nu?
La mine pe Huawei Nova dual sim arata cam asa : https://ibb.co/mjE2B7
Cand ai primit ultimul update?