Producenci smartfonów igrają z naszym bezpieczeństwem

Producenci smartfonów igrają z naszym bezpieczeństwem

Jeśli myślicie, że producenci smartfonów dbają o nasze bezpieczeństwo, implementując wszystkie możliwe łatki, które udostępniane są dla androidowych urządzeń, to niestety najnowsze badania Security Research Labs (SRL) burzą ten sielankowy obraz rzeczywistości.

SRL w trakcie swoich 2-letnich badań, w czasie których sprawdzono ponad  1200 telefonów z Androidem, odkryło, że wielu z nich brakuje łatek bezpieczeństwa. Co gorsze, ich producenci często kłamią, twierdząc, że ich firmware jest w pełni zaktualizowany. Badacze Karsten Nohl i Jakob Lell dokonali inżynierii wstecznej na urządzeniach takich producentów, jak Google, Samsung, HTC, Motorola, ZTE, TCL i wielu innych, sprawdzając poziom zabezpieczenia, a konkretniej, czy wszystkie dostępne patche bezpieczeństwa są obecne na tych telefonach. Szybko odkryli zjawisko, które nazwali  “patch gap”. Jak się bowiem okazało, w wielu miejscach kodu, w których powinny znajdować się aktualizacje, po prostu ich brakowało. Co więcej, oprogramowanie twierdziło, że jest w pełni załatane, pomimo że w wielu przypadkach na pokładzie brakowało nawet kilkunastu łatek.

Badania Security Research Labs pokazują, że nie można wierzyć producentom smartfonów na słowo w zakresie łatek bezpieczeństwa

Nie można jednak wrzucać wszystkich do jednego worka, ponieważ część producentów wypadła lepiej od innych i np. Sony i Samsung znaleźli się w kategorii firm, które omijają najmniej łatek (0-1). Xiaomi, OnePlus i Nokia pomijali od 1 do 3 łatek, w urządzeniach Huawei, HTC, Motorola i LG często brakowało nawet 4 aktualizacji a w przypadku ZTE i TCL ponad 4. Jedynie smartfony od Google, spośród tych przetestowanych przez SRL, nie ominęły żadnego patcha bezpieczeństwa. Naukowcy odkryli także pewną zbieżność pomiędzy pomijaniem łatek a zastosowanym chipsetem. I tak, okazuje się, że telefony bazujące na samsungowych Exynosach są zdecydowanie lepiej patchowane od tych z układami MediaTeka na pokładzie, gdzie średnio brakuje ok. 10 aktualizacji bezpieczeństwa.

Google zabrało już głos w tej sprawie, tłumacząc, że "część modeli analizowanych przez SRL nie jest oficjalnie certyfikowanymi urządzeniami Androida, co oznacza, że nie spełniają standardów bezpieczeństwa Google". Scott Roberts, szef bezpieczeństwa Androida, podkreślił zaś, że patche  to tylko jeden z poziomów zabezpieczenia sprzętów z Androidem i trzeba brać także pod uwagę rozwiązania wbudowane w platformę, jak sandboxing aplikacji czy serwisy bezpieczeństwa (np. Google Play Protect). Nie da się jednak tłumaczyć okłamywania użytkowników, którzy otrzymują informację, że są chronieni wszystkimi najnowszymi aktualizacjami. Poza tym, pośród wszystkich mobilnych OS, Android praktycznie od zawsze uchodził za najmniej bezpieczny, co wynika z dużej fragmentacji i otwartego charakteru tego OS.

Komentarze do: Producenci smartfonów igrają z naszym bezpieczeństwem