Německá bezpečnostní firma Security Research Labs dnes na amsterdamské konferenci Hack In The Box zveřejní výsledky dlouhodobého výzkumu zabezpečení telefonů s Androidem. Předběžnou zprávu již získali redaktoři magazínu Wired, kteří vypíchli několik faktů.
SRL testovalo 1200 zařízení 13 různých značek. Některé telefony byly zastoupeny několikrát s různými verzemi firmwaru. Všechny telefony tvrdily, že měly záplaty aktuální minimálně k říjnu 2017. Překvapivé je ovšem to, že zařízení ve skutečnosti nemusela mít patche z doby, kdy to výrobce tvrdil.
Průměrný počet chybějících záplat na výrobceExtrémním případem byl telefon Samsung Galaxy J3 2016, který se tvářil, že má všechny záplaty vydané v roce 2017, ale ve skutečnosti neměl žádnou. SRL jej proto označil, že mu chybí 12 záplat, z toho dvě kritické. (Technicky chyběly čtyři patche, řada Galaxy J totiž dostává čtvrtletní aktualizace.)
V průměru je na tom Samsung ale dobře. Spolu s Googlem, Sony a neznámou firmou Wiko mu chybělo 0 až 1 záplata. Xiaomi, OnePlus a Nokia přeskočily 1 až 3 záplaty, HTC, Huawei, LG a Motorola 3 až 4 záplaty a TCL se ZTE lhaly o 4 a více záplatách.
Na Mediatek pozor
Nejvíce chybějících záplat měla zařízení s čipsety Mediatek, v průměru jim chybělo 9,7 patche. U Kirinů to bylo 1,9, Snapdragonů 1,1 a Exynosů po 0,5 patche. Je to logické, Mediatek jsou především v levných smartphonech, které obecně nemají dobrou softwarovou podporu.
U velkých výrobců jako Samsungu nebo Sony se podle SRL mohly jeden dva patche zatoulat omylem. V oněch extrémních případech jde ale o záměrné lhaní, aby se telefon tvářil bezpečněji, než ve skutečnosti je. Prostě se jen přepíše datum v kolonce Úroveň opravy zabezpečení.
Nexus 5X má nejčerstvější opravyVýzkumníci ale dodávají, že i když v systému zůstanou některé díry, jejich zneužití není vůbec jednoduché, Android má i další vrstvy ochrany. Řada patchů navíc neopravuje chyby v systému, ale týkají se konkrétních čipsetů. Oprava díry v kernelu spjatá se Snapdragony nezajímá Mediatek a naopak.
Google už je se Security Research Labs v kontaktu a výsledky chce podrobněji prozkoumat. Předběžně pouze uvedl, že ne všechna z 1200 testovaných zařízení prošla jeho certifikací. Některé záplaty navíc výrobci mohli ignorovat protože, že děravé funkce rovnou odstranili nebo je ani neimplementovali.
ČLÁNKY DO MAILU