Někteří výrobci včetně Samsungu lžou o aktualizacích Androidu. Zůstávají nezabezpečené

13. 4. 2018

Sdílet

 Autor: Redakce

Německá bezpečnostní firma Security Research Labs dnes na amsterdamské konferenci Hack In The Box zveřejní výsledky dlouhodobého výzkumu zabezpečení telefonů s Androidem. Předběžnou zprávu již získali redaktoři magazínu Wired, kteří vypíchli několik faktů.

SRL testovalo 1200 zařízení 13 různých značek. Některé telefony byly zastoupeny několikrát s různými verzemi firmwaru. Všechny telefony tvrdily, že měly záplaty aktuální minimálně k říjnu 2017. Překvapivé je ovšem to, že zařízení ve skutečnosti nemusela mít patche z doby, kdy to výrobce tvrdil.

Průměrný počet chybějících záplat na výrobce Průměrný počet chybějících záplat na výrobce

Extrémním případem byl telefon Samsung Galaxy J3 2016, který se tvářil, že má všechny záplaty vydané v roce 2017, ale ve skutečnosti neměl žádnou. SRL jej proto označil, že mu chybí 12 záplat, z toho dvě kritické. (Technicky chyběly čtyři patche, řada Galaxy J totiž dostává čtvrtletní aktualizace.)

V průměru je na tom Samsung ale dobře. Spolu s Googlem, Sony a neznámou firmou Wiko mu chybělo 0 až 1 záplata. Xiaomi, OnePlus a Nokia přeskočily 1 až 3 záplaty, HTC, Huawei, LG a Motorola 3 až 4 záplaty a TCL se ZTE lhaly o 4 a více záplatách.

Na Mediatek pozor

Nejvíce chybějících záplat měla zařízení s čipsety Mediatek, v průměru jim chybělo 9,7 patche. U Kirinů to bylo 1,9, Snapdragonů 1,1 a Exynosů po 0,5 patche. Je to logické, Mediatek jsou především v levných smartphonech, které obecně nemají dobrou softwarovou podporu.

U velkých výrobců jako Samsungu nebo Sony se podle SRL mohly jeden dva patche zatoulat omylem. V oněch extrémních případech jde ale o záměrné lhaní, aby se telefon tvářil bezpečněji, než ve skutečnosti je. Prostě se jen přepíše datum v kolonce Úroveň opravy zabezpečení.

bitcoin školení listopad 24

Nexus 5X má nejčerstvější opravy Nexus 5X má nejčerstvější opravy

Výzkumníci ale dodávají, že i když v systému zůstanou některé díry, jejich zneužití není vůbec jednoduché, Android má i další vrstvy ochrany. Řada patchů navíc neopravuje chyby v systému, ale týkají se konkrétních čipsetů. Oprava díry v kernelu spjatá se Snapdragony nezajímá Mediatek a naopak.

Google už je se Security Research Labs v kontaktu a výsledky chce podrobněji prozkoumat. Předběžně pouze uvedl, že ne všechna z 1200 testovaných zařízení prošla jeho certifikací. Některé záplaty navíc výrobci mohli ignorovat protože, že děravé funkce rovnou odstranili nebo je ani neimplementovali.