
We weten allemaal heel goed dat beveiliging een serieuze zaak is, dus we raden je aan om updates voor je smartphone te installeren zodra deze beschikbaar zijn. Vandaag zal ik je echter iets anders vertellen dat je zeker van gedachten zal doen veranderen.
Makers van Android-smartphones betrapt op liegen over beveiligingsupdates
Beveiliging is een serieuze zaak, dus we raden je aan om updates voor je smartphone te installeren zodra deze beschikbaar zijn. Maar dat betekent niet per se dat het daar gefocuste probleem wordt opgelost: uitgebreid onderzoek uitgevoerd door het Duitse Security Research Labs (SRL) geeft aan dat veel Android-updates die door verschillende fabrikanten beschikbaar zijn gesteld, fixes missen.
Karsten Nohl en Jakob Lell zijn de SRL-onderzoekers die het onderzoek hebben uitgevoerd. Ze gebruiken al twee jaar reverse engineering en andere technieken om de firmware van 1200 smartphones van meer dan 10 merken, waaronder Samsung, Motorola, HTC, Xiaomi en ZTE, te analyseren. En niet alleen dat zelfs de Pixel-lijn van de techgigant Google is getest.
Meer details over het onderwerp, inclusief de getroffen modellen, zouden moeten worden vrijgegeven tijdens de Hack in the Box-beveiligingsconferentie. Maar onderzoekers hebben Wired verteld dat fabrikanten in veel gevallen in de updatebeschrijving melden dat het apparaat fixes ontvangt die in een bepaalde periode zijn uitgebracht, terwijl veel ervan in feite niet bestaan.
Hoewel minder vaak, beweert SRL ook apparaten te hebben gevonden die geen updates hebben ontvangen. In dergelijke gevallen zouden de fabrikanten de leveringsdatum van het pakket eenvoudig hebben uitgesteld.
Op basis van een vergelijking van apparaten die in oktober 2017 of later ten minste ƩƩn updatepakket hebben ontvangen, beweert SRL dat het probleem vaker voorkomt bij Chinese merkapparaten, maar eenheden van gerenommeerde bedrijven zoals Samsung en Google zelf ontvangen bepaalde updates niet langer: –
- Gemiddeld vier of meer ontbrekende patches: TCL en ZTE
- Drie of vier: HTC, Huawei, LG en Motorola
- Een tot drie: Xiaomi, OnePlus, Nokia
- Van nul naar ƩƩn: Google, Sony, Samsung en Wiko
Onderzoekers zeggen ook dat mobiele telefoons met Samsung-chips minder ontbrekende patches hebben. Aan het andere uiterste worden aangedreven met MediaTek-processors: –
- Samsung: gemiddeld 0,5 ontbrekende patches
- Qualcomm: 1.1
- HiSilicon: 1.9
- MediaTek: 9.7
Over het algemeen worden goedkopere apparaten het meest verwaarloosd. SRL beweert bijvoorbeeld dat hoewel de Galaxy J5 2016 alle geĆÆnstalleerde fixes correct rapporteert, Galaxy J3 2016 meldt dat patches die in 2017 zijn uitgebracht allemaal zijn uitgebracht, terwijl er 12 ontbreken, waarvan er twee als kritiek worden beschouwd.
Gecontacteerd door Wired, legde de techgigant Google uit dat veel van de door SRL geanalyseerde apparaten geen Android-certificering hebben, wat betekent dat deze eenheden niet onderworpen zijn aan de veiligheidsnormen die door het bedrijf zijn vastgesteld.
De techgigant Google heeft ook verklaard dat nieuwere smartphones beveiligingsfuncties hebben die het moeilijker maken voor inbraken, zelfs als er niet-gecorrigeerde mazen in de wet zijn en dat in sommige gevallen patches ontbreken, simpelweg omdat de fabrikant heeft besloten de kwetsbare functie te verwijderen in plaats van deze te repareren.
Het bedrijf geeft toe dat het onderzoek van SRL belangrijk is en dat er wellicht meer analyses nodig zijn dan die welke standaard worden uitgevoerd. Hack in the Box moet wachten tot de omvang van het probleem bekend is.
Voor degenen die de status van hun smartphone willen weten, heeft SRL de SnoopSnitch applicatie, die de apparaatfirmware analyseert om geĆÆnstalleerde en ontbrekende fixes te vinden.
Dus, wat vind je hiervan? Deel eenvoudig al uw mening en gedachten in het commentaargedeelte hieronder.