Sommige Android lijkt te liegen over beveiligingspatches [update]

Update, 13 april: Google heeft de volgende verklaring aan de Verge gegeven:

We willen Karsten Nohl en Jakob Kell bedanken voor hun voortdurende inspanningen om de beveiliging van het Android-ecosysteem te versterken. We werken met hen samen om hun detectiemechanismen te verbeteren om rekening te houden met situaties waarin een apparaat een alternatieve beveiligingsupdate gebruikt in plaats van de door Google voorgestelde beveiligingsupdate. Beveiligingsupdates zijn een van de vele lagen die worden gebruikt om Android-apparaten en gebruikers te beschermen. Ingebouwde platformbeveiliging, zoals applicatiesandboxing en beveiligingsservices, zoals Google Play Protect, zijn net zo belangrijk. Deze beveiligingslagen - gecombineerd met de enorme diversiteit van het Android-ecosysteem - dragen bij aan de conclusies van de onderzoekers dat externe exploitatie van Android-apparaten een uitdaging blijft.

Gemiste patches maken uw telefoon zeker kwetsbaarder in vergelijking met die die up-to-date zijn, maar toch betekent dit niet dat u volledig onbeschermd bent. Maandelijkse patches helpen zeker, maar er zijn algemene maatregelen om ervoor te zorgen dat alle Android-telefoons een of ander niveau van verbeterde beveiliging hebben.

Eén keer per maand werkt Google het Android-beveiligingsbulletin bij en geeft het maandelijks nieuwe patches uit om kwetsbaarheden en bugs te verhelpen zodra deze opduiken. Het is geen geheim dat veel OEM's hun hardware traag bijwerken met genoemde patches, maar er is nu ontdekt dat sommigen van hen beweren hun telefoons te hebben bijgewerkt terwijl er in feite helemaal niets is veranderd.

Deze onthulling werd gedaan door Karsten Nohl en Jakob Lell van Security Research Labs en hun bevindingen werden onlangs gepresenteerd op de Hack in the Box-beveiligingsconferentie in Amsterdam. Nohl en Lell hebben de software van 1200 Android-telefoons van Google, Samsung, OnePlus, ZTE en anderen onderzocht en ontdekten dat sommige van deze bedrijven het uiterlijk van de beveiligingspatch wijzigen bij het bijwerken van hun telefoons zonder ze daadwerkelijk te installeren.

Samsung's Galaxy J3 uit 2016 beweerde 12 patches te hebben die eenvoudigweg niet op de telefoon waren geïnstalleerd.

Sommige van de gemiste patches worden naar verwachting per ongeluk gemaakt, maar Nohl en Lell kwamen bepaalde telefoons tegen waar dingen gewoon niet klopten. Terwijl de Galaxy J5 uit 2016 van Samsung bijvoorbeeld nauwkeurig de patches vermeldde die het had, leek de J3 uit hetzelfde jaar sinds 2017 elke patch te hebben, ondanks dat hij er 12 mist.

Uit het onderzoek bleek ook dat het type processor dat in een telefoon wordt gebruikt, invloed kan hebben op het al dan niet bijwerken met een beveiligingspatch. Apparaten met Samsung's Exynos-chips bleken zeer weinig overgeslagen patches te hebben, terwijl apparaten met MediaTek die gemiddeld hadden met 9, 7 ontbrekende patches.

Na het doorlopen van alle telefoons in hun testen, maakten Nohl en Lell een grafiek met een overzicht van de patches die OEM's misten maar nog steeds beweerden te hebben geïnstalleerd. Bedrijven als Sony en Samsung misten alleen tussen 0 en 1, maar TCL en ZTE bleken 4 of meer over te slaan.

• 0-1 gemiste patches (Google, Sony, Samsung, Wiko)
• 1-3 gemiste patches (Xiaomi, OnePlus, Nokia)
• 3-4 gemiste patches (HTC, Huawei, LG, Motorola)
• 4+ gemiste patches (TCL, ZTE)

Kort nadat deze bevindingen waren aangekondigd, zei Google dat het onderzoek zou beginnen naar elk van de schuldige OEM's om erachter te komen wat er precies aan de hand is en waarom tegen gebruikers wordt gelogen over welke patches ze wel en niet hebben.

Zelfs met dat gezegd, wat is uw mening hierover? Ben je verrast door het nieuws en zal dit een impact hebben op de telefoons die je in de toekomst koopt? Geluid uit in de reacties hieronder.

Waarom ik nog steeds een BlackBerry KEYone gebruik in het voorjaar van 2018