Noen Android-leverandører fant å bevisst lure kunder med falske sikkerhetsoppdateringer

Rettidig sikkerhetsoppdateringer og sømløse iOS-programvareoppdateringer er en av de viktigste årsakene til at mange Android-kunder bytter til en iPhone.

En ny undersøkelse har imidlertid oppdaget noe potensielt urovekkende.

Wired siterte i dag det tyske sikkerhetsselskapet Security Research Lab som har oppdaget at mange Android-leverandører lyver for kunder om viktige OS-sikkerhetsoppdateringer ved å endre sikkerhetsoppdateringsdatoen på enheten uten å installere noen oppdateringer.

Det er ingen hemmelighet at Google lenge har slitt med å få OEM-er og transportører til å regelmessig skyve ut sikkerhetsoppdateringer for Android.

Etter å ha brukt to år på å analysere Android-oppdateringer, har selskapet oppdaget at mange Android-OEMer ikke klarer å gjøre oppdateringer tilgjengelig for brukerne sine, eller utsetter utgivelsen i flere måneder.

Og i noen tilfeller forteller leverandører brukerne at telefonens firmware er fullt oppdatert, selv om de i det skjulte har hoppet over lapper. "Vi fant flere leverandører som ikke installerte en enkelt patch, men endret patchdatoen fremover med flere måneder," sier forskere Karsten Nohl.

"Det er bevisst bedrag, og det er ikke veldig vanlig."

Android sikkerhetsoppdateringer via Security Research Lab og kablet

Noen av de manglende lappene kan klandres på telefoner med brikker av MediaTek og Qualcomm, de førstnevnte mangler 9,7 patcher og de sistnevnte 1,1 lappene i gjennomsnitt. Når det blir funnet feil i disse brikkene i stedet for i Android selv, er telefonprodusenten avhengig av at brikkemakeren tilbyr en oppdatering.

"Leksjonen er at hvis du søker en billigere enhet, havner du i en mindre godt vedlikeholdt del av dette økosystemet," la Nohl til.

Google svarte med å si at noen av smarttelefonene som Security Research Lab analyserte kanskje ikke har vært Android-sertifiserte enheter, men understreket at det jobber med forskerne for å undersøke funnene deres ytterligere.

I følge Scott Roberts fører Android til produktsikkerhet:

Sikkerhetsoppdateringer er et av mange lag som brukes til å beskytte Android-enheter og brukere. Innebygde plattformbeskyttelse, for eksempel applikasjonssandboxing, og sikkerhetstjenester, for eksempel Google Play Protect, er like viktig. Disse sikkerhetslagene, kombinert med det enorme mangfoldet av Android-økosystemet, bidrar til forskerne

Google hevder at moderne, Android-sertifiserte enheter inkluderer sikkerhetsfunksjoner som gjør dem vanskelige å hacke selv når de har usikkerhetssårbarheter som ikke er sendt ut.

I følge søkegiganten kan det i noen tilfeller ha manglet sikkerhetsoppdateringer fra enheter fordi leverandørene deres kan ha fjernet en sårbar funksjon fra telefonen i stedet for å lappe den, eller telefonen hadde ikke den funksjonen i utgangspunktet.

Security Research Lab vil presentere alle funnene sine under et arrangement i Amsterdam.