„Android“ ekosistemos yra labai pažeidžiamos, kai kalbama apie saugumą, o prietaisų gamintojai (geriau žinomi kaip „OEM“) dar labiau blogina situaciją, nes laiku nepateikia kritinių pataisų.„Android“ ekosistemos yra labai pažeidžiamos, kai kalbama apie saugumą, o prietaisų gamintojai (geriau žinomi kaip „OEM“) dar labiau blogina situaciją, nes laiku nepateikia kritinių pataisų.
Remiantis naujo tyrimo duomenimis, dauguma „Android“ pardavėjų melavo vartotojams apie jų telefonų saugos naujinimus ir klientams sako, kad jų išmanieji telefonai naudoja naujausius atnaujinimus.
Kitaip tariant, dauguma išmaniųjų telefonų gamintojų, įskaitant didelius žaidėjus, tokius kaip „Samsung“, „Xiaomi“, „OnePlus“, „Sony“, „HTC“, „LG“ ir „Huawei“, neteikia jums kiekvieno kritinio saugumo pataisymo, nors tai turėtų daryti, – sako savo atliktame tyrime Karstenas Nohlas ir Jakobas Lellas iš Vokietijos saugumo firmos „Security Research Labs“ (SRL).
Nohl ir Lell ištyrė daugiau nei dvylikos gamintojų programinę įrangą tam panaudodami 1200 išmaniųjų telefonų, tikrindami ar buvo pritaikomi „Android“ saugumo atnaujinimai šiems telefonams išleisti praeitais metais ir nustatė, kad daugelis įrenginių tas saugumo spragas vis dar turėjo, o dalis „Android“ ekosistemos yra veikiamos įsilaužėlių.
„Kartais šie darbuotojai tik pakeičia datą, neįdiegdami jokių pataisų. Tikriausiai dėl rinkodaros priežasčių jie tik nustato pataisos lygį beveik savavališkai, kad atrodytų geriausiai“, – teigia Nohlas.
Kiekvieną mėnesį „Google“ išleidžia saugumo pataisas, kad jos sistema „Android“ būtų saugi ir saugi nuo pagrindinių pavojų, tačiau kadangi kiekvienas gamintojas ir mobilusis operatorius pakeičia operacinę sistemą, kad savo išmanųjį telefoną padarytų unikaliu, jie dažnai nesugeba laiku pritaikyti visus šiuos pataisymus.
SRL tyrėjai tyrė išmaniuosius telefonus, kurie tariamai priėmė ir įdiegė naujausius „Android“ naujinius ir paskelbė tokius rezultatus:
- 0–1 praleisti pataisymai – „Google“, „Sony“, „Samsung“, „Wiko Mobile“
- 1–3 praleisti pataisymai – „Xiaomi“, „OnePlus“, „Nokia“.
- 3–4 praleisti pataisymai – „HTC“, „Huawei“, „LG“, „Motorola“.
- 4 ir daugiau praleisti pataisymai – „TCL“, „ZTE“.
Konkrečiau, pirmiau pateiktas rezultatas buvo skirtas saugumo pataisoms, skirtoms kritinėms ir didelės rizikos pažeidžiamoms vietoms, kurios buvo išleistos 2017 m.
Kaip parodyta aukščiau „Google“, „Samsung“, „Wiko Mobile“ ir „Sony“ vis dar puikiai diegia pataisas, tačiau kiti, ypač Kinijos pardavėjai, kaip „Xiaomi“ ir „OnePlus“, mažiau apsaugo savo klientus nuo naujausių saugumo trūkumų.
Siekdama išspręsti saugumo pataisų atotrūkio problemą, „Google“ jau paskelbė „Treble“ projektą, pagal kurį bendrovė praėjusiais metais atliko keletą esminių „Android“ sistemos architektūros pakeitimų, kad galėtumėte labiau kontroliuoti atnaujinimo procesą.
„Project Treble“ buvo įtrauktas į „Android 8.0" „Oreo“ dalį ir buvo sukurtas siekiant atskirti pagrindinį aparatūros kodą iš OS kodo, pašalinant OEM priklausomybes, kad greičiau pristatytų „Android“ naujinius. Tačiau net jei jūsų „Android“ įrenginyje veikia „Oreo 8.0“ operacinė sistema, nebūtina, kad jis palaikytų „Treble“ projektą, nes jis vis tiek priklauso nuo įrenginio gamintojo. Pavyzdžiui, „Oreo“ programinės įrangos atnaujinimas „OnePlus“ įrenginiams dar nepalaiko „Treble“.
Tačiau reikės naujų įrenginių, kad palaikytų „Treble“ judėjimą į priekį.
Patikrinkite savo telefono saugumo lygį
Tuo tarpu „SRL“ sukūrė „SnoopSnitch“ programą, kurią galite atsisiųsti nemokamai, kad išmatuotumėte savo „Android“ išmaniojo telefono saugumo pataisų lygį, padedantį patikrinti pardavėjo teiginius apie jūsų įrenginių saugumą.
Pabandžiau ir aš savo ZTE telefoną pratestuoti ar jisai saugus. Pirmiausiai pažiūrėjau kokia sistemos atnaujinimo data.
Paskui su programa „SnoopSnitch“ patikrinau saugumo situaciją. Gavosi tokie rezultatai:
