Компания Google несколько лет назад после обнаружения масштабной уязвимости под названием Stagefright усилила борьбу за безопасность мобильных устройств. С тех пор выпускаются ежемесячные обновления безопасности с описанием того, что в них содержится. Недавно специалисты из компании Security Research Labs обнаружили, что некоторые производители ведут себя нечестно и обманывают относительно содержимого обновлений безопасности. На некоторых смартфонах отсутствует более десятка патчей.
Каждый месяц Google публикует новый список патчей для Android, некоторые из них малозначительные, другие закрывают критически важные уязвимости. Google распространяет эти обновления на свои смартфоны Pixel, но большинство производителей если и делают это для своих моделей, то спустя месяц или несколько. Когда обновление приходит на смартфон, в настройках указывается уровень патча в виде месяца и года. Например, если на смартфоне написано об обновлении за апрель 2018, оно должно защищать от всех уязвимостей, которые описаны в бюллетене безопасности Google за апрель и раньше.
На протяжении двух лет исследователи просматривали данные обновления при помощи метода обратной инженерии. Они проанализировали более 1200 смартфонов на Android в поисках входящих в их состав патчей. Были обнаружены расхождения относительно того, как устройства отображают уровни патчей, но при этом не защищают от всех уязвимостей, от которых должны защищать. В некоторых случаях уровень патчей был надёжным индикатором безопасности устройства, но некоторые модели не содержали определённое количества нужных обновлений.
Исследователи разделили производителей смартфонов по группам в зависимости от среднего количества отсутствующих патчей на аппаратах за 2017 год. Естественно, у самой Google отсутствующих патчей нет и обновления выходят максимально быстро. Sony, Samsung и малоизвестная компания Wiko имеют максимум один отсутствующий патч. Xiaomi, OnePlus и Nokia имеют 1-3 пропущенных обновления. HTC, Huawei, LG и Motorola входят в группу с 3-4 пропущенными патчами. Внизу располагаются компании ZTE и TCL, у которых пропущенных обновлений от 4 и больше.
Можно было бы предположить, что всё это просто совпадение, а не результат некомпетентности или целенаправленного вредоносного поведения. Однако, некоторые бюджетные смартфоны показывают совсем неприятную картину. Например, Samsung Galaxy J3 в 2017 году не имел 12 патчей, хотя разработчики утверждали, что они есть.
Имеет значение и производитель процессора. На смартфонах с более дешёвыми процессорами MediaTek обновления отсутствуют чаще, в среднем на 9,7% из них. Производители смартфонов полагаются на поставщиков процессоров и выпускают обновления под них, а MediaTek работает не слишком быстро. Означает ли это, что ваш смартфон находится под угрозой? Скорей всего нет. Большинство устройств имеют все необходимые обновления и смартфоны на Android в безопасности. Однако, Google следует принять меры относительно недобросовестных производителей.
Мы в VK - ProSmartFon: TEHNO BLOG
Мы в Telegram - ProSmartFon: tehno blog
Понравилась статья? Тяни "палец вверх" и подписывайся на наш канал PROSMARTFON. Обсудить публикацию можно тут.