Спецы Security Research Labs, Карстен Нол (Karsten Nohl) и Якоб Лелл (Jakob Lell) представили отчет на конференции Hack In The Box. Исследователи пояснили, что почти все производители устройств на Андройд, только делают видимость выхода патчей, в то время как в реальности почти все баги остаются неисправленными.
Трудность обновления Андройд-устройств постоянно стояла чрезвычайно остро. В текущее время создатели Гугл ежемесячно выпускают набор обновлений безопасности для собственной ОС, а дальше эти патчи попадают в руки производителей бессчетных устройств, которые должны без помощи других адаптировать обновления для собственных товаров и донести их до конечных пользователей. К огорчению, фрагментация рынка как и раньше велика, а поставщики по-различному относятся к своим обязательствам. Из-за этого почти все устройства не получают принципиальных обновлений совсем.
Нол и Лелл, но, выяснили, что и без того грустное положение вещей в действительности смотрится еще ужаснее. В протяжении 2-ух лет спецы кропотливо изучали состав обновлений безопасности, которые выпускаются наикрупнейшими производителями устройств на базе Андройд, и сделали гигантскую работу, исследовав выше 1200 телефонов.
Как показало исследование, почти все производители лукавят во время выпуска обновлений. Однако они заявляют, что их устройства получили все животрепещущие патчи, это ересь, в связи с тем, что некоторые исправления, по неведомым причинам, «выпадают» из списков и в конечном итоге в принципе не доходят до пользователей, о чем те даже не могут выяснить. Специалисты разъясняют, что иногда некоторые патчи не получают даже устройства Pixel.
«Время от времени эти ребята просто изменяют дату, не устанавливая никаких патчей. Вероятно, дело в маркетинге, они просто ставят уровень обновлений на произвольную дату, которая смотрится идеальнее всего, — поведали специалисты представителям СМИ Wired. — Мы выяснили, что некоторые производители не установили ни одного патча, но меняли даты выхода обновлений в протяжении почти всех месяцев».
Почаще всего, трудность носит наименее масштабный характер. Например, на большинстве устройств Sony и Самсунг может не хватать только пары обновлений, что быть может обычный случайностью. Но в некоторых вариантах все обстоит еще ужаснее. Например, телефоны J3, выпущенные Самсунг в 2016 году, обязаны иметь все обновления безопасности
за 2017 год, но в действительности 12 патчей не хватает, при этом два исправления критичные.
При всем этом Нол и Лелл разъясняют, что часто «бутылочным горлышком» на пути обновлений стаютпроизводители чипсетов, но не сами изготовители телефонов. Например, компания Mediatek часто«запамятывает» о 9-10 патчах, выход которых случается существенно позднее заявленных дат. В общем специалисты Security Research Labs пришли к последующим заключениям, относительно больших
производителей:
0-1 пропущенных патчей: Гугл, Sony, Самсунг, Wiko Mobile;
1-3 пропущенных патчей: Xiaomi, OnePlus, Нокиа;
3-4 пропущенных пата: HTC, Huawei, LG, Motorola;
4 и поболее пропущенных патчей: TCL, ZTE.
Для проверки устройств на предмет установленных патчей исследователи сделали особое бесплатноеприложение SnoopSnitch, позволяющее выяснить, какие исправления в действительности установлены наустройстве.