Sokat javítottak a frissítés folyamatán az elmúlt két évben az Android mobiloperációs-rendszert futtató készülékek gyártói, csökkentve az időrést a biztonsági frissítések kiadása és a firmware integrációja között, ami jó hír az Android-ökoszisztéma számára, amelyet naprakészség szempontjából hagyományosan rosszabbnak minősítenek a biztonsági szakértők, mint az Apple-féle iOS-t. Ezzel együtt sokféle verzió kering, ráadásul nemcsak a gyártók, hanem ugyanazon gyártók egyes modelljei között is jókora a változatosság, mi több, rengeteg készüléken már nem támogatott szoftverváltozat fut.
A berlini Security Research Labs (SRLabs) bináris elemzésének eredménye szerint mintegy tízezer egyedi firmware build fut a különféle gyártók androidos eszközein. Az adatok nagy részét a SnoopSnitch alkalmazás segítségével gyűjtötték össze. Ezt a berlini cég fejlesztette ki a mobil rádióadatok elemzésére olyan rendellenességek felkutatása céljából, amelyek jelzik a felhasználó követését és a hamis bázisállomásokat. Azt is ellenőrizni lehet vele, hogy az eszközön futó Android firmware-ben befoltozták-e az ismert kritikus biztonsági réseket.
Erről azt kell tudni, hogy a Google által 2015 óta kiadott biztonsági frissítések két foltból állnak: az egyik javítja az Android Open Source Project (AOSP, Android nyílt forráskódú projekt) standard kódjában és komponenseiben található sebezhetőségeket, míg a másik az eszközspecifikus összetevők (például lapkakészlet-vezérlők) javításait tartalmazza, amelyek lehetnek nem nyílt forráskódúak is.
Mit mutatnak a tesztek?
Az SRLabs 2017-ben kezdte el tesztelni, hogy az androidos eszközök tartalmazzák-e az általuk jelentett biztonsági szintnek megfelelő összes komoly sérülékenység javítását. A tesztelés egy pár percig tartó bináris elemzésből áll. Csak azokat a sérülékenységeket vizsgálják, amelyeket a hackerek kihasználhatnak a mobilok feltörésére. A vállalat első, 2017-es adatokat tartalmazó jelentése megállapította, hogy sok készüléken nem találhatók meg a jelentett frissítési szintnek megfelelő javítások.
Egyes gyártók jobban teljesítettek, mint mások, és bizonyos lapkakészleteket használó telefonoknál nagyobb valószínűséggel hiányoztak a javítások, ami azt jelzi, hogy a problémát minden bizonnyal az ellátási lánc magasabb szintjein lévő hiányosságok okozzák.
Legújabb jelentésében az elmúlt évben elvégzett vizsgálatok biztató eredményeit tette közzé az SRLabs. Ebből úgy tűnik, a 2019-ben kiadott hivatalos firmware-ekből csak feleannyi javítás hiányzott, mint a 2018-ban kibocsátottakból. A Google, az LG, a Samsung, a ZTE, a Lenovo és a Xiaomi csupán nulla és 0,2 közötti javítást mulasztott el a teljes termékkínálatában, a Sony, a Nokia, a Huawei, a Motorola, az Asus és a OnePlus átlagosan 0,2 és 1 közötti foltról feledkezett meg, míg az Oppo és a HTC egy és kettő közöttiről.
Nem volt olyan gyártó, amely kettőnél több foltot hagyott volna ki, ami határozott javulás a 2017-ben és 2018-ban tapasztalt négy vagy több elmulasztott javításhoz képest. Noha a számuk nem tűnik soknak, a hiányzó foltok súlyos vagy kritikus minősítésű sebezhetőségek kiküszöbölésére készültek.
Azt is elemezték a berlini laborban, hogy a szállítók milyen gyorsan hajtották végre a javításokat, és adtak ki új firmware-verziókat azt követően, hogy a sérülékenységeket nyilvánosságra hozták a havi androidos biztonsági közleményekben. Ez azért nagyon fontos mérőszám, mert a Google a sérülékenységi információkat és a javításokat egy hónappal a nyilvános közzététel előtt megosztja a partnereivel, így a gyártóknak általában legalább egy hónapjuk van a frissítések előkészítésére és a tesztelésre. Az SRLabs adatai szerint a Google, a Sony és a Nokia integrálja és terjeszti a leggyorsabban a biztonsági frissítéseket, náluk gyakorlatilag nincs késlekedés. A Huawei átlagosan hatnapos, az LG tizenkét napos, a Samsung pedig tizennégy napos késéssel frissít. A többi gyártó átlagosan 15-31 napig vacakol a foltok kiadásával. Az átlagos frissítési késlekedés a teljes Android-ökoszisztémában 15 százalékkal csökkent, 44 napról 38 napra.
Minden bizonnyal a gyártók gyakorlatai közötti különbségek és a kínálatban tartott modellek számai közötti különbségek okozzák a differenciát, hiszen egyes cégek egyszerre négy nagy Android-változathoz - Android 7, 8, 9 és 10 - készítenek frissítéseket. Ráadásul rengeteg olyan okostelefon van használatban, amelyeknek véget ért a támogatása, vagyis nem kapnak már semmilyen biztonsági frissítést, ami azt jelzi, hogy az androidos eszközök támogatási időszaka túlságosan rövid.
Szerencsére a LineageOS-hez hasonló nyílt forráskódú közösségi firmware-ek a régi készülékekre is tudnak biztonsági frissítést adni azoknak, akik esetleg nem engedhetik meg maguknak új mobilkészülék vásárlását.
Android-frissítés a vállalatoknál
Karsten Nohl, az SRLabs vezető kutatója szerint a vállalatok zömmel az iOS-t választják az Android helyett, amikor alkalmazottaiknak mobiltelefont vásárolnak, mert úgy ítélik meg, hogy az Apple gondosabban frissíti okostelefonjait. A legújabb kutatás eredményei azt mutatják, hogy a helyzet javult az Android-ökoszisztémában, és ami a javításokat illeti, néhány androidos gyártó már utolérte az Apple-t.
Kétségkívül az Android mellett szól a kedvezőbb ár, de Nohl reméli, hogy kutatásaik eredményei segíthetnek a szervezeteknek olyan gyártót választani, amely igyekszik időben kiadni a biztonsági frissítéseket, és ezzel egyidejűleg ellenőrizni, hogy ezek a javítások teljesek-e.
Az SRLabs a mobil-lapkakészletek és az okostelefonok gyártóit megkeresve arra a következtetésre jutott, hogy még azok is az ő eszközeit használják a belső teszteléshez, amelyek nem reagáltak a kérdezősködésre. Nohl szerint a javulásnak oka lehet például, hogy a Google nyomást gyakorolt a szállítókra, a firmware-eket kevésbé alakítják át saját igényeik szerint a gyártók - az Android újabb verziói megkönnyítik a számukra, hogy különálló komponensekben hajtsák végre a testre szabást -, és hogy több tapasztalatot szereztek a frissítési folyamat optimalizálása terén.
Általánosságban elmondható, hogy azok a gyártók integrálják gyorsabban a javításokat, amelyek kevesebb modellt tartanak a kínálatukban. Ugyanakkor jó tudni, hogy nem feltétlenül a legújabb Android-verziót futtató modellek kapják meg először a javításokat, mivel nem forog belőlük közkézen annyi, mint a régebbi telefonokból, ezért hátrébb vannak a prioritási listán.
Legtöbbet a gyártók tehetnek azért, hogy a mobiljaikon futó Android-verziók a lehető legfrissebbek legyenek, de érdemes észben tartani, hogy a kevésbé elterjedt Android-változatoknál hosszabb időt vesz igénybe a biztonsági frissítések elkészítése, ezért az Android-ökoszisztéma használata továbbra is biztonsági kihívásokkal jár, amelyek főként a verziófragmentációból fakadnak.