Производители смартфонов на Android лгут о выходе патчей, - эксперты

Опубликовано: Вторник, 17 апреля 2018 01:34

Специалисты Security Research Labs Карстен Нол и Якоб Лелл заявили, что производители смартфонов на Android лгут о выходе патчей и создают лишь видимость защиты.

Об этом сообщается на сайте Security Research Labs.

Исследователи обнаружили, что многие крупные производители устройств на Android, в том числе компании Samsung, Xiaomi, OnePlus, Sony, HTC, LG, ZTE и Huawei, лишь создают видимость выхода патчей, тогда как на самом деле многие баги остаются неисправленными.

Проблема обновления Android-устройств всегда стояла очень остро. В настоящее время разработчики Google каждый месяц выпускают набор обновлений безопасности для своей ОС, а далее эти патчи попадают в руки производителей многочисленных устройств, которые должны самостоятельно адаптировать обновления для своих продуктов и донести их до конечных пользователей. К сожалению, фрагментация рынка по-прежнему велика, а вендоры по-разному относятся к своим обязанностям. Из-за этого многие устройства не получают важных обновлений вовсе.

Capture2

На протяжении двух лет Нол и Лелл тщательно изучали состав обновлений безопасности, выпускаемых крупнейшими производителями устройств на базе Android, и проделали огромную работу. Специалисты изучили свыше 1200 смартфонов.

Как показало исследование, многие производители хитрят во время выпуска обновлений. Хотя они утверждают, что их устройства получили все актуальные патчи, это ложь, так как некоторые исправления, по неизвестным причинам, "выпадают" из списков и в итоге вообще не доходят до пользователей, о чем те даже не могут узнать. Эксперты объясняют, что порой некоторые патчи не получают даже устройства Pixel.

Capture

Так, на большинстве устройств Sony и Samsung может не хватать лишь пары обновлений, что может быть простой случайностью. Однако в некоторых случаях все обстоит гораздо хуже. Так, смартфоны J3, выпущенные Samsung в 2016 году, должны иметь все обновления безопасности за 2017 год, но на самом деле 12 патчей не хватает, причем два исправления - критические. 

Нол и Лелл объясняют, что зачастую проблемой на пути обновлений становятся производители чипсетов, а не сами изготовители смартфонов. К примеру, компания Mediatek зачастую "забывает" о 9-10 патчах, выход которых происходит значительно позже заявленных дат.

В целом аналитики Security Research Labs пришли к следующим выводам, относительно крупных производителей:

0-1 пропущенных патчей: Google, Sony, Samsung, Wiko Mobile;
1-3 пропущенных патчей: Xiaomi, OnePlus, Nokia;
3-4 пропущенных пата: HTC, Huawei, LG, Motorola;
4 и более пропущенных патчей: TCL, ZTE.

 missed patches by vendor 1 1

Для проверки устройств на предмет установленных патчей исследователи создали специальное бесплатное приложение SnoopSnitch, которое позволяет узнать, какие исправления на самом деле установлены на устройстве.