Zojuist heb ik in
http://tweakers.net/categorie/215/smartphones/producten/ "Versie besturingssysteem" opengeklapt en daarna op "Alle opties" geklikt. De Android versies heb ik uit de lijst gekopieerd en gesorteerd, waarna te zien is hoeveel nieuwe telefoons met een specifieke Android versie kennelijk (nog) worden verkocht:
Google Android 2.2 (2)
Google Android 2.3 (53)
Google Android 4.0 (34)
Google Android 4.1 (147)
Google Android 4.2 (201)
Google Android 4.3 (80)
Google Android 4.4 (224)
Opgeteld, voor bijvoorbeeld Android 4.3 of ouder, zijn dat 517 modellen. Ik vrees dat een groot deel van deze smartphones geen updates zullen ontvangen, maar daar heb ik geen cijfers over. En dit is niet specifiek een Samsung probleem.
Overigens bevatten alleen Android 4.1.0 en 4.1.1 het Heartbleed lek. Oudere en nieuwere versies bevatten echter wel andere OpenSSL kwetsbaarheden. Hoewel oude smartphones veel kwetsbaarheden hebben kun je het risico flink verlagen door er verstandig mee om te gaan. Installeer een recente webbrowser (zoals Firefox). Zorg dat er geen privacygevoelige gegevens op komen, want zelfs als je het geheugen en flashkaart kunt versleutelen
en een degelijk wachtwoord gebruikt, is de kans groot dat daar een bypass voor bestaat. Ik zou er niet mee internetbankieren.
Uit
http://developer.android.com/google/play-services/index.html onder "Google Play services, Version 5.0 (July 2014)", onderstrepen heb ik gedaan:
Security - The Security API allows you to easily install a dynamic security provider. New versions of Google Play Services will keep the security provider up-to-date with the latest security fixes as those become available.
Volgens verschillende blogs en media zou Google op deze manier kritieke lekken (deels?) kunnen patchen, maar het is mij niet duidelijk of en wat je daarvoor moet installeren en hoe je als gebruiker kunt zien of deze "DSP" (Dynamic Security Provider) is geïnstalleerd en of deze up-to-date is.
Op de Play store pagina
https://play.google.com/store/apps/details?id=com.google.android.gms staat dat deze op 17 september is geupdate en dat de laatste versie 4.4.52 is, maar dat is fout (bij mij draait 5.0.89). Er is niets te vinden over genoemde DSP.
Ook verder op internet lijkt geen informatie te vinden te zijn over
welke lekken Google via DSP patcht (of zelfs welke
soorten lekken ermee gedicht kunnen worden); zie vooral de 2e bijdrage in
http://www.howardforums.com/showthread.php/1840502-Play-Services-5-0-x-Dynamic-Security-Provider-question.
In
http://androidtamer.com/android-security-enhancements/ vind je een overzicht van security fixes in Android versies. Hierin vind je echter lang niet alle gepubliceerde kwetsbaarheden.
Kennen jullie ander pagina's met vergelijkbare informatie?
Wat zijn jullie ervaringen met de "dynamic security provider"? Hoe zie je of die, en welke versie ervan is geïnstalleerd? Weet iemand meer over lekken die daardoor worden gedicht?