Fabrikanten van Android-telefoons liegen over de installatie van updates waardoor gebruikers denken dat hun toestel up-to-date is, terwijl ze in werkelijkheid kwetsbaar zijn, zo blijkt uit onderzoek van Karsten Nohl en Jakob Lell van Security Research Labs. De twee onderzoekers zullen hun bevindingen morgen tijdens de Hack in the Box-conferentie in Amsterdam presteren, maar hebben details nu al met Wired gedeeld.
Twee jaar lang analyseerden de twee de besturingssystemen van allerlei Android-telefoons om te kijken of de aangegeven beveiligingsupdates ook daadwerkelijk waren geïnstalleerd. Ze ontdekten dat sommige fabrikanten gebruikers laten weten dat ze over alle Android-beveiligingsupdates tot een bepaalde datum beschikten, terwijl er in werkelijkheid tientallen updates ontbreken, waardoor de telefoons kwetsbaar voor aanvallen zijn.
"We ontdekten dat er een gat zit tussen de claims over patches en de daadwerkelijk geïnstalleerde patches op een toestel. Voor sommige apparaten is het klein en voor andere groot", aldus Nohl. Volgens de onderzoeker geven Android-fabrikanten opzettelijk verkeerde informatie over wanneer het toestel voor het laatst is gepatcht. "Soms veranderen ze alleen de datum zonder enige updates te installeren. Waarschijnlijk voor marketingdoeleinden."
In totaal werd de firmware van 1200 toestellen van meer dan een dozijn fabrikanten getest. Het ging om toestellen van Google zelf, alsmede van bedrijven als Samsung, Motorola en HTC. Zelfs bij duurdere Android-telefoons wordt aangegeven dat patches zijn geïnstalleerd terwijl dit niet het geval is. Bij goedkopere modellen was de situatie echter erger. Telefoons van onder andere Xiaomi en Nokia misten gemiddeld één tot drie updates. Bij HTC, Motorola en LG ging het gemiddeld om drie tot vier patches waarvan beweerd werd dat ze geïnstalleerd waren. Fabrikanten TCL en ZTE komen als slechtste uit de bus. Gemiddeld claimden de toestellen van deze fabrikanten over meer dan vier patches te beschikken dan in werkelijkheid aanwezig waren. Google laat in een reactie tegenover Wired weten dat sommige toestellen mogelijk geen gecertificeerde apparaten waren en er een onderzoek is gestart.
Deze posting is gelocked. Reageren is niet meer mogelijk.