Fabrikanten van Androidtelefoons hebben beveiligingsupdates voor hun toestellen vorig jaar sneller uitgebracht dan het jaar daarvoor, waarbij Google, Nokia en Sony het best presteren. Toch blijft het Android-ecosysteem gefragmenteerd, zo blijkt uit onderzoek van het Duitse SRLabs.
SRLabs baseert de data op een app die het ontwikkelde genaamd SnoopSnitch. De app, die meer dan 500.000 installaties heeft, controleert Androidtoestellen op ontbrekende beveiligingsupdates. Google publiceert elke maand op de eigen website beveiligingsupdates voor Android en rolt die onder de eigen Pixel-telefoons uit. Een maand voordat Google de updates openbaar maakt ontvangen fabrikanten de betreffende updates van Google. Die kunnen de updates zo aan hun eigen firmware toevoegen en onder klanten uitrollen.
Hoewel fabrikanten van tevoren de updates ontvangen zit er vaak een tijd tussen het moment dat Google de beveiligingsupdates op de eigen website aankondigt en het moment dat fabrikanten de patches voor hun toestellen uitrollen. In 2018 ging het nog om gemiddeld 44 dagen. Vorig jaar werden patches echter gemiddeld vijftien procent sneller door fabrikanten aan de eigen firmware toegevoegd, wat neerkomt op 38 dagen.
Google, Nokia en Sony presteren daarbij het best. Door Google beschikbaar gemaakte beveiligingsupdates worden direct aan de firmware van deze fabrikanten toegevoegd. Vivo, HTC en Xiaomi eindigen onderaan en hebben respectievelijk gemiddeld 26, 30 en 31 dagen nodig. Het gaat hierbij alleen om updates voor kwetsbaarheden die als high en critical zijn beoordeeld.
"De snelle fabrikanten gebruiken vanilla Android in plaats van zwaar aangepaste Androidversies, vandaar dat het hen minder moeite kost om patches toe te passen. De snellere fabrikanten hebben ook minder toestellen uitgebracht, wat het patchproces verder stroomlijnt in vergelijking met fabrikanten die een groot aantal toestellen in hun portfolio moeten beheren", aldus de onderzoekers.
Fabrikanten blijken niet alleen sneller te patchen, ook het patchproces zelf is verbeterd, aldus de onderzoekers. Androidfabrikanten claimen dat ze alle door Google beschikbaar gemaakte Android-updates aan hun eigen firmware toevoegen, maar in de praktijk blijkt dit niet altijd zo te zijn. Gebruikers denken daardoor dat hun toestel volledig gepatcht is, terwijl er nog steeds kwetsbaarheden aanwezig zijn.
In 2018 bleken de onderzochte Androidtoestellen gemiddeld 0,7 patches te missen. Vorig jaar was dat gedaald naar 0,3. De onderzoekers merken op dat het ontbreken van een patch nog niet automatisch inhoudt dat de betreffende kwetsbaarheid ook is te misbruiken.
De onderzoekers noemen de cijfers bemoedigend, maar stellen aan de andere kant vast dat het Android-ecosysteem steeds meer gefragmenteerd wordt. Fabrikanten moeten namelijk verschillende Androidversies ondersteunen. Daarnaast zijn er ook nog tal van Androidtoestellen in omloop die een niet meer ondersteunde versie draaien waarvoor geen updates verschijnen. Fabrikanten blijken daarbij veelgebruikte Androidversies beter te ondersteunen dan minder gebruikte versies, die langer moeten wachten voordat ze een update ontvangen. Deze gefragmenteerde aard zorgt dan ook dat het Android-ecosysteem nog steeds met security-uitdagingen te maken heeft, zo concluderen de onderzoekers.
Deze posting is gelocked. Reageren is niet meer mogelijk.