Onderzoek: Androidfabrikanten rollen beveiligingsupdates sneller uit
Fabrikanten van Androidtelefoons hebben beveiligingsupdates voor hun toestellen vorig jaar sneller uitgebracht dan het jaar daarvoor, waarbij Google, Nokia en Sony het best presteren. Toch blijft het Android-ecosysteem gefragmenteerd, zo blijkt uit onderzoek van het Duitse SRLabs.
SRLabs baseert de data op een app die het ontwikkelde genaamd SnoopSnitch. De app, die meer dan 500.000 installaties heeft, controleert Androidtoestellen op ontbrekende beveiligingsupdates. Google publiceert elke maand op de eigen website beveiligingsupdates voor Android en rolt die onder de eigen Pixel-telefoons uit. Een maand voordat Google de updates openbaar maakt ontvangen fabrikanten de betreffende updates van Google. Die kunnen de updates zo aan hun eigen firmware toevoegen en onder klanten uitrollen.
Hoewel fabrikanten van tevoren de updates ontvangen zit er vaak een tijd tussen het moment dat Google de beveiligingsupdates op de eigen website aankondigt en het moment dat fabrikanten de patches voor hun toestellen uitrollen. In 2018 ging het nog om gemiddeld 44 dagen. Vorig jaar werden patches echter gemiddeld vijftien procent sneller door fabrikanten aan de eigen firmware toegevoegd, wat neerkomt op 38 dagen.
Google, Nokia en Sony presteren daarbij het best. Door Google beschikbaar gemaakte beveiligingsupdates worden direct aan de firmware van deze fabrikanten toegevoegd. Vivo, HTC en Xiaomi eindigen onderaan en hebben respectievelijk gemiddeld 26, 30 en 31 dagen nodig. Het gaat hierbij alleen om updates voor kwetsbaarheden die als high en critical zijn beoordeeld.
"De snelle fabrikanten gebruiken vanilla Android in plaats van zwaar aangepaste Androidversies, vandaar dat het hen minder moeite kost om patches toe te passen. De snellere fabrikanten hebben ook minder toestellen uitgebracht, wat het patchproces verder stroomlijnt in vergelijking met fabrikanten die een groot aantal toestellen in hun portfolio moeten beheren", aldus de onderzoekers.
Ontbrekende updates
Fabrikanten blijken niet alleen sneller te patchen, ook het patchproces zelf is verbeterd, aldus de onderzoekers. Androidfabrikanten claimen dat ze alle door Google beschikbaar gemaakte Android-updates aan hun eigen firmware toevoegen, maar in de praktijk blijkt dit niet altijd zo te zijn. Gebruikers denken daardoor dat hun toestel volledig gepatcht is, terwijl er nog steeds kwetsbaarheden aanwezig zijn.
In 2018 bleken de onderzochte Androidtoestellen gemiddeld 0,7 patches te missen. Vorig jaar was dat gedaald naar 0,3. De onderzoekers merken op dat het ontbreken van een patch nog niet automatisch inhoudt dat de betreffende kwetsbaarheid ook is te misbruiken.
Gefragmenteerd
De onderzoekers noemen de cijfers bemoedigend, maar stellen aan de andere kant vast dat het Android-ecosysteem steeds meer gefragmenteerd wordt. Fabrikanten moeten namelijk verschillende Androidversies ondersteunen. Daarnaast zijn er ook nog tal van Androidtoestellen in omloop die een niet meer ondersteunde versie draaien waarvoor geen updates verschijnen. Fabrikanten blijken daarbij veelgebruikte Androidversies beter te ondersteunen dan minder gebruikte versies, die langer moeten wachten voordat ze een update ontvangen. Deze gefragmenteerde aard zorgt dan ook dat het Android-ecosysteem nog steeds met security-uitdagingen te maken heeft, zo concluderen de onderzoekers.
Klopt het trouwens dat SnoopSnitch zelf niet bij is? Komt in de specificatie van de testresultaten niet verder dan 2019 / pakt 2020 niet mee.
Current Models for Quarterly Security Updates
Galaxy A2 Core, Galaxy A5 (2017), Galaxy A6, Galaxy A6+, Galaxy A7 (2018)
[ulr]https://security.samsungmobile.com/workScope.smsb[/url]
Maar Android koop je om het budget, niet om de security updates lijkt me ;)
(Hoewel sommige merken prijzen hanteren waar je wel updates bij zou verwachten)
Galaxy A5 (2017) ...
Plus: LineageOS ondersteunt dat toestel - https://wiki.lineageos.org/devices/a5y17lte
Galaxy A5 (2017) ...
Plus: LineageOS ondersteunt dat toestel - https://wiki.lineageos.org/devices/a5y17lte
Het is een toestel van zijn werkgever, het zal niet gewaardeerd worden als hij'
daar een ander OS op zet.
Tegen de tijd dat die functionaliteit alle Android toestellen bereikt heeft, zijn we met zijn allen al weer overgegaan op een volgende crisis.
Stel een patch beleid vast, zeg tegen fabrikanten dat ze zich daaraan moeten houden en anders wordt de Android licentie ingertrokken.
Galaxy A5 (2017) ...
Plus: LineageOS ondersteunt dat toestel - https://wiki.lineageos.org/devices/a5y17lte
Het is een toestel van zijn werkgever, het zal niet gewaardeerd worden als hij'
daar een ander OS op zet.
Oh? Waarom niet? Vermoed je dat zijn werkgever er spyware op heeft gezet?
Dat zal best zo zijn in het denkbeeld van IT'ers maar ik kan je verzekeren dat gebruikers veel meer klagen over het
regelmatig installeren van updates dan over het uitblijven daarvan! Zeker ook omdat het niet altijd goed gaat.
We hebben al een paar keer issues gehad met updates op Samsung telefoons waarbij na de update de telefoon
niet meer te unlocken is met de bij de gebruiker bekende 6-cijferige pin. Het rare is dat hij dan soms wel te unlocken
is met een code die vroeger eens gebruikt is maar daarna veranderd.
Ik heb het vermoeden dat het iets te maken heeft met het feit dat deze toestellen "altijd aan" staan en dus de installatie
van een update de eerste reboot sinds vele maanden is. Of het iets te maken heeft met die update of alleen maar met
de reboot dat weet ik niet, maar de gebruiker zit er maar wel mooi mee.
(ditzelfde heb je ook met Windows, systemen die het altijd goed deden tot er een update gedaan wordt. Of het systeem
wordt steeds trager of de disk steeds voller. Daarom zetten ook zoveel thuisgebruikers die updates uit)
Galaxy A5 (2017) ...
Plus: LineageOS ondersteunt dat toestel - https://wiki.lineageos.org/devices/a5y17lte
Het is een toestel van zijn werkgever, het zal niet gewaardeerd worden als hij'
daar een ander OS op zet.
Oh? Waarom niet? Vermoed je dat zijn werkgever er spyware op heeft gezet?
Galaxy A5 (2017) ...
Plus: LineageOS ondersteunt dat toestel - https://wiki.lineageos.org/devices/a5y17lte
Helaas ontbreken er bij LineageOS ook veel modellen. Was op zoek voor mij S3 Mini en Note 3 Neo maar helaas. Echt jammer, ga je serieus op zoek blijken veel modellen domweg niet om te zetten. Bij de TWRP recovery houd het al op.
Maar Android koop je om het budget, niet om de security updates lijkt me ;)
(Hoewel sommige merken prijzen hanteren waar je wel updates bij zou verwachten)
Tot nu toe waren iPhones ook wel echt overpriced. Ze zijn snel, goed en je krijgt lang updates maar laatste jaren waren de prijzen wel een beetje van "wat de gek ervoor geeft", zeker omdat Apple nauwelijks meer innoveert in echt nieuwe features sinds de dood van Steve Jobs.
Ben blij met het uitkomen van de SE 2020, dat belooft iets goed voor een schappelijke prijs.
Galaxy A5 (2017) ...
Plus: LineageOS ondersteunt dat toestel - https://wiki.lineageos.org/devices/a5y17lte
Helaas ontbreken er bij LineageOS ook veel modellen. Was op zoek voor mij S3 Mini en Note 3 Neo maar helaas. Echt jammer, ga je serieus op zoek blijken veel modellen domweg niet om te zetten. Bij de TWRP recovery houd het al op.
Ja, je bent afhankelijk van of iemand zo'n model oppikt of niet. Bij de minder gebruikte modellen wordt dat soms gewoon niet gedaan. Misschien een andere custom ROM?
SIII Mini: https://forum.xda-developers.com/galaxy-s3-mini
Note 3 Neo: https://forum.xda-developers.com/note-3-neo
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
