image

Onderzoek: Androidfabrikanten rollen beveiligingsupdates sneller uit

dinsdag 28 april 2020, 09:53 door Redactie, 14 reacties

Fabrikanten van Androidtelefoons hebben beveiligingsupdates voor hun toestellen vorig jaar sneller uitgebracht dan het jaar daarvoor, waarbij Google, Nokia en Sony het best presteren. Toch blijft het Android-ecosysteem gefragmenteerd, zo blijkt uit onderzoek van het Duitse SRLabs.

SRLabs baseert de data op een app die het ontwikkelde genaamd SnoopSnitch. De app, die meer dan 500.000 installaties heeft, controleert Androidtoestellen op ontbrekende beveiligingsupdates. Google publiceert elke maand op de eigen website beveiligingsupdates voor Android en rolt die onder de eigen Pixel-telefoons uit. Een maand voordat Google de updates openbaar maakt ontvangen fabrikanten de betreffende updates van Google. Die kunnen de updates zo aan hun eigen firmware toevoegen en onder klanten uitrollen.

Hoewel fabrikanten van tevoren de updates ontvangen zit er vaak een tijd tussen het moment dat Google de beveiligingsupdates op de eigen website aankondigt en het moment dat fabrikanten de patches voor hun toestellen uitrollen. In 2018 ging het nog om gemiddeld 44 dagen. Vorig jaar werden patches echter gemiddeld vijftien procent sneller door fabrikanten aan de eigen firmware toegevoegd, wat neerkomt op 38 dagen.

Google, Nokia en Sony presteren daarbij het best. Door Google beschikbaar gemaakte beveiligingsupdates worden direct aan de firmware van deze fabrikanten toegevoegd. Vivo, HTC en Xiaomi eindigen onderaan en hebben respectievelijk gemiddeld 26, 30 en 31 dagen nodig. Het gaat hierbij alleen om updates voor kwetsbaarheden die als high en critical zijn beoordeeld.

"De snelle fabrikanten gebruiken vanilla Android in plaats van zwaar aangepaste Androidversies, vandaar dat het hen minder moeite kost om patches toe te passen. De snellere fabrikanten hebben ook minder toestellen uitgebracht, wat het patchproces verder stroomlijnt in vergelijking met fabrikanten die een groot aantal toestellen in hun portfolio moeten beheren", aldus de onderzoekers.

Ontbrekende updates

Fabrikanten blijken niet alleen sneller te patchen, ook het patchproces zelf is verbeterd, aldus de onderzoekers. Androidfabrikanten claimen dat ze alle door Google beschikbaar gemaakte Android-updates aan hun eigen firmware toevoegen, maar in de praktijk blijkt dit niet altijd zo te zijn. Gebruikers denken daardoor dat hun toestel volledig gepatcht is, terwijl er nog steeds kwetsbaarheden aanwezig zijn.

In 2018 bleken de onderzochte Androidtoestellen gemiddeld 0,7 patches te missen. Vorig jaar was dat gedaald naar 0,3. De onderzoekers merken op dat het ontbreken van een patch nog niet automatisch inhoudt dat de betreffende kwetsbaarheid ook is te misbruiken.

Gefragmenteerd

De onderzoekers noemen de cijfers bemoedigend, maar stellen aan de andere kant vast dat het Android-ecosysteem steeds meer gefragmenteerd wordt. Fabrikanten moeten namelijk verschillende Androidversies ondersteunen. Daarnaast zijn er ook nog tal van Androidtoestellen in omloop die een niet meer ondersteunde versie draaien waarvoor geen updates verschijnen. Fabrikanten blijken daarbij veelgebruikte Androidversies beter te ondersteunen dan minder gebruikte versies, die langer moeten wachten voordat ze een update ontvangen. Deze gefragmenteerde aard zorgt dan ook dat het Android-ecosysteem nog steeds met security-uitdagingen te maken heeft, zo concluderen de onderzoekers.

Image

Reacties (14)
28-04-2020, 10:30 door Anoniem
Leuk, maar mijn Samsung A5 (2017) die ik in 2018 van mijn werkgever heb ontvangen lijkt nu al geen updates mee te ontvangen (niveau beveiligingspatch 1 feb 2020). Bij Apple gaat het gelukkig wat langer door ...

Klopt het trouwens dat SnoopSnitch zelf niet bij is? Komt in de specificatie van de testresultaten niet verder dan 2019 / pakt 2020 niet mee.
28-04-2020, 11:19 door Anoniem
Door Anoniem: Leuk, maar mijn Samsung A5 (2017) die ik in 2018 van mijn werkgever heb ontvangen lijkt nu al geen updates mee te ontvangen (niveau beveiligingspatch 1 feb 2020). Bij Apple gaat het gelukkig wat langer door ...
Even een 3 seconden google search:

Current Models for Quarterly Security Updates
Galaxy A2 Core, Galaxy A5 (2017), Galaxy A6, Galaxy A6+, Galaxy A7 (2018)

[ulr]https://security.samsungmobile.com/workScope.smsb[/url]
28-04-2020, 11:37 door Anoniem
Van geen naar 1 updates per jaar is natuurlijk al een forse winst.
Maar Android koop je om het budget, niet om de security updates lijkt me ;)
(Hoewel sommige merken prijzen hanteren waar je wel updates bij zou verwachten)
28-04-2020, 11:40 door The FOSS
Door Anoniem: ...Current Models for Quarterly Security Updates
Galaxy A5 (2017) ...

Plus: LineageOS ondersteunt dat toestel - https://wiki.lineageos.org/devices/a5y17lte
28-04-2020, 11:44 door Anoniem
Door The FOSS:
Door Anoniem: ...Current Models for Quarterly Security Updates
Galaxy A5 (2017) ...

Plus: LineageOS ondersteunt dat toestel - https://wiki.lineageos.org/devices/a5y17lte

Het is een toestel van zijn werkgever, het zal niet gewaardeerd worden als hij'
daar een ander OS op zet.
28-04-2020, 12:37 door [Account Verwijderd] - Bijgewerkt: 28-04-2020, 12:40
Vandaag, toevallig op de Alcatel 1S (2019) met Android 9 nu al de 5de patch ontvangen sinds oktober 2019 toen ik het toestel kocht. De goedkopere modellen van het zelfde merk werden vroeger minder vaak van een update voorzien en dat gaf nogal wat klachten bij de gebruikers. Nu worden de duurdere toestellen met Android wel beter ondersteund, maar persoonlijk vind ik de periode van ondersteuning wel erg kort. Misschien dat de Consumentenbond daar wat meer aandacht aan wil geven bij de fabrikanten en bij Google?
28-04-2020, 12:53 door Anoniem
Tja, waarom je dan nog zorgen maken over corona-apps en of patches voor bluetooth.
Tegen de tijd dat die functionaliteit alle Android toestellen bereikt heeft, zijn we met zijn allen al weer overgegaan op een volgende crisis.
28-04-2020, 13:05 door Anoniem
Google doet zich voor als een partij die het allemaal oh zo goed en veilig voor consumenten wil regelen (privacy hebben we het even niet over).

Stel een patch beleid vast, zeg tegen fabrikanten dat ze zich daaraan moeten houden en anders wordt de Android licentie ingertrokken.
28-04-2020, 13:35 door The FOSS
Door Anoniem:
Door The FOSS:
Door Anoniem: ...Current Models for Quarterly Security Updates
Galaxy A5 (2017) ...

Plus: LineageOS ondersteunt dat toestel - https://wiki.lineageos.org/devices/a5y17lte

Het is een toestel van zijn werkgever, het zal niet gewaardeerd worden als hij'
daar een ander OS op zet.

Oh? Waarom niet? Vermoed je dat zijn werkgever er spyware op heeft gezet?
28-04-2020, 13:39 door Anoniem
Door Advanced Encryption Standard: Vandaag, toevallig op de Alcatel 1S (2019) met Android 9 nu al de 5de patch ontvangen sinds oktober 2019 toen ik het toestel kocht. De goedkopere modellen van het zelfde merk werden vroeger minder vaak van een update voorzien en dat gaf nogal wat klachten bij de gebruikers.

Dat zal best zo zijn in het denkbeeld van IT'ers maar ik kan je verzekeren dat gebruikers veel meer klagen over het
regelmatig installeren van updates dan over het uitblijven daarvan! Zeker ook omdat het niet altijd goed gaat.
We hebben al een paar keer issues gehad met updates op Samsung telefoons waarbij na de update de telefoon
niet meer te unlocken is met de bij de gebruiker bekende 6-cijferige pin. Het rare is dat hij dan soms wel te unlocken
is met een code die vroeger eens gebruikt is maar daarna veranderd.
Ik heb het vermoeden dat het iets te maken heeft met het feit dat deze toestellen "altijd aan" staan en dus de installatie
van een update de eerste reboot sinds vele maanden is. Of het iets te maken heeft met die update of alleen maar met
de reboot dat weet ik niet, maar de gebruiker zit er maar wel mooi mee.

(ditzelfde heb je ook met Windows, systemen die het altijd goed deden tot er een update gedaan wordt. Of het systeem
wordt steeds trager of de disk steeds voller. Daarom zetten ook zoveel thuisgebruikers die updates uit)
28-04-2020, 15:53 door Anoniem
Door The FOSS:
Door Anoniem:
Door The FOSS:
Door Anoniem: ...Current Models for Quarterly Security Updates
Galaxy A5 (2017) ...

Plus: LineageOS ondersteunt dat toestel - https://wiki.lineageos.org/devices/a5y17lte

Het is een toestel van zijn werkgever, het zal niet gewaardeerd worden als hij'
daar een ander OS op zet.

Oh? Waarom niet? Vermoed je dat zijn werkgever er spyware op heeft gezet?
Misschien omdat dat mobieltje NIET zijn eigendom is?
28-04-2020, 18:57 door linux4
Door The FOSS:
Door Anoniem: ...Current Models for Quarterly Security Updates
Galaxy A5 (2017) ...

Plus: LineageOS ondersteunt dat toestel - https://wiki.lineageos.org/devices/a5y17lte

Helaas ontbreken er bij LineageOS ook veel modellen. Was op zoek voor mij S3 Mini en Note 3 Neo maar helaas. Echt jammer, ga je serieus op zoek blijken veel modellen domweg niet om te zetten. Bij de TWRP recovery houd het al op.
28-04-2020, 19:00 door linux4 - Bijgewerkt: 28-04-2020, 19:01
Door Anoniem: Van geen naar 1 updates per jaar is natuurlijk al een forse winst.
Maar Android koop je om het budget, niet om de security updates lijkt me ;)
(Hoewel sommige merken prijzen hanteren waar je wel updates bij zou verwachten)

Tot nu toe waren iPhones ook wel echt overpriced. Ze zijn snel, goed en je krijgt lang updates maar laatste jaren waren de prijzen wel een beetje van "wat de gek ervoor geeft", zeker omdat Apple nauwelijks meer innoveert in echt nieuwe features sinds de dood van Steve Jobs.

Ben blij met het uitkomen van de SE 2020, dat belooft iets goed voor een schappelijke prijs.
28-04-2020, 21:02 door The FOSS
Door linux4:
Door The FOSS:
Door Anoniem: ...Current Models for Quarterly Security Updates
Galaxy A5 (2017) ...

Plus: LineageOS ondersteunt dat toestel - https://wiki.lineageos.org/devices/a5y17lte

Helaas ontbreken er bij LineageOS ook veel modellen. Was op zoek voor mij S3 Mini en Note 3 Neo maar helaas. Echt jammer, ga je serieus op zoek blijken veel modellen domweg niet om te zetten. Bij de TWRP recovery houd het al op.

Ja, je bent afhankelijk van of iemand zo'n model oppikt of niet. Bij de minder gebruikte modellen wordt dat soms gewoon niet gedaan. Misschien een andere custom ROM?

SIII Mini: https://forum.xda-developers.com/galaxy-s3-mini
Note 3 Neo: https://forum.xda-developers.com/note-3-neo
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.