Security Research Labsin tekemän tutkimuksen mukaan Android-valmistajilta jää usein päivityksiä välistä ja pahimmillaan valmistajat vaihtavat päivityksillä vain viimeisen päivityksen päivämäärän.

Security Research Labs esitteli viime viikon lopulla Hack in the Box -tapahtumassa tekemäänsä tutkimusta Android-puhelimista ja niiden tietoturvapäivityksistä. Tutkimuksen tuloksia voidaan pitää liki skandaalinomaisina, sillä ne kertovat puhelinvalmistajien huijaavan tietoturvapäivitysten asennuksessa.

Useat Android-valmistajat ovat saaneet niskaansa kritiikkiä tietoturvapäivityksien hitaudesta jo pitkään niin käyttäjiltä, verkkosivustoilta kuin suoraan Googleltakin. SRL:n tutkimuksen mukaan todellisuus on kuitenkin vielä selvästi synkempi, sillä sen mukaan valmistajat valehtelevat suoraan päivitystensä tasosta.

Tyypillisimmillään kyse on väitteestä, että puhelimessa olisi kaikki päivitykset tiettyyn päivämäärään asti, kun todellisuudessa välistä on jäänyt puuttumaan yksi tai useampi päivitys, minkä vuoksi puhelimeen on jäänyt paikkaamattomia tietoturva-aukkoja. Pahimmillaan valmistajien kerrotaan jopa päivittäneet ”tietoturvapäivityksenä” vain tietoturvapäivitysten päivämäärän koskematta mihinkään muuhun.

Tulosten joukosta löytyi myös todellisia outolintuja kuten Samsungin Galaxy J5 (2016) ja J3 (2016), joista ensimmäinen ilmoitti oikein mitä päivityksiä puhelimeen oli asennettu jälkimmäisen väittäessä kaikkien olevan asennettu tiettyyn päivämäärään asti, vaikka välistä puuttui lukuisia päivityksiä.

Google on ainakin tässä vaiheessa ottanut asiaan varovaisen kannan. Yhtiön Android-tietoturvajohtaja Scott Robertsin mukaan SRL:n tutkimus ei ota huomioon tapauksia, joissa puhelinvalmistaja on päätynyt käyttämään jotain muuta kuin Googlen suosittelemaa päivitystä. Lisäksi hän huomautti, etteivät kaikki testatuista puhelimista olleet sertifioituja Android-laitteita, jolloin niiden ei voida myöskään olettaa noudattavan Androidin tietoturvastandardeja.

Wired on julkaissut artikkelinsa ohessa myös lukuja tutkimuksesta. SRL:n tutkimuksen mukaan parhaat paperit saavat 0 – 1 välistä jääneellä päivityksellä Google itse, Sony, Samsung ja Wiko. 1 – 3 välistä jäänyttä päivitystä löytyi Xiaomin, OnePlussan ja Nokian puhelimista ja 3 – 4 välistä jäänyttä päivitystä HTC:n, Huawein, LG:n ja Motorolan puhelimista. Listan perää yli neljällä välistä jääneellä päivityksellä pitävät TCL ja ZTE. Taulukko ei tarkenna, onko kyse keskiarvoista kaikkien yhtiön puhelinten kohdalla vai esimerkiksi pahimmasta valmistajakohtaisesta puhelinmallista, tai että onko listauksessa mukana kaikki tutkimuksessa olleet puhelinmerkit. Myös puhelimen järjestelmäpiirin valmistajalla on merkitystä: edullisimmilla MediaTekin-järjestelmäpiireillä päivitykset jäävät moninkertaisesti muita useammin väliin.

HMD Globalin tuotepäällikkö (Chief Product Officer) Juho Sarvikas kommentoi io-techille yrityksen toimittaneen järjestelmällisesti kuukausittaiset tietoturvapäivitykset jokaiseen tuotteeseensa ja kertoo korjausten vaikuttavan eri osa-alueisiin, kuten yhteysominaisuuksiin ja multimediaominaisuuksiin. Sarvikkaan mukaan ei ole tiedossa, että Nokia-puhelimista olisi jäänyt vanhoja tietoturvakorjauksia välistä, mutta yritys aikoo vahvistaa SRL:n tutkimusten pohjalta, ettei niin ole todella käynyt.

Lähteet: Wired, The Guardian

This site uses XenWord.