Security Research Labs esitteli viime viikon lopulla Hack in the Box -tapahtumassa tekemäänsä tutkimusta Android-puhelimista ja niiden tietoturvapäivityksistä. Tutkimuksen tuloksia voidaan pitää liki skandaalinomaisina, sillä ne kertovat puhelinvalmistajien huijaavan tietoturvapäivitysten asennuksessa.
Useat Android-valmistajat ovat saaneet niskaansa kritiikkiä tietoturvapäivityksien hitaudesta jo pitkään niin käyttäjiltä, verkkosivustoilta kuin suoraan Googleltakin. SRL:n tutkimuksen mukaan todellisuus on kuitenkin vielä selvästi synkempi, sillä sen mukaan valmistajat valehtelevat suoraan päivitystensä tasosta.
Tyypillisimmillään kyse on väitteestä, että puhelimessa olisi kaikki päivitykset tiettyyn päivämäärään asti, kun todellisuudessa välistä on jäänyt puuttumaan yksi tai useampi päivitys, minkä vuoksi puhelimeen on jäänyt paikkaamattomia tietoturva-aukkoja. Pahimmillaan valmistajien kerrotaan jopa päivittäneet ”tietoturvapäivityksenä” vain tietoturvapäivitysten päivämäärän koskematta mihinkään muuhun.
Tulosten joukosta löytyi myös todellisia outolintuja kuten Samsungin Galaxy J5 (2016) ja J3 (2016), joista ensimmäinen ilmoitti oikein mitä päivityksiä puhelimeen oli asennettu jälkimmäisen väittäessä kaikkien olevan asennettu tiettyyn päivämäärään asti, vaikka välistä puuttui lukuisia päivityksiä.
Google on ainakin tässä vaiheessa ottanut asiaan varovaisen kannan. Yhtiön Android-tietoturvajohtaja Scott Robertsin mukaan SRL:n tutkimus ei ota huomioon tapauksia, joissa puhelinvalmistaja on päätynyt käyttämään jotain muuta kuin Googlen suosittelemaa päivitystä. Lisäksi hän huomautti, etteivät kaikki testatuista puhelimista olleet sertifioituja Android-laitteita, jolloin niiden ei voida myöskään olettaa noudattavan Androidin tietoturvastandardeja.
Wired on julkaissut artikkelinsa ohessa myös lukuja tutkimuksesta. SRL:n tutkimuksen mukaan parhaat paperit saavat 0 – 1 välistä jääneellä päivityksellä Google itse, Sony, Samsung ja Wiko. 1 – 3 välistä jäänyttä päivitystä löytyi Xiaomin, OnePlussan ja Nokian puhelimista ja 3 – 4 välistä jäänyttä päivitystä HTC:n, Huawein, LG:n ja Motorolan puhelimista. Listan perää yli neljällä välistä jääneellä päivityksellä pitävät TCL ja ZTE. Taulukko ei tarkenna, onko kyse keskiarvoista kaikkien yhtiön puhelinten kohdalla vai esimerkiksi pahimmasta valmistajakohtaisesta puhelinmallista, tai että onko listauksessa mukana kaikki tutkimuksessa olleet puhelinmerkit. Myös puhelimen järjestelmäpiirin valmistajalla on merkitystä: edullisimmilla MediaTekin-järjestelmäpiireillä päivitykset jäävät moninkertaisesti muita useammin väliin.
HMD Globalin tuotepäällikkö (Chief Product Officer) Juho Sarvikas kommentoi io-techille yrityksen toimittaneen järjestelmällisesti kuukausittaiset tietoturvapäivitykset jokaiseen tuotteeseensa ja kertoo korjausten vaikuttavan eri osa-alueisiin, kuten yhteysominaisuuksiin ja multimediaominaisuuksiin. Sarvikkaan mukaan ei ole tiedossa, että Nokia-puhelimista olisi jäänyt vanhoja tietoturvakorjauksia välistä, mutta yritys aikoo vahvistaa SRL:n tutkimusten pohjalta, ettei niin ole todella käynyt.
Lähteet: Wired, The Guardian
Eipä tarvitse ihmetellä miksi kiinalaisia puhelimia ei käytetä vaikka F-Securessa. Surullinen keissi kun moni kuluttaja kuvittelee android-puhelimen olevan samaa tavaraa merkistä riippumatta.
Tuossahan onkin se, että kun ei kerrota mistä puhelimista on kyse, niin vaikea suhatutua. Onhan HMDllakin tuo 3-malli, joka on jollain mediatekin prossulla tehty paske, en olisi yhtään ihmeissäni, jos HMD ei ole saanut tuohon Mediatekiltä sellaista tukea, että voisi päivittää.
Tuon testituloksen mukaanhan ei tarvitse olla kuin yksi puhelin, josta puuttuu jokin pätsi, ja se vaikuttaa heit tulokseen ja kuten tuolla mainittiin, jos valmistaja tekee patchin itse, se ei ole Googlen sertifioima ja taas haukutaan.
Toki nuo muutkin kiinavalmisteet, eli kaikki lähes luurit voivat sisältää mitä vain softallisesti, kun ne kumminkin tuolla halpatyön ihmemaassa tehdään.
Eli Samsungin käyttöjärjestelmät koodataan kiinassa? Mites toi HMD?
"lähes kaikki luurit" (oli muuten sanat sekaisin tuossa mun aiemmassa viestissä)
Kyllähän kaikkiin Kiinassa valmistettaviin tuotteisiin laitetaan se firmis siellä sisään, eli aina saa pienellä varauksella lähteä kaikkien laitteiden kanssa liikkeelle. Kyllähän sielläkin varmaan on ihan ammattitaitoista porukkaa pääosin, mitä nyt joillekin valmistajille joskus jäänyt testifirmikset sisään tai tehtaalla laitettu haittaohjelmia (lähinnä PC-puolella), eli mitä vaan voi tapahtua.
Pääasiallisesti kuitenkin luotan vähänkään isompien firmojen laadunvalvontaan, ettei kiinalaatuinen tavara pääse kauppaan asti, vaan se lopputuote olisi ihan järkevästi tarkastettu ennen toimittamista loppukäyttäjälle.
Tämän enempää en asiaan pureudu, totean vain omien kokemuksien perusteella asioita.
LG on täyttä sontaa mitä tulee tietoturvapäivityksiin. Katteettomia lupauksia ja vain vuoden kestävä tuki, joka sekään ei sisältänyt kuin kaksi päivitystä.
Tuon valmistajan puhelimiin ei kannata koskea pitkällä tikullakaan, pelkkää sontaa ja suoranaisia valheita ja vastuun välttämistä.
Juu, parempi välttää jatkossa.
Oman puhelimen tilanteen voi katsoa snoopsnitchillä, löytyy storesta
Kokeilin tuota, tilanne näytti aika toivottomalta :/
Kaikki patched tai "inconclusive", eli softa ei vain saa tietoa. 🙂
Oneplus 5 näyttää 1 Patched ja 1 Test inconclusive.
Ei muuten välttämättä. Ainakin ns. kumisaapasfirman kanssa joskus pyörineenä yllättävän iso osa puhelimen rungoista saapui raakileina ja niihin sitten laitettiin värikuoret ja lopullinen softa sisään paikan päällä. Tosin eivät ne ihan pimeitä olleet, eli totaalisesti kilahtaneeseen luuriin ei mene tuotantolinjan laitteilla softa sisälle…
Omenafirman ja toki ehkä jonkun muunkin firman softissa on kyllä sen verran rankasti suojauksia ettei ihan heti kyllä sinne laiteta bonussoftaa väliin (toki hallitustason työkaluilla onnistunee sekin).
Ja sitten pitäisi siirtää kaikki pankkipalvelut puhelimeen tietoturvan takia.
Vissiin tuleva entinen Nordean asiakas? Samaa mietin itsekin.
Mikäs juttu tää on?
Tämä oli normaalista poikkeavaa toimintaa jolla yritettiin pitää salon tehdas toiminnsa, jolloin se loppuvaiheessa teki pelkästään erialluielle kustomoituja versiointejä. Mikä tietenki oli pelkästään sulkemisen viivytystä.
Tosiaan G4 sanoi 4 patched, 13 Test inconclusive ja 195 After claimed patch level.
Security Research Labsin (SRL) ilmoittamat luvut ovat keskiarvoja ja SRL:n sivuilla oli julkaistu kattavampi lista valmistajista.
HMD Globalin kommentti on siinä mielin mielenkiintoinen, että yritys on toista mieltä SRL:n kanssa eikä Nokian puhelimissa olisi jäänyt paikkauksia väliin. Tuossa raportissahan spekuloitiin, että osalla valmistajista paikkaus olisi jäänyt asentamatta puhtaasti inhimillisen erehdyksen vuoksi (lähinnä kärkipäässä kuten Samsung ja Sony). Onkohan se kehitysvaiheen prosessi sitten sellainen, että näin voi päästä käymään. Lähinnä tulee mieleen, että piirivalmistajalta tulisi virheellinen koodi, joka lisätään päivitykseen tarkistamatta. Sen voi kuitenkin sanoa, että Alps ja TCL ovat sellaisia valmistajia, että niiden firmwaresta voi löytyä mitä tahansa ihmeellistä. Alps on mm. valmistanut lähes suoria kopioita Samsungin luureista.
Samsung Galaxy J5 (2015) – SM-J500FN
Päivitykset tarkastettu viimeksi: 17.4.2018 (Manuaalinen haku)
"Uusimmat päivitykset on jo asennettu."
Patched: 89
Patch missing: 6
After claimed patch level: 39
Test inconclusive: 6
Ei se vallan… tuosta mainospuheesta jossa hehkutetaan, jotta voidaan nopeammin tehdä satoja erilaisia customiversioita puuttuu sellainen pikantti yksityiskohta, että puhelimeen voidaan myös liimata esim. ”Made in USA” -tarra mikä lisää paikallista myyntiä hassun paljon.
Kaatui koko paska ennen kuin kerkesi antamaan minkäänlaista raporttia, tuli kai siihen tulokseen etten kestä totuutta.
Edit: Kolmas kerta karmaisevan toden sanoi… patched 6, missing 0, after claimed level… *drumroll* 123, inconclusive 6. Ei ihan G4 tasoa mutta hyvä haastaja kuitenkin. G3 kyseessä siis.
Ottaen huomioon että päivityksiä tehtiin jatkuvasti, Google julkaisi niitä kokoajan ja ne oli myös LGn omassa support listassa G3lle ja G4lle. Koskaan vaan LG ei niitä antanut eteenpäin, kuin ehkä Korealaisille. Muille LG keskittyi vain valehtelemaan ja syyttämään Googlea ja milloin operaattoreita.
Sonylla näyttäisi olevan kaikki kunnossa ainakin Xperia XZ1 Comptactin osalta:
Käyttispäivityksiä tuli kyllä kokonaiset kaks kappaletta, mut eipä näköjään paljon muuta sitten. Jotenkin niistä tuli sellainen kuva, että LG panostaa lippulaivojensa pitkäikäisyyteen, ei vaan arvannu et se oli tietoturvan kustannuksella. Ei kai tuosta voi muita syyttää jos muilla valmistajilla jakelu kuitenkin toimii.
LG G3 oli itselläni ennen käytössä, siihen piti asentaa päivityksiä aina LG:n support toolilla, automaagisesti ne eivät asentuneet ainakaan Elisan verkossa.
Itsellä Samsungin kalleimman lippulaivan (Note8) kallein globaaliversio ja päivityksiä tulee ihan miten sattuu, usein kuukausia myöhässä.
Eli tilanne on myös hyvin mallikohtainen. Itse en luota Samsungii, tiedän, että firman kapulan ostaminen on tältä(kin) osin kompromissi. Kynästä ja 3.5mm liitännstä täytyy maksaa jokin hinta eurojen lisäksi – näköjään 🙂
G4een sai päivityksen Elisan verkolla, mutta tein tyhmästi ja päivitin omani LGn toolilla ja siihen tuli Mirrorlink vika, josta ei päässyt eroon vaan Mirrorlink pysähteli joka välis.
Selvisi vasta sen jälkeen et toolilla se aiheutui, suoraan puhelimesta päivitettynä sitä ei olisi tullut.
Juuri eilen päivittelin OnePlus 5T:n uusimpaan versioon (Android 8.1 ja huhtikuun tietosuoja päivitykset). SnoopSnitch näyttää 1 patched 1 test inconclusive. Ei tuo nyt pahimmalta näytä ainakaan listan mukaan, mutta ei tämä uutinen nyt ainakaan oloa helpottanut 🙁
Itteä kiinnostaa mitä snoopsnItch antaa ennen tota 8.1 päivitystä.
Miten sait tuon toolin toimimaan? Ei meinaa asennus onnistua ohjelman antamilla ohjeilla uusimpaan winkkariin… Jonkun mobile centerin imuroin, mutten tiedä onko se oikea. Toisaalta tiedä onko mitään päivityksiä olemassa, kun huolto asensi tuon uusimman androidin ja varmaan samalla muutkin siihen asti julkaistut päivitykset.
Ja tuossa näytönvaihtojutussa vielä ihmetellään miksi jengi ostaa iphoneja. No juuri tämän takia.
Onko ios ainoa käyttis puhelimelle androidin lisäks. Voin sanoa että joissain android luureissa tietoturva on paremmalla tasolla kun ios.
No kerropa esimerkki? Ios vaan taitaa olla tämän suhteen se kaikkein varmin ja pitkäikäisin valinta.
Vielä puolivuotta sitten olisin ollut Matti samaa mieltä, mutta IOS11 tuli ja kusi. https://blog.elcomsoft.com/2017/11/ios-11-horror-story-the-rise-and-fall-of-ios-security/
Liekö tuo Alps itse valmistanut kaikkia iPhone jne. feikkejä vai myykö se vain peruspalikat ja firmware-pohjan joista feikkivalmistajat vääntävät niitä valmiita puhelimia? Android About Phone, Build number on aika monissa feikeissä ja muissa halvimmissa romuissa ALPS.*. Mitä noita on osunut kohdalle niin ovat yleensä kestäneet ehjänä korkeintaan muutamia viikkoja ja ovat täynnä troijalaisia. Muistien määrät, prosessori, Android versio jne. on kusetettu ylöspäin.
En osaa sanoa, kuinka pitkälle ALPS niitä feikkiluureja valmistaa. Kuvailusi täsmäsi kuitenkin täydellisesti niihin ALPS vehkeisiin, mitä hyppysissä on pyörähtänyt. Osa niistä on ollut vähän sellaisia semifeikkejä. Liekkö sitten jotain omia ns. oikeita virityksiä.
Nordea hylkää nettipankin koodivihkoset ja korvaa ne kännykkä-appilla (tai erillisellä laitteella jos ei ole älyluuria)
Joo, tosta tuli eilen kirje kotiin. Tosin en niiden palveluita ees käytä, kun on tolkuttoman hintaisia. Tili vaan on olemassa varmuuden vuoksi jos joskus palaan.
Ainut hyvä Nordealla oli, et sai luottokorttiin itse valitsemani kuvan. Sitä korttia aina jaksettiin kaupoissa kehua, tosin nykyaikana sitä ei kassa juuri näe kun on noi uudet lukijat.
G3:n kanssa olikin aika paljon ongelmia sen update toolin kanssa, se oli aika vehkeestä.. jo pelkän puhelimen näkyminen koneelle tuoti joskus harmaita hiuksia. sitten G6:n kanssa olikin jo uudempi softa käytössä, joku LG Bridge, joka toimi paremmin. Mutta jos oikein muistelen, niin ne molemmat softat tarvitsi vähemmän tiukan palomuurin toimiakseen kunnolla, enempi umpeen muuratulla ei yhteyttä saanut.
Älypuhelintesteissä paljon keskitytään prosessoriytimiin, muistin määriin, kellotaajuuksiin, kameran laatuun jne. Mutta nykyään kun palveluja, jopa todella tärkeitä henkilökohtaisia tietoja sisältäviäkin julkaistaan mobiilipuolelle on tämä turvallisuusaspekti jäänyt aika vähälle. Tämä on aika karua luettavaa, että valmistajat ilmoittavat, että kaikki on kunnossa mutta silti sieltä välistä puuttuu tietoturvapäivityksiä. Tuo on varmasti todella vaikea selvittää mitenkään testeissä, mutta artikkelissa olisi syytä olla näkyvähkö huomautus historiaan perustuen, että tämä valmistaja ei ole varmuudella tietoturvallinen, vaan mahdollisesti nämä ominaisuudet saat käyttöön tieturvan kustannuksella. Esim. nyt julkaistava Huawein p20, joka on valmistajista tuolta huonommasta päästä.
Jonkinlainen suunta näyttäisi olevan myös, että mitä kalliimmat luurit sitä tietoturvallisempi ja tulevaisuusvarmempi.
Sanoisin, että tuo pitää paikkansa Applen puhelinten kohdalla ja sitten suurimpien valmistajien myydyimpien alueellisten hittimallien kohdalla. Esim. Note-sarjan päivitykset (kallein puhelin mallistossa) päivitykset ovat hetkittkän ihan mitä sattuu.
Sanoisin, että turvatrendi on tämä: AndroidOne -puhelin, jossa on Project Treble -päivitysmahdollisuus ja joka on onnistunut myymään suuria määriä, ja joka on Top5-valmistajalta, jolla on edes kohtuullinen pävitystahti, on paras mahdollisuus saada ajantasainen päivitetty ja semi-tietoturvallinen puhelin. HMDGlobal(Nokia) Ja Google(Pixel) lienevät poikkeukset tähän?
Mutta muuten mennään siis mallikohtaisesti. Kova hinta ei Androidissa takaa hyvää päivitystahtia, ei etenkään Samsungin kohdalla.
Tuossa hieman tuoretta jakaumaa päivitystahdista valmistajakohtaisesti Hollannin kuluttajaliitolta:
Kun se rajoittuis vaan siihen, apissahan ei ole mitään vikaa. Lähinnä tuo mobiilipankkiin "ohjaaminen" lisäämällä kustannuksia verkkopankkiin kai tässä ihmetyttää. Selviää vasta tuosta @Technarchy mainitsemasta kirjeestä mitä palvelut jatkossa maksaa, ennakkoon kun sitä eivät voineet tietää. Reikäiset luurit eivät oikein kuulosta siltä, että niiden käyttöön kannattaisi ohjata…
Mieluummin harvemmin päivityksiä (kunhan nyt lopulta tulee) vs. mitä Samsung tekee ja asennuttaa puhelimiin Samsung Pay:n ”tietoturvapäivityksen” varjolla… tekee puhelimen käytöstä muuten hitusen hankalaa kun aloitusvalikosta pomppaa koko ajan esiin ”Welcome to Samsung Pay” … tekis mieli palauttaa puhelin – meni käyttökelvottomaksi.
Ja niille onnellisille joille tuo päivitys ei ole vielä tungettu (Galaxy S7 tapauksessa) niin tuo tulee siis esiin jos swaippaa näytön alalaidasta, mutta koska puhelimen ainoa fyysinen painike on niin lähellä näytön reunaa, niin käytännössä 3/7 kerroista tulee käynnistettyä tuo sovellus kun avaa puhelimen lukitusta.
Muistinko kertoa ettei Samsung Pay ole edes käytössä Suomessa 😀
Onkos valmistajilta tullut jo vastineita?
Tämä jos mikä artikkeli suorastaan huutaa päivityksiä tai jatkoartikkelija…
HMD taisi ilmoittaa, että tutkii väitteet koska heidän käsittääkseen puutteita ei pitäisi olla.
Just kyselin Huaweilta miks BlueBorne aukkoa ei oo korjattu vieläkään. Vastaus: kahden vuoden tietoturvapäivitykset (julkaisupäivästä) yli kolmensadan erkin puhelimella. Eli jos nyt ostais tällä hetkellä uusimman Honor 9:n, ni about puolet tosta tuesta olis mennyt.
Blueborne menee kuulemma korjaukseen nyt kaikille heidän puhelimille, mutta aikataulusta ei tietoa.