Исследование: ряд Android-производителей обманывает пользователей о выходе патчей

Выступая на конференции Hack in the Box, сотрудники исследовательской компании Security Research Labs представили результаты двухлетенего наблюдения за ведущими Android-вендорами. Целью проведенного эксперимента было установить, насколько оперативно и последовательно производители обновляют пользовательские устройства, пишет журнал Wired.

Оказалось, что многие компании не просто затягивают установку патчей на недели и месяцы, но еще и вводят в заблуждение клиентов. Проблему назвали «разрывом патчей». Сообщая пользователям, что на их устройствах установлены все необходимые апдейты, на самом деле производители оставляют уже исследованные эксплоиты без внимания.

Проверке подвергли операционные системы более 1200 устройств. В числе производителей: Google, Samsung, HTC, Motorola, ZTE, TCL и другие. Исследователи последовательно проверяли, действительно ли заявленные патчи были включены в обновления.

Выяснилось, что ошибки встречаются и у крупных производителей: единичные патчи пропускали даже Samsung и Sony. Иногда ситуация приобретала абсурдный характер. Для сравнения, модель Samsung J5 на момент проверки имела на борту все необходимые патчи, а модели J3 не хватало 12 патчей. Впрочем, в случае других вендоров ситуация оказалась хуже — устройства ZTE и TCL регулярно пропускали не менее 4 патчей. Полностью безопасны лишь смартфоны Pixel, выпуском которых занимается сама Google.

Участников тестирования поделили на четыре группы по среднему количество пропущенных апдейтов.

Выяснилась и другая закономерность — среди устройств на чипсетах от MediaTek, популярных в бюджетном сегменте, около 9,7% имеют проблемы с безопасность. 

Для проверки актуальности ПО на Andrpoid-смартфонах, Security Research Labs выпустили приложение SnoopSnitch. Кроме того, ситуацию не оставила без внимания Google — представители компании сообщили о проведении внутреннего расследования. По их словам, несмотря на благодарность за работу Security Research Labs, в исследовании содержится рад неточностей.

Во-первых, часть заявленных устройств не имеют официальной сертификации. Во-вторых, современные смартфоны труднодоступны для взлома даже при отсутствии единичных патчей. Также производители могут сознательно пропускать обновления — если их смартфоны не поддерживают функции, эксплоиты в которых закрывает новая прошивка.

Напомним, ранее AIN.UA сообщал о том, что «Укрпошта» анонсировала мобильные приложения для iOS и Android.