Gyurkity Péter
Füllentenek a gyártók a biztonsági frissítésekről
Több gyártó a valóságtól eltérően állítja, hogy okostelefonjait frissítette.
A biztonság témája kiemelten fontos ezekben a napokban, ami elsősorban annak köszönhető, hogy a felhasználók után a kártevők is egyre inkább a hordozható eszközökre fókuszálnak. Az Apple hagyományosan jobban szerepel ezen a téren (leszámítva a lehallgatásokat), a Google igyekszik felzárkózni, a gyártók azonban a maguk részéről nem mindig őszinték a szoftveres frissítések telepítésével kapcsolatban.
Az Amszterdamban lezajlott Hack in the Box biztonsági konferencián két kutató, Karsten Nohl és Jakob Lell, a Security Research Lab munkatársai két évig tartó munkájuk eredményét mutatták be. Több tucat Androidos gyártó összesen 1200 telefonjának rendszerkódját fejtették vissza, megvizsgálva hogy azok valóban tartalmazzák-e azokat a 2017-ben kiadott biztonsági patcheket, amelyeket a beállításoknál láthatunk.
A felmérés és a részletes vizsgálat szerint nem mindenki szerepelt itt jól, kiderült ugyanis, hogy több cég egyszerűen füllent a frissítések telepítésével kapcsolatban, mások pedig átírják a telepítés (illetve a frissítés) dátumát, hogy félrevezessék a felhasználókat. A listán a TCL és a ZTE kapta a legrosszabb minősítést, ezen gyártók készülékein átlagosan 4 vagy még több frissítés hiányzik, legalábbis a firmware visszafejtése alapján, míg a HTC, a Huawei, az LG és a Motorola esetében 3-4 foltozás nem volt jelen, kifejezetten az adott cég állításával ellentétben.
Némileg jobban szerepelt a Nokia, a Xiaomi, illetve a OnePlus, ezen szereplők telefonjain 1-3 frissítést nem találtak a szakértők, míg maga a Google a lehető legjobb helyezést érte el, hiszen saját megoldásaikon legfeljebb egy frissítés nem volt jelen. Érdekes módon a Samsung, a Sony, valamint a Wiko (egy kevésbé ismert cég) is itt szerepel a listán, vagyis esetükben szintén kevés panaszra lehet okunk – az más kérdés, hogy a Samsung például jól ismert a rövidebb támogatási időszakokról, ami sokak szerint nagyon gyorsan kihullajtja a régebbi készülékeket a listáról.
Fontos megjegyezni, hogy még gyártókon belül sem egyértelmű a helyzet, és néhány esetre nincs értelmes magyarázat. Ilyen például a 2016-os Samsung J5 és J3 telefonok: előbbinél teljesen őszinte a cég, helyesen jelzik melyik patch van installálva és melyik hiányzik, míg a tőle alig különböző J3-nál azt írják, hogy minden patch rajta van, közben 12 (ebből 2 kritikus) hiányzik. Tehát a felhasználók teljesen a sötétben kell tapógatózzanak, nem tudnak a nyilvánosan elérhető információk alapján döntést hozni.
További érdekesség, hogy a MediaTek chippel ellátott telefonok esetében jóval nagyobbak a fenti számok, itt telefononként 9,7 frissítés az átlag, míg a Qualcomm chipek esetében ez 1,1. Ennek lehet oka, hogy előbbit jellemzően olcsóbb készülékekbe rakják, melyeknél általánosabb a frissítés elhagyása, de az is előfordul, hogy a chipben van hiba, amelynek javítására hiába vár az eszközgyártó. Tehát az olcsóbb mobil egyben kevésbé karbantartott környezetet is jelent.
A Google reagált a kutatók közlésére; az eredményeket nem vonták kétségbe, de védekezésük szerint számos megvizsgált okostelefon nem is felel meg a biztonsági követelményeiknek. Megjegyzik, hogy a modern Androidos készülékek biztonsági funkciói akkor is megnehezítik a feltörést, ha nincsenek feltelepítve a legújabb javtások, illetve sokszor azért nincs felrakva a patch, mert a gyártó az egész hibásnak bizonyult funkciót kivette a telefonból, vagy az eleve nem is volt benne. Karsten Nohl válasza szerint ilyenek nagyon ritkán fordultak elő, mindazonáltal egyetértett azzal, hogy a bugok kihasználása nehezebb, mint azt egy átlagember gondolná.
Az említett hiányosságok nem jelentik automatikusan, hogy a telefonok könnyen és egyszerűen feltörhetők, illetve károkozásra használhatók, de mindenképpen figyelmeztető jel az őszinteség hiánya.
A biztonság témája kiemelten fontos ezekben a napokban, ami elsősorban annak köszönhető, hogy a felhasználók után a kártevők is egyre inkább a hordozható eszközökre fókuszálnak. Az Apple hagyományosan jobban szerepel ezen a téren (leszámítva a lehallgatásokat), a Google igyekszik felzárkózni, a gyártók azonban a maguk részéről nem mindig őszinték a szoftveres frissítések telepítésével kapcsolatban.
Az Amszterdamban lezajlott Hack in the Box biztonsági konferencián két kutató, Karsten Nohl és Jakob Lell, a Security Research Lab munkatársai két évig tartó munkájuk eredményét mutatták be. Több tucat Androidos gyártó összesen 1200 telefonjának rendszerkódját fejtették vissza, megvizsgálva hogy azok valóban tartalmazzák-e azokat a 2017-ben kiadott biztonsági patcheket, amelyeket a beállításoknál láthatunk.
A felmérés és a részletes vizsgálat szerint nem mindenki szerepelt itt jól, kiderült ugyanis, hogy több cég egyszerűen füllent a frissítések telepítésével kapcsolatban, mások pedig átírják a telepítés (illetve a frissítés) dátumát, hogy félrevezessék a felhasználókat. A listán a TCL és a ZTE kapta a legrosszabb minősítést, ezen gyártók készülékein átlagosan 4 vagy még több frissítés hiányzik, legalábbis a firmware visszafejtése alapján, míg a HTC, a Huawei, az LG és a Motorola esetében 3-4 foltozás nem volt jelen, kifejezetten az adott cég állításával ellentétben.
Némileg jobban szerepelt a Nokia, a Xiaomi, illetve a OnePlus, ezen szereplők telefonjain 1-3 frissítést nem találtak a szakértők, míg maga a Google a lehető legjobb helyezést érte el, hiszen saját megoldásaikon legfeljebb egy frissítés nem volt jelen. Érdekes módon a Samsung, a Sony, valamint a Wiko (egy kevésbé ismert cég) is itt szerepel a listán, vagyis esetükben szintén kevés panaszra lehet okunk – az más kérdés, hogy a Samsung például jól ismert a rövidebb támogatási időszakokról, ami sokak szerint nagyon gyorsan kihullajtja a régebbi készülékeket a listáról.
Fontos megjegyezni, hogy még gyártókon belül sem egyértelmű a helyzet, és néhány esetre nincs értelmes magyarázat. Ilyen például a 2016-os Samsung J5 és J3 telefonok: előbbinél teljesen őszinte a cég, helyesen jelzik melyik patch van installálva és melyik hiányzik, míg a tőle alig különböző J3-nál azt írják, hogy minden patch rajta van, közben 12 (ebből 2 kritikus) hiányzik. Tehát a felhasználók teljesen a sötétben kell tapógatózzanak, nem tudnak a nyilvánosan elérhető információk alapján döntést hozni.
További érdekesség, hogy a MediaTek chippel ellátott telefonok esetében jóval nagyobbak a fenti számok, itt telefononként 9,7 frissítés az átlag, míg a Qualcomm chipek esetében ez 1,1. Ennek lehet oka, hogy előbbit jellemzően olcsóbb készülékekbe rakják, melyeknél általánosabb a frissítés elhagyása, de az is előfordul, hogy a chipben van hiba, amelynek javítására hiába vár az eszközgyártó. Tehát az olcsóbb mobil egyben kevésbé karbantartott környezetet is jelent.
A Google reagált a kutatók közlésére; az eredményeket nem vonták kétségbe, de védekezésük szerint számos megvizsgált okostelefon nem is felel meg a biztonsági követelményeiknek. Megjegyzik, hogy a modern Androidos készülékek biztonsági funkciói akkor is megnehezítik a feltörést, ha nincsenek feltelepítve a legújabb javtások, illetve sokszor azért nincs felrakva a patch, mert a gyártó az egész hibásnak bizonyult funkciót kivette a telefonból, vagy az eleve nem is volt benne. Karsten Nohl válasza szerint ilyenek nagyon ritkán fordultak elő, mindazonáltal egyetértett azzal, hogy a bugok kihasználása nehezebb, mint azt egy átlagember gondolná.
Az említett hiányosságok nem jelentik automatikusan, hogy a telefonok könnyen és egyszerűen feltörhetők, illetve károkozásra használhatók, de mindenképpen figyelmeztető jel az őszinteség hiánya.