Gyurkity Péter

Füllentenek a gyártók a biztonsági frissítésekről

Több gyártó a valóságtól eltérően állítja, hogy okostelefonjait frissítette.

A biztonság témája kiemelten fontos ezekben a napokban, ami elsősorban annak köszönhető, hogy a felhasználók után a kártevők is egyre inkább a hordozható eszközökre fókuszálnak. Az Apple hagyományosan jobban szerepel ezen a téren (leszámítva a lehallgatásokat), a Google igyekszik felzárkózni, a gyártók azonban a maguk részéről nem mindig őszinték a szoftveres frissítések telepítésével kapcsolatban.

Az Amszterdamban lezajlott Hack in the Box biztonsági konferencián két kutató, Karsten Nohl és Jakob Lell, a Security Research Lab munkatársai két évig tartó munkájuk eredményét mutatták be. Több tucat Androidos gyártó összesen 1200 telefonjának rendszerkódját fejtették vissza, megvizsgálva hogy azok valóban tartalmazzák-e azokat a 2017-ben kiadott biztonsági patcheket, amelyeket a beállításoknál láthatunk.

A felmérés és a részletes vizsgálat szerint nem mindenki szerepelt itt jól, kiderült ugyanis, hogy több cég egyszerűen füllent a frissítések telepítésével kapcsolatban, mások pedig átírják a telepítés (illetve a frissítés) dátumát, hogy félrevezessék a felhasználókat. A listán a TCL és a ZTE kapta a legrosszabb minősítést, ezen gyártók készülékein átlagosan 4 vagy még több frissítés hiányzik, legalábbis a firmware visszafejtése alapján, míg a HTC, a Huawei, az LG és a Motorola esetében 3-4 foltozás nem volt jelen, kifejezetten az adott cég állításával ellentétben.


Némileg jobban szerepelt a Nokia, a Xiaomi, illetve a OnePlus, ezen szereplők telefonjain 1-3 frissítést nem találtak a szakértők, míg maga a Google a lehető legjobb helyezést érte el, hiszen saját megoldásaikon legfeljebb egy frissítés nem volt jelen. Érdekes módon a Samsung, a Sony, valamint a Wiko (egy kevésbé ismert cég) is itt szerepel a listán, vagyis esetükben szintén kevés panaszra lehet okunk – az más kérdés, hogy a Samsung például jól ismert a rövidebb támogatási időszakokról, ami sokak szerint nagyon gyorsan kihullajtja a régebbi készülékeket a listáról.

Fontos megjegyezni, hogy még gyártókon belül sem egyértelmű a helyzet, és néhány esetre nincs értelmes magyarázat. Ilyen például a 2016-os Samsung J5 és J3 telefonok: előbbinél teljesen őszinte a cég, helyesen jelzik melyik patch van installálva és melyik hiányzik, míg a tőle alig különböző J3-nál azt írják, hogy minden patch rajta van, közben 12 (ebből 2 kritikus) hiányzik. Tehát a felhasználók teljesen a sötétben kell tapógatózzanak, nem tudnak a nyilvánosan elérhető információk alapján döntést hozni.

További érdekesség, hogy a MediaTek chippel ellátott telefonok esetében jóval nagyobbak a fenti számok, itt telefononként 9,7 frissítés az átlag, míg a Qualcomm chipek esetében ez 1,1. Ennek lehet oka, hogy előbbit jellemzően olcsóbb készülékekbe rakják, melyeknél általánosabb a frissítés elhagyása, de az is előfordul, hogy a chipben van hiba, amelynek javítására hiába vár az eszközgyártó. Tehát az olcsóbb mobil egyben kevésbé karbantartott környezetet is jelent.

A Google reagált a kutatók közlésére; az eredményeket nem vonták kétségbe, de védekezésük szerint számos megvizsgált okostelefon nem is felel meg a biztonsági követelményeiknek. Megjegyzik, hogy a modern Androidos készülékek biztonsági funkciói akkor is megnehezítik a feltörést, ha nincsenek feltelepítve a legújabb javtások, illetve sokszor azért nincs felrakva a patch, mert a gyártó az egész hibásnak bizonyult funkciót kivette a telefonból, vagy az eleve nem is volt benne. Karsten Nohl válasza szerint ilyenek nagyon ritkán fordultak elő, mindazonáltal egyetértett azzal, hogy a bugok kihasználása nehezebb, mint azt egy átlagember gondolná.

Az említett hiányosságok nem jelentik automatikusan, hogy a telefonok könnyen és egyszerűen feltörhetők, illetve károkozásra használhatók, de mindenképpen figyelmeztető jel az őszinteség hiánya.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • Skylake #8
    Az informatika alapjaiból van elb*szva. Az, hogy ez az anomália a Google kiskedvencén, a redmondi szemeten, vagy netán az almás csodán van jelen, tökmindegy, legfeljebb a mértékük más. Az almarajongók esetében a biztonság és a felhasználói minőség a legmagasabb: tekintettel arra, hogy kezelhető mennyiségű hardverre kell az adott szoftvert, drivereket, meg a többi karácsonyfadíszt optimalizálni. K*rva jó! Ezt viszont keményen megfizettetik a walled garden-nel, illetve a végfelhasználói árakban is megtalálhatók. Illetve és főleg önként és dalolva le kell tüdőzni azokat a sokszor orbitális f*szságokat, amiket Cupertino áttol, nyilván az userek érdekében, persze, köszönjük Tim Cook!

    A másik két architektúra küzd a nagyon sok hardverkombináció -> számtalan driver -> számtalan hibalehetőség -> ebből adódó mérhetetlen számú felhasználói és teljesítménybeli problémákkal, illetve támadási felületekkel. A redmondi húgyagyúak ezt most megfejelték azzal, hogy beálltak a "fél évenként új kiadás" modelljébe, holott a megszokott támogatási ciklus teljesítése elvárt minőségben (Apple) is tökre esélytelen számukra. (Ezért vett a cég ahol dolgozom, multi, rengeteg Win 8.1 licenszet, mert tudtuk, hogy a redmondi gyökereknek nem fog menni a rolling release. Nem is megy.)

    A "mindent adatot összegyűjtünk, de te ezt nem veszed észre, vagy ha igen, k*rvára örülsz ennek" birodalom által elkészített, és most hegemón rendszere pedig a mobilrendszerek Windows 98-a / XP SP0-ja. Ezt úgy értem, hogy hasonlóan ahhoz a két szeméthez, végre már relatíve összerakott rendszer, éppen csak a biztonsága ementáli. Annál most kb. ott tartunk biztonság terén, mint ezekben a hősi időkben, amikor a biztonsági tényezők körülbelül 0 szinten voltak jelen azokban az értékes szoftvertermékekben. Az Android esetében ez szükségszerűen megfejelődik a "kecskére káposztát" elvvel: azaz a rendszer annyiban lesz "biztonságos", amennyiben az Alphabet és szerződött partnerei a "digital data big business" üzleti modelljének működtetését nem zavarja. Tehát a felhasználó felé eljátsszuk a Google részéről, hogy mennyire védünk téged kis hülye userkém, még a fejecskédet is megsimizem témájú pávatáncot, a háttérben meg mindent, abszolút mindent piacra tolunk tőled. Lehet választani. Azért az gondolom látszik, hogy az Androidnál úgy fizettetik meg a biztonsági tényezők hiányát, és ezek externáliáit, hogy a következményeket az user viseli: "olcsón kell mobiloprendszer: itt van paraszt, a felelősség is a tied, úgysem tudsz mit tenni". A redmondi k*csögök modellje PC-n: fizetsz, kussolsz, örülsz, önkéntes bétatesztelő vagy. Úgysem tudod az x86 x64 rendszerű szoftvereket más rendszeren futtatni. Almaüzem: kisbogaram, te megvetted a létező legjobbat, úgyhogy innentől ráhagyod a nagyon okos programozó és hardverfejlesztő bácsikra és nénikre azt hogy neked mi a jó. Most roppantul elégedettnek érzed magad, így ennek örömére leszel szíves vásárolni még több hardverterméket és hozzájuk tartozó szoftvert tőlünk. Különben mehetsz vissza használni a szemetet.
  • seepheeerd #7
    Off
    Ugyanaz windózon: utolsó patch óta istennek sem megy a Logitech G35 mikrofonja: minden látja, bárhol kiválasztható, de bármivel próbálom, mindenhonnan hibaüzenet jön vissza: nem elérhető.
    Fasza!
  • 74auriga #6
    Én pl. jelenleg, semmi pénzért nem frissíteném fel az AndroidOne 7.1.2 Nougat szoftvert Oreo 8.0-ra, pedig január 1-én már megjelent!
    Semmi kedvem, hogy ne úgy működjön, mint a mostani 7.1.2. Ez hibátlan! Minden megy, mint a karikacsapás!
    Minden frissítés le van tiltva úgy, hogy még csak nem is jelez! Semmi értelme, hogy két heti szinten valami idiótaság végett valami szarságot frissítsen, ami után esetleg hibásan vagy egyáltalán nem úgy működik a dolog, ahogy kéne.
  • NEXUS6 #5
    Minek után nem kötelező a régebbi telókra is kiadni az új Androidot minden gyártónak szíve joga hogy meddig támogatja. Előbb utóbb úgy is abbahagyja, mondjuk az gáz, hogy az sem igaz, amit bevállalt.

    Sajna mivel nincs szankció ez a kegyes hazugság a marketingbe belefér. Bár egy jó ügyvéddel a fogyasztó megtévesztése címen indított per sikeres lehet. Kérdés a jó ügyvéd fogalma a világ legnagyobb tőzsdeértékű cégeivel szemben.

    Bank? A magam részéről pont ezért minimalizálom a telóhoz kapcsolódó személyes adataimat.
  • Cat #4
    A cikkben hol szerepel, hogy náluk minden rendben van? Biztos, hogy valaki megnézi nemsokára, hogy nem "füllentenek-e".

    Egyébként ezt a füllentés szót nagyon probléma-elkenésnek tartom. Miért nem lehet kimondani, hogy hazudnak? Ahol van jog, ott a csalás és a fogyasztók megtévesztése biztosan szerepel a paragrafusok között. Könnyen előfordulhat, hogy ezek a "füllentések" egyes embereknek komoly anyagi károkat okoztak már, tekintve hogy egyre több ember mobilon bankol, vagy azon tárolja a bankkártyáját, és azt használja fizetésre a pénztárnál.
  • MerlinW #3
    Milyen jó is ilyenkor a fos-szar-divat-ájfón:)
  • NEXUS6 #2
    És ez még kiegészül azzal, ha a mobilszolgáltató baxik kiadni a frissítéseket a nem független, saját ROM-mal rendelkező telóira. Ilyen esetben a gyártó is megszakadhat, mert nem ők a szűk keresztmetszet.
  • Skylake #1
    Miért kellene ezen csodálkozni?

    Van jogszabályi szankció a gyártók felé a frissítések lefejlesztésére, a végponti eszközökre való eljuttatására? Nincs, és ez jelenlegi technológiai színvonalon ("big data harácsolásra épített digitális vadnyugat"), nem is lesz jó darabig.

    Képesek-e kontrollálni a hardver és szoftvergyártók eszközeik végfelhasználói felhasználását piaci igényeik szerint? Természetesen, az egész "okos" ökoszisztémában ez a legfontosabb hozadék számukra. Ezen eszközrendszer segítségével odahazudhatnak bármit az user képernyőjére? A lehető legkönnyebben, és ez piaci érdek is, hiszen nem kell a fejlesztéssel törődni. Van szankcionálási lehetőség erre bármilyen állami szervezet részéről? Nincs, lásd. előbb. Ha tehát bedől a krach, azaz óriási tömegekben döntik be az egyes oprendszereket hacker-szervezetek, ellenséges államok kormányzatai, illetve saját és szövetséges államok titkosszolgálatai, vagy ezek a f*sszopó szereplők együtt, akkor jobb mosniuk a kezeiket a gyártóknak, hogy mi "papíron" mindent megtettünk? Igen. Fog tudni bármit is ezekről egy átlaghülye, fészbúk-addikt, mindent kiposztoló Gipsz Jakab és Gipsz Jakabné kategóriás user, aki az aktuális, papíron- pofával frissített rendszert használja? Nem.

    Hát ennyi.