Utbrett fusk

Rapport: Tillverkare ljuger om säkerhets- uppdateringar

Ett säkerhetsföretag har gått igenom Androidtillverkarnas uppdateringshistorik under flera års tid och kommit fram till att många av dem helt enkelt ljuger om sina säkerhetsuppdateringar.

Publicerad Senast uppdaterad

Utöver nya systemversioner skickar Google en gång i månaden ut säkerhetsuppdateringar till Android, som täpper till de eventuella säkerhetsluckor i systemet som upptäckts sedan den senaste uppdateringen. Det är sedan upp till de enskilda tillverkarna att installera dessa uppdateringar, något de blivit bättre på de senaste åren om man får tro dem själva. Men det ska man tydligen inte vara så säker på.

Tyska Security Research Labs har gått igenom 1200 Androidtelefoner och studerat koden för varenda uppdatering som gått ut till dem under 2017, och det man upptäckte var att det missas en hel del säkerhetsuppdateringar. Ändå uppger många tillverkare att telefonerna har fått alla uppdateringar. Ibland ljuger man helt enkelt om att telefonen säkerhetsuppdaterats.

- Ibland ändrar de bara datumet för senaste säkerhetsuppdateringen till ett nästan godtyckligt värde utan att installera något för att det ska se bra ut, berättar Karsten Nohl, grundare av Security Research Labs för Wired.

Mänskiga faktorn

Han påpekar att det är betydligt vanligare att tillverkaren ibland helt enkelt missat en säkerhetsuppdatering, och Google som fått se resultatet påpekar att tillverkare i vissa fall kan man ha löst säkerhetshålet på andra sätt, till exempel genom att ta bort funktionen med säkerhetsluckan. Men som skräckexempel lyfter Karsten Nohl fram Samsung J3 (2016) som påstods ha fått samtliga säkerhetsuppdateringar under 2017 när den i själva verket hade missat 12 stycken, varav ett par ansågs vara kritiska för att hålla enheten säker.

Det är föga överraskande billiga telefoner som är värst på att missa säkerhetsuppdateringar, i synnerhet om de också kommer från mindre kända tillverkare. Bäst av de varumärken som säljs i Sverige klarade sig Samsung (trots J3 ovan) och Sony, som i snitt missat en eller färre säkerhetsuppdateringar per telefon. Xiaomi, Oneplus och Nokia har 1-3 missade säkerhetsuppdateringar i snitt, och HTC, Huawei, LG och Motorola får skämmas med 3-4 missade säkerhetsuppdateringar i genomsnitt under 2017.

Mediatek värst

Security Research Labs har även ställt upp antalet missade säkerhetsuppdateringar efter tillverkare av chipset, och där blir det tydligt att telefoner med processorer från Mediatek löper långt större risk att inte få säkerhetsuppdateringar än de från andra tillverkare. Det beror förstås dels på att Mediatek-chipseten används i de billigare mobiler man inte är lika mån om att uppdatera, men också på att Mediatek är dåliga på att tillhanda uppdaterade drivrutiner för nya systemversioner av Android.

Karsten Nohl påpekar att även om en telefon har missat enstaka säkerhetsuppdateringar är det mycket som måste sammanfalla för att en hackare ska kunna utnyttja hålen i din telefon. De flesta med ont uppsåt fokuserar i stället på så kallad social hacking, där man lurar användaren att installera appar och bevilja dem behörigheter som på ena eller andra sättet kan ställa till skada.

Security Research Labs har uppdaterat sin app Snoop Snitch så att du kan använda den för att själv se om din telefon fått samtliga säkerhetsuppdateringar.

Källa