Uit onderzoek blijkt dat Androidfabrikanten sneller beveiligingsupdates uitrollen

Vorig jaar hebben de fabrikanten van Androidtelefoons sneller beveiligingsupdates voor hun toestellen uitgebracht dan het jaar daarbij. Google, Nokia en Sony presteren hierbij het best. Het Android-ecosysteem blijft toch gefragmenteerd, zo blijkt uit het onderzoek van het Duitse SRLabs.

Updates

De data van SRLabs is gebaseerd op een app die SnoopSnitch heet. De app heeft 500.000 installaties en controleert Androidtoestellen op ontbrekende beveiligingsupdates. Elke maand publiceert Google op de eigen website beveiligingsupdates voor Android en rolt deze uit onder de eigen Pixel-telefoons. Een maand voordat de updates openbaar zijn, ontvangen fabrikanten van Google de updates. Zo kunnen die de updates aan eigen firmware toevoegen en uitrollen onder klanten.

Hoewel de fabrikanten van tevoren updates ontvangen, zit er vaak een tijd tussen het door Google aankondigen van beveiligingsupdates op eigen site en het moment dat fabrikanten patches uitrollen voor hun toestellen. Het ging in 2018 om gemiddeld 44 dagen. Vorig jaar werden de patches gemiddeld vijftien procent sneller toegevoegd door fabrikanten. Dit komt neer op 38 dagen.
Hierbij presteren Google, Nokia en Sony het beste. Wanneer de beveiligingsupdates door Google beschikbaar zijn gemaakt, worden ze meteen aan de firmware van de fabrikanten toegevoegd. Vivo, HTC en Xiaomi zijn onderaan geëindigd en hebben gemiddeld 26, 30 en 31 dagen nodig voor het uitrollen van updates. En hierbij gaat het enkel om updates voor kwetsbaarheden die als high en critical beoordeeld zijn.

Verbetering

De onderzoekers zeggen dat de snelle fabrikanten gebruik maken van vanilla Android in plaats van zwaar aangepaste Androidversies, en dat het daarom minder moeite kost om patches toe te passen. Ook hebben de snellere fabrikanten minder toestellen uitgebracht, wat het patchproces verder vereenvoudigd in vergelijking met fabrikanten met een groot aantal verschillende toestellen.

Naast de snelheid, is ook de kwaliteit van het patchproces verbeterd, aldus de onderzoekers. Er wordt geclaimd door Androidfabrikanten dat ze alle door Google beschikbare Android-updates toevoegen aan hun eigen firmware, maar dit is in de praktijk niet zo. Hierdoor denken gebruikers dat hun toestel volledig is gepatcht, terwijl er nog steeds kwetsbaarheden zijn.
De Androidtoestellen bleken in 2018 gemiddeld 0,7 patches te missen. Vorig jaar was dit nog maar 0,3. Ook merken de onderzoekers op dat ontbrekende patches niet automatisch inhoudt dat de kwetsbaarheid ook te misbruiken is.

De cijfers zijn volgens de onderzoekers bemoedigend, maar stellen wel vast dat het Android-ecosysteem steeds meer gefragmenteerd wordt. Fabrikanten moeten namelijk verschillende Androidversies kunnen ondersteunen. Ook zijn er nog Androidtoestellen in omloop die een versie draaien die niet meer ondersteunt is en waarvoor geen updates meer verschijnen. Er blijkt dat fabrikanten veelgebruikte Androidversies beter te ondersteunen dan de versies die minder worden gebruikt. Deze moeten langer wachten voordat ze updates ontvangen. Dat het Android-ecosysteem gefragmenteerd is zorgt er volgens de onderzoekers voor dat er nog meer security-uitdagingen aanwezig zijn.

Bron: Security.nl