Με εικονικές ενημερώσεις ασφαλείας εξαπατούν τους χρήστες πολλοί κατασκευαστές Android smartphone

Με εικονικές ενημερώσεις ασφαλείας εξαπατούν τους χρήστες πολλοί κατασκευαστές Android smartphone
ired.gr

Είναι γνωστό ότι οι Android συσκευές αργούν αρκετά στο να λάβουν ενημερώσεις. Για παράδειγμα, το τελευταίο πακέτο ενημέρωσης της Google για τον Φεβρουάριο το έλαβε μόνο το 1.1% των χρηστών Android. Το ζήτημα όμως είναι αρκετά βαθύτερο. Τα αποτελέσματα μίας έρευνας της Security Research Labs έδειξαν πως πολλοί κατασκευαστές Android συσκευών ψεύδονται στους χρήστες, λέγοντάς τους πως οι συσκευές τους είναι ενημερωμένες αλλά στην πραγματικότητα συμβαίνει το ακριβώς αντίθετο.

android ασφάλεια

Οι ερευνητές Karsten Nohl και Jakob Lell αφιέρωσαν δύο χρόνια αναλύοντας συσκευές Android, ελέγχοντας να δουν αν οι συσκευές έχουν όντως εγκατεστημένα τα patches ασφαλείας που το software ισχυρίζεται πως έχουν. Προς έκπληξη όλων, ανακάλυψαν πως πολλές συσκευές είχαν το λεγόμενο “patch gap”, σύμφωνα με το οποίο ναι μεν αναγράφεται στις πληροφορίες του Software η ονομασία του πιο πρόσφατου patch ασφαλείας, αλλά στην πραγματικότητα η συσκευή δεν είναι ενημερωμένη. Να τονίσουμε πως δε μιλάμε μόνο για ένα patch, αλλά για πολύ περισσότερα.

Διαβάστε επίσης: Η Google πιστεύει πως το Android είναι το ίδιο ή και πιο ασφαλές από το iOS

Τα “χαμένα patches” δεν αποτελούν ένα μεμονωμένο περιστατικό. Σύμφωνα με το Wired, οι ερευνητές εξέτασαν το firmware 1.200 συσκευών από εταιρείες όπως είναι η Google, η Samsung, η HTC, η Motorola, η ZTE και η TCL. Σε όλες τις συσκευές εξέτασαν ένα προς ένα τα patches ασφαλείας που κυκλοφόρησαν την περασμένη χρονιά. Ανακάλυψαν πως ναυαρχίδες των Samsung και Sony ενίοτε έχασαν κάποιο patch.

android ασφάλεια

Ξεκάθαρα, μιλάμε για εξαπάτηση. Είτε έγινε εσκεμμένα είτε όχι, οι χρήστες δε θα πρέπει να είναι ευάλωτοι στους hackers επειδή η εκάστοτε εταιρεία δε φρόντισε να τους προφυλάξει. Είναι πολύ άσχημο να πιστεύει κάποιος πως η συσκευή του είναι ενημερωμένη βλέποντας πως η ένδειξη δηλώνει το πιο πρόσφατο patch ασφαλείας, αλλά στην πραγματικότητα η συσκευή του να είναι ανενημέρωτη.

Για να αποφευχθούν μελλοντικές παρανοήσεις, η Security Research Labs (SRL) κυκλοφόρησε μία εφαρμογή στο Play Store με την ονομασία SnoopSnitch η οποία έχει την ικανότητα να αναλύει το firmware της συσκευές και να εντοπίζει τα μη εγκατεστημένα patches ασφαλείας του Android. Με αυτό τον τρόπο οι χρήστες θα μπορούν να δουν ξεκάθαρα για το αν είναι ασφαλείς, αν και κάτι τέτοιο σαφέστατα θα μπορούσε να έχει αποφευχθεί αν οι εταιρείες ήταν πιο ειλικρινείς με τους πελάτες τους.

android ασφάλεια

Για να είμαστε σαφείς, δεν ήταν όλες οι συσκευές που είχαν σοβαρές ελλείψεις. Για παράδειγμα, κατά μέσο όρο, συσκευές της Samsung και της Sony είχαν χάσει περιστασιακά κάποιο patch. Εταιρείες όμως όπως η ZTE, η OnePlus και η TCL βρίσκονταν σε πολύ χειρότερη θέση αφού φάνηκε πως είχαν εγκατεστημένα στις συσκευές κατά μέσο όρο 4 ή περισσότερα πλασματικά patches από αυτά που πραγματικά πρέσβευαν ότι είχαν ενσωματώσει.

Η Google δήλωσε στο Wired πως ήδη έχει ξεκινήσει έρευνες για κάθε περίπτωση ξεχωριστά ώστε να επαναφέρει τις πιστοποιημένες συσκευές στην τάξη, ενώ ανέφερε πως θα διεξάγει περαιτέρω έρευνες για τα αίτια τους ζητήματος.

android ασφάλεια

Η Google από την πλευρά της προσπάθησε αν εξηγήσει κάποια από τα ευρήματα της SRL λέγοντας πως οι κατασκευαστές “πηδούσαν” τα patches που ενδεχομένως αφορούσαν λειτουργίες που είχαν αφαιρεθεί από τις εν λόγω συσκευές από την εκάστοτε εταιρεία. Αυτό βέβαια, δεν αναιρεί την ανευθυνότητα των εταιρειών.

Διαβάστε επίσης: Προ-εγκατεστημένο κακόβουλο λογισμικό σε πάνω από 40 μοντέλα Android

Μερικές σκέψεις

Είσαι κατασκευαστής smartphone. Πουλάς ετησίως εκατομμύρια συσκευές. Έχεις ένα πολύ καλό όνομα και πολύς κόσμος σε εμπιστεύεται για το προϊόν που του πουλάς. Πώς είναι δυνατόν όμως να κοροϊδεύεις τους χρήστες με αυτόν τον τρόπο; Θα ήταν προτιμότερο να έλεγαν όλες αυτές οι εταιρείες την αλήθεια και να μην εξαπατούν τους χρήστες με ψεύτικες ενδείξεις δημιουργώντας τους την ψευδαίσθηση ότι όλα κυλούν όπως πρέπει από πλευράς ασφαλείας.