Niektorí výrobcovia smartfónov svojim zákazníkom nedoručili bezpečnostné aktualizácie tak, ako deklarovali. V niektorých prípadoch iba zmenili dátum pri informácii o aktuálnosti zabezpečenia, poprípade niektoré záplaty rovno preskočili.
Aktualizácia 16.4.2018: Na článok TECHBYTE.sk sa rozhodla zareagovať spoločnosť Motorola. Stanovisko sme doplnili nižšie.
Bezpečnostné aktualizácie vychádzajú z dielne spoločnosti Google každý mesiac. Mnohí výrobcovia smartfónov sa zaviazali, že ich budú v rámci tohto časového harmonogramu svojim zákazníkom aj doručovať.
Bez okolkov sa dá povedať, že niektorí jednoducho klamali. Priame dôkazy majú v rukách experti Karsten Nohl a Jakob Lell, ktorí pracujú pre nemecký think tank Security Research Labs. Na výskum ako prvý upozornil server Wired. Títo softvéroví odborníci posledné dva roky strávili takzvaným reverzným inžinieringom, v rámci ktorého preskúmali niekoľko stoviek Android smartfónov.
Zisťovali, či je ich úroveň zabezpečenia taká, aká mala podľa výrobcov byť. V niektorých nie málo prípadoch zistili závažné nedostatky. Lacnejšie zariadenia často postrádajú aktualizácie. Nielen tie bezpečnostné, ale aj veľké inovácie softvéru. Bezpečnostné záplaty však chýbali pri zariadeniach zo širšieho spektra.
Aby nám to experti uľahčili, vytvorili primitívnu tabuľku, ktorá zobrazuje hlavných výrobcov smartfónov podľa toho, koľko bezpečnostných záplat nedoručili od októbra minulého roka. Tabuľku vidíte nižšie a jej význam je asi jasný.
Aby sme boli spravodliví, experti odhalili, že v niektorých prípadoch môže za chýbajúcu záplatu ľudský faktor. Teda zamestnanci výrobcu, ktorí pri príprave, resp. distribúcii záplaty pochybili. Svoju úlohu tiež zohrala nekompatibilita s hardvérom. Pri prípadnej inštalácii aktualizácie by smartfón mohol prestať fungovať.
Motorola: U nás je všetko v poriadku
Spoločnosť Motorola nám dnes, t.j. 16. apríla zaslala stanovisko týkajúce sa bezpečnostných aktualizácií: „„Podľa nášho najlepšieho vedomia, všetky aplikovateľné záplaty pre zariadenia sú súčasťou každej bezpečnostnej aktualizácie. Oslovili sme Security Research Labs, aby sme získali podrobnosti o ich náleze a mohli detailnejšie vyhodnotiť ich závery.“
Overenie úrovne zabezpečenia
Pokiaľ chcete vedieť, ako je na tom s bezpečnostnými záplatami váš smartfón, stačí ho otestovať pomocou aplikácie SnoopSnitch (download TU), ktorú vytvorili práve výskumníci zo Security Research Labs. Testovanie môže trvať pár minút.
Aplikácia zobrazí, či máte nainštalované všetky bezpečnostné záplaty, poprípade odhalí, koľko vám ich chýba a ktoré to sú. Pozor, pri zariadeniach s OS Android 8.1 aplikácia nemusí fungovať správne. Takýchto zariadení ale zatiaľ na trhu veľa nie je (iba 0,3 percenta).
Úroveň zabezpečenia sme námatkovo otestovali na troch zariadeniach. Vlajkovej lodi Huawei Mate 10 Pro, strednej triede Lenovo Moto M a podstatne staršom Xiaomi Redmi Note 2 (MIUI 9). Výsledky vidíte na snímkach obrazovky nižšie.
Bezpečnosť
Nedoručovanie sľúbených bezpečnostných aktualizácií sa dá len ťažko ospravedlniť. Obzvlášť v súčasnosti, kedy počúvame o zneužití osobných údajov čoraz častejšie. Ochrana zariadenia ale nestojí iba na pravidelne vydávaných bezpečnostných záplatách, aj keď sú veľmi dôležité.
Zodpovednosť je tiež na pleciach samotného užívateľa. Užívatelia by mali dbať na biometrickú ochranu zariadenia, resp. ochranu heslom alebo PIN kódom, ktoré sú ešte dokonalejšie.
Užívatelia by nemali inštalovať aplikácie z neznámych zdrojov, pokiaľ im skutočne nedôverujú. V prípade online služieb bezpečnosť výrazne zvyšuje dvojstupňové overenie. Minimálne v prípade Google účtu by malo ísť o nepísanú povinnosť.
Samozrejme, absencia bezpečnostných záplat sa dá ospravedlniť pri problémovej kompatibilite s hardvérom (napr. starším čipsetom), alebo v prípade starších zariadení, ktorým skončilo obdobie softvérovej podpory. Aj ľudský faktor sa dá ospravedlniť. Pri ňom však treba uvážiť prehodnotenie interných kontrolných mechanizmov.
Dôležitosť skúmania expertov zo Security Research Labs uznala aj spoločnosť Google, ktorá začína s vyšetrovaním. Uvidíme, ktorý z výrobcov si začne sypať popol na hlavu ako prvý.
Samsung galaxy a8 0 missing patch 😉