Tijdige beveiligingspatches en naadloze iOS-software-updates zijn een van de belangrijkste redenen voor veel Android-klanten om over te stappen op een iPhone.
Een nieuwe enquête heeft echter iets ontdekt dat mogelijk verontrustend is.
Wired vandaag geciteerd Duits beveiligingsbedrijf Security Research Lab, dat heeft ontdekt dat veel Android-leveranciers liegen tegen klanten over belangrijke beveiligingspatches voor besturingssystemen door de datum van de beveiligingsupdate op het apparaat te wijzigen zonder daadwerkelijk patches te installeren.
Het is geen geheim dat Google al lang moeite heeft om OEM's en providers ertoe te brengen regelmatig beveiligingspatches voor Android uit te duwen.
Na twee jaar analyse van Android-updates, heeft het bedrijf ontdekt dat veel Android-OEM's patches niet beschikbaar stellen aan hun gebruikers of hun release maanden uitstellen.
En in sommige gevallen vertellen leveranciers dat de firmware van hun telefoon volledig up-to-date is, hoewel ze in het geheim patches hebben overgeslagen. "We hebben verschillende leveranciers gevonden die geen enkele patch hebben geïnstalleerd, maar de patchdatum enkele maanden hebben gewijzigd", zegt onderzoekers Karsten Nohl.
"Dat is opzettelijk bedrog, en het is niet erg gebruikelijk."
Android-beveiligingspatches via Security Research Lab en Wired
Sommige van de ontbrekende patches kunnen worden toegeschreven aan telefoons met chips van MediaTek en Qualcomm, de eerste ontbreekt gemiddeld 9,7 patches en de laatste 1,1 patches. Wanneer er bugs worden gevonden in deze chips in plaats van in Android zelf, is de fabrikant van de telefoon afhankelijk van de chipmaker om een patch aan te bieden.
"De les is dat als je voor een goedkoper apparaat gaat, je in een minder goed onderhouden deel van dit ecosysteem terechtkomt," voegde Nohl toe.
Google antwoordde door te zeggen dat sommige van de smartphones die Security Research Lab heeft geanalyseerd, mogelijk geen Android-gecertificeerde apparaten zijn, maar onderstreepte dat het samenwerkt met de onderzoekers om hun bevindingen verder te onderzoeken.
Volgens Scott Roberts, Android's productbeveiligingsleider:
Beveiligingsupdates zijn een van de vele lagen die worden gebruikt om Android-apparaten en gebruikers te beschermen. Ingebouwde platformbeveiligingen, zoals applicatiesandboxing en beveiligingsservices, zoals Google Play Protect, zijn net zo belangrijk. Deze beveiligingslagen in combinatie met de enorme diversiteit van het Android-ecosysteem dragen bij aan de onderzoekers
Google beweert dat moderne, Android-gecertificeerde apparaten beveiligingsmogelijkheden bevatten die het moeilijk maken om ze te hacken, zelfs als ze ongepaarde beveiligingsproblemen hebben.
Volgens de zoekgigant hebben in sommige gevallen beveiligingspatches van apparaten gemist omdat hun leveranciers mogelijk een kwetsbare functie van de telefoon hebben verwijderd in plaats van deze te patchen, of de telefoon had die functie in de eerste plaats niet.
Security Research Lab presenteert hun volledige bevindingen op een evenement in Amsterdam.
