Google heeft zijn nieuwe, jaarlijkse rapportage over bugs uitgegeven en het is niet al te blij: het spreekt zijn zorgen uit over fabrikanten die iets met Android doen. Die zouden er te lang over doen om beveiligingsupdates door te voeren, waardoor er een te groot gat ontstaat tussen de patches.
0-days
Google maakt jaarlijks de balans op waar het gaat om 0-days, dat zijn eigenlijk simpelweg zwaktes in de software van apparaten. Google schrijft over een reeks gevallen waarin de leverancier een patch voor het probleem had uitgebracht, maar de fabrikant de patch niet had overgenomen en de fix niet had vrijgegeven voor gebruikers om toe te passen. Het erkent dat dit soort patchgaten nu eenmaal weleens ontstaan, maar dat het vaker voorkomt op Android en dat bevalt Google niet. Hierdoor kunnen zwaktes namelijk bekend worden en worden misbruikt, terwijl er dus maar geen patch komt en Android-gebruikers geen goede bescherming hebben.
Bugs
Soms duurt het wel een half jaar voordat fabrikanten met een beveiligingsupdate komen en dat kan eigenlijk echt niet: een lek kan dan al gigantisch vaak zijn misbruikt. Een voorbeeld hiervan staat hieronder (via 9to5Google):
Juli 2022: Lek gerapporteerd aan het Android-beveiligingsteam
Augustus 2022: Android-beveiligingsteam stuurt het lek door naar ARM waar de bug in voorkwam, die de bug moet fiksen
Oktober 2022: Lek verholpen door ARM
November 2022: Het lek wordt officieel misbruikt door hackers
April 2023: toegevoegd aan Android Security Bulletin
Google geeft ook aan dat Samsung hiermee weleens te langzaam is, bijvoorbeeld omdat er een zeven maanden oude versie van Chromium werd gebruikt en de Samsung Internet-app dus al die tijd gevaarlijk was. Google zegt dat de industrie als geheel echt moet zorgen dat bugfixes snel bij gebruikers arriveren zodat ze zichzelf kunnen beschermen. Het vervelende is dat 40 procent van die 0-days ook nog eens varianten zijn van eerder gerapporteerde zwaktes, dus er moet echt beter worden gekeken naar hoe effectief een fix is op alle gebieden, in plaats van dat er toch nog mogelijkheden open blijven voor hackers.
Reacties
Inloggen of registreren
om een reactie achter te laten
Het zou beter zijn als Google dit centraal voor alle Android telefoons zou doen, zonder tussenkomst van de diverse fabrikanten. Op deze wijze is het in 1 keer opgelost.
Ik vraag me sowieso af waarom er zoveel verschillende Android versies moeten zijn. Het maakt eloke update alleen maar onnodig ingewikkeld. Ik snap dat fabrikanten maar al te graag er een eigen schil overheen gooien, maar het voegt voor de consument niet heel veel toe. Alles is te downloaden in de store en bijvoorbeeld “One UI” zou je als app kunnen downloaden, om dan toch die schil te krijgen.
De schil maakt juist het verschil in de Android ervaring.
Google zou inderdaad meer zelf moeten kunnen updaten en of afdwingen dat het sneller gebeurd.
Ik snap eigenlijk ook niet goed waarom Google dit patchen van android aan de fabrikanten overlaat. Windows b.v. geeft toch ook zelf de maandelijkse updates uit en die kan je dan als gebruiker installeren. Google play systeem-updates kunnen wel door gebruikers geïnstalleerd worden, of gaan die ook via fabrikanten? Waarom kan Google de beveiligingsupdates dan niet aanbieden zoals ze de google play systeemupdates aanbiedt? Dan heeft het bedrijf de zaak toch beter in de hand?
Indien een fabrikant traag is met patchen gewoon de android licentie intrekken. Komt natuurlijk ook omdat veel fabrikanten geen stock Android gebruiken en bloatware meeleveren.
Indien een fabrikant traag is met patchen gewoon de android licentie intrekken. volledig mee eens.
Helemaal mee eens. ??
Als fabrikanten het belangrijker vinden om zo veel mogelijk verschillende modellen toestellen uit te brengen per jaar, maar het update beleid niet serieus nemen dan zouden ze de Android licentie gewoon kwijt moet raken.
Tja, Samsung kan dan snel zijn met beveiligingsupdates maar blijkbaar zit er niet altijd in wat al gefixt had moeten zijn. ?