45

Łatki bezpieczeństwa to blef – aktualizacyjna sztuka dla sztuki

Od pewnego czasu producenci smartfonów i tabletów udostępniają co jakiś czas łatki bezpieczeństwa. W teorii zwiększa to wymiernie bezpieczeństwo urządzeń i chroni je przed dopiero co odkrytymi zagrożeniami. Okazuje się jednak, że nawet w tym temacie firmy nie do końca grają fair z użytkownikami. Czy jest się czego obawiać?

Aktualizacyjny szał

Prawie żaden producent, zajmujący się smartfonami z Androidem, nie zapewnia naprawdę szybkich aktualizacji. Sam proces przygotowania oprogramowania jest czasochłonny, choć akurat ten aspekt zdecydowanie poprawia Project Treble. Szkoda zatem, że ten dodatek nie zawita do wszystkich obecnych już w sprzedaży modeli. Na szczęście firmy mają obowiązek go dodawać do sprzętów z preinstalowaną wersją 8.0 Oreo oraz nowszymi, dzięki czemu sytuacja może poprawić się w dłuższej perspektywie. Przynajmniej wszyscy na to liczą.

Nie da się również ukryć, że wsparcie sprzedanego już produktu nie jest najlepszym biznesem. W końcu trzeba ciągle wydawać na nie pieniądze, a wtedy nie będzie to stanowiło uzasadnionej ekonomicznie inwestycji. W końcu liczy się użytkownik. Ważne, aby był zadowolony z danego sprzętu, a na dobrą sprawę większość z nich nie zawraca sobie głowy takimi „niuansami”, jak wersja preinstalowanego oprogramowania, procesor czy aparat. Ma działać i wyglądać.

Z tego względu update’y faktycznie interesują jedynie mniejszą część klientów. To osoby bardziej zaznajomione z tematem i rzeczywiście patrzące na tego typu elementy. Producenci starają się zaspokoić ich wymagania aktualizacjami oraz właśnie regularnie pojawiającymi się łatkami bezpieczeństwa, które to Google wydaje co miesiąc. Naukowcy z Security Reasearch Labs, Karsten Nohl i Jakob Lell, przebadali pod tym kątem ponad 1200 urządzeń z Androidem przez ostatnie dwa lata. Sprawdzali, czy dany patch usuwa luki w oprogramowaniu i pokrywa się z wytycznymi firmy z Mountain View. Rezultaty okazały się być dosyć niepokojące.

Wszyscy oszukiwani?

Warto spojrzeć na banalny sposób firm, w jaki zapewniały nowe łatki bezpieczeństwa. Po prostu zmieniały datę wydania danego patcha w ustawieniach i na tym kończyły się nowości – każdy może zrobić to samo, modyfikując ro.build.version.security_patch w plikach build.prop w zrootowanym telefonie. Moim zdaniem żenująca praktyka. To pokazuje dobitnie, że niewielu chce inwestować pieniądze we wsparcie sprzedanego produktu i woli mieć podstawy do chwalenia się swoją troską, jednocześnie robiąc to jak najtańszym sposobem.


Najlepiej w badaniu wypadły Google Pixel. Sporadycznie jednak tego rodzaju sztuczki nie były spowodowane celowym działaniem, a zwykłym błędem ludzkim, co zdarzyło się na telefonach Sony lub Samsung. Na wybranych urządzeniach po prostu pominięto jakąś łatkę. Najlepiej też te wymienione firmy oraz jeszcze Wiko wypadły w całym badaniu. Od 1 do 3 łatek pominęły Xiaomi, OnePlus, Nokia; od 3 do 4: HTC, Huawei, LG i Motorola; a zestawienie zamykają ZTE oraz TCL (Alcatel i BlackBerry).

Warto zauważyć tu istotną zależność. Okazuje się, że niebagatelny wpływ na ten aspekt ma zamontowany procesor, a dokładniej mówiąc to, od kogo pochodzi. Najlepiej prezentują się Exynosy, za nim są jednostki Qualcomma, dalej Huawei HiSilicon, a zdecydowanym przegranym okazuje się być Mediatek, w przypadku którego najczęściej dochodzi do pomijania łatek bezpieczeństwa. Odpowiedzialność jest tu również na samym producencie SoC. Powinien zapewnić firmie odpowiednie patche, jednak trudno się dziwić tym wynikom, skoro wybór ich układów wynika przede wszystkim z racji ich atrakcyjnej ceny. To musi wynikać z czegoś więcej niż sama konstrukcja, a wsparcie pozostaje czymś nad wyraz kosztownym.

Nowa afera?

Gdybyście chcieli sprawdzić swój telefon, możecie pobrać aplikacje stworzoną przez twórców badania, o której więcej dowiecie się z tej strony. Moim zdaniem takie update’y są ważne, ponieważ chronią przed poważnymi lukami, a tych w ostatnim czasie odkryto sporo. Wspomnieć tu można o KRACK, dotyczącymi WiFi WPA2, BlueBorne, związanym z Bluetoothem, czy Spectre i Meltdown, dotykających procesorów. Te wszystkie zagrożenia na szczęście usunięto w kolejnych łatkach bezpieczeństwa. Teraz pozostaje nam czekać na rozwój wypadków. Jestem jednak ciekaw, czy czeka nas kolejna afera, czy też nikt nie zwróci na to szczególnej uwagi. Mimo wszystko powinno to stanowić ważną podstawę do dyskusji – mówimy tu o ochronie sprzętu, na którym przechowujemy wszystkie swoje cenne dane.

źródło: Wired