Az Android sosem tartozott az igazán biztonságos rendszerek közé, annak ellenére sem, hogy a Google az utóbbi időben tényleg mindent bevet annak érdekében, hogy a felismert biztonsági réseket megfelelő gyorsasággal foltozzák. Ezt jól mutatja, hogy a vállalat saját Pixel eszközei azért biztonságtechnikai szempontból is kellemesnek mondható megoldások, ugyanakkor az Android jóval túlnőtt már a Google hatáskörén, és sajnos a keresőóriás képtelen rávenni a partnereit, hogy elvégezzék a házi feladataikat.

A fenti kijelentés azért is nagyon érdekes, mert a felhasználók manapság egyre sűrűbben tapasztalják, hogy az adott androidos eszközhöz jönnek a frissítések, ezek települnek is, így látszatra minden rendben van, de a motorháztető alatt tátonganak a rések. A Hack in the Box konferencián, Karsten Nohl és Jakob Lell, a Security Research Labs szakértői beszámoltak arról, hogy az elmúlt két évben rengeteg androidos eszközt visszafejtettek, és arra lettek figyelmesek, hogy az egyes gyártók által kiadott frissítések nem tartalmaznak bizonyos biztonsági javításokat, miközben a felhasználók felé azt jelzik, hogy egy az adott időpontig bezárólag minden rendben van.

Az Android platformon zajló biztonsági háttérmunka így rendkívül aggályos, mivel gyakorlatilag az egyes gyártók azt hazudják a felhasználók felé, hogy a kiadott firmware időpontjáig bezárólag minden biztonsági javítás telepítve van, de a valóság ezzel szemben az, hogy a rendszer továbbra is lyukas, és így támadható is.

A Security Research Labs nagyjából 1200 eszközt tesztelt a legkülönfélébb gyártóktól, amelyeken megnézték a 2017-ben megjelent összes frissítést. Extrém esetben voltak olyan gyártók is, amelyek egyetlen javítást sem eszközöltek, csupán átírták a frissítésre vonatkozó dátumot, jelezvén a felhasználó felé, hogy minden rendben, miközben a meglévő biztonsági rések ugyanúgy megmaradtak.

Karsten Nohl egyébként nem tartja kizártnak, hogy egy-két javítást a nagyobb gyártók véletlenül kihagynak, ez a megfeszített fejlesztési tempó mellett benne van a pakliban, később pedig lehet pótolni. Ugyanakkor az rendkívül nehezen magyarázható, hogy a Samsung Galaxy J5 2016 tökéletesen visszajelezte, hogy mely biztonsági javítások vannak telepítve, és melyek azok a rések, amelyek még élnek. Ezzel szemben a Samsung Galaxy J3 2016 már az összes 2017-ben kiadott foltozást telepítettnek ítélte meg, annak ellenére, hogy 12 javítást nem telepített, amelyek közül kettő ráadásul kritikus fontosságú volt.

Karsten Nohl szerint a fentiek miatt rendkívül nehéz eldönteni, hogy az adott androidos eszköz védett-e a felfedezett biztonsági résekről, vagy csak hazudik a frissítés a védelem jelenlétéről. A probléma kezelése érdekében az alábbi applikáció lehet némi támpont, amely képes elemezni a frissítéseket, és megpróbál egy átfogó képet adni ezek meglétéről. Azt persze meg kell jegyezni, hogy bizonyos funkciói rootolt, Qualcomm rendszerchippel rendelkező eszközhöz vannak kötve, de a frissítésstátusz ellenőrzése miatt mindenképpen megéri lefuttatni.

Fontos kiemelni, hogy a hiányzó frissítésekért nem csak az adott eszköz gyártója felelős, hanem a rendszerchipet tervező cég is. Sok javításhoz ugyanis az aktív közreműködésük kell, elvégre a platform alapja tőlük származik. Ha tehát egy androidos eszközöket forgalmazó gyártó nem kapja meg a beszállítójától a szükséges komponenseket, akkor még ha akarják se tudják javítani a biztonsági hibákat. Itt megint előkerült, hogy egy-két javítást ki lehet hagyni véletlenül, elnézheti az adott rendszerchip tervezője, vagy úgy ítéli meg, hogy nem elég stabil az éppen fejlesztett implementáció. Ebből a szempontból a Samsung kiemelkedően jól teljesít, alig hagynak ki frissítéseket, és a Qualcomm, illetve a HiSilicon esetében is inkább az látható, hogy azért törekednek a biztonságra, még ha nem is tökéletesen, de a javítatlan sebezhetőségek száma kettő alatti. A MediaTek ugyanakkor az említett konkurensekhez képest látványosan rosszabb eredményt tud felmutatni, a legtöbb ilyen lapkát használó eszközökön 9-10 között van a foltozatlan biztonsági rések száma, és ezt már nem igazán lehet a véletlenekkel magyarázni.

A Google számára a Security Research Labs elemzése komoly gyomros, ugyanis a vállalat kifejezetten sokat próbált tenni azért, hogy az Android biztonságos legyen. Eközben kiderült, hogy számos eszköz nem is kaphatta volna meg az Android hitelesítést, ugyanis nem felelnek meg a Google követelményeinek. Ettől függetlenül megkapták, vagyis hiába az elmúlt évek harca még mindig rengeteg rés van a pajzson, amit ki lehet használni. Emiatt a Google bejelentette, hogy együtt dolgozik az említett biztonsági céggel, hogy elemezzék a fenti, nem túl csodás helyzetet.