:

Szerző: Hlács Ferenc

2015. október 14. 16:34

Az androidos eszközök 87 százaléka sebezhető

Az androidos készülékek több mint 87 százalékát veszélyezteti legalább egy kritikus sebezhetőség - mutattak rá tanulmányukban a Cambridge-i Egyetem szakértői. A kutatás alapján a gyártók elhanyagolják termékeiket, azokra a biztonsági frissítések gyakran egyáltalán nem érkeznek meg

Ha a mobil operációs rendszerek biztonságáról van szó, az Androidnak jellemzően nincs túl jó híre, abban szinte heti rendszerességgel bukkannak fel újabb és újabb sebezhetőségek - igaz a közelmúltban az iOS is átesett első komolyabb biztonsági fiaskóján, mikor alkalmazásboltját ezerszámra lepték el a fertőzött appok. Az Android mindenesetre kétségtelenül viszi a prímet a területen - a helyzet súlyosságát egy a Cambridge-i Egyetem által készített tanulmány is alátámasztja.

Jókora többségben a sebezhető eszközök

Az intézmény saját pontrendszer alapján osztályozta a különböző készülékgyártókat, amelyek termékeit egy a Play Store-ból már 2011 óta ingyenesen letölthető alkalmazáson keresztül vizsgálta meg. A Device Analyzer névre hallgató szoftver összesen 20400 okostelefonról küldött információkat az egyetem számára, amelyeket az 13 ismert androidos sebezhetőség kapcsán ellenőrzött. Az egyes készülékeket ennek alapján a kutatók a "biztonságos", "nem biztonságos" és "talán biztonságos" kategóriákba sorolták. Utóbbira azért volt szükség, mert a kutatás nem rendelkezik 2011 májusa előttről származó adatokkal, így egy esetleges visszaportolt javítás esetén nem tud különbséget tenni a veszélyeztetett és a már biztonságos szoftververziók között.

Az egyetem eredményei, ahogy arra számítani lehetett, nem lettek túl biztatók: a tanulmány alapján jelenleg az androidos eszközök mintegy 87,7 százaléka esik a "nem biztonságos" kategóriába, azokat 11 kritikus sebezhetőségből legalább egy érinti.

Machine recruiting: nem biztos, hogy szeretni fogod

Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

A gyenge védelemért a kutatók a gyártókat okolják, miután azok a biztonsági frissítéseket még jó esetben is csak rendkívül lassan juttatják el a felhasználókhoz - ha egyáltalán kiküldik azokat. A tanulmány a gyártókat is rangsorolja, mégpedig egy három tényezőből összeálló "FUM" névre keresztelt pontrendszer alapján. A pontok kiszámításakor figyelembe vett első szempont, hogy az adott cégnél mekkora a kritikus sebezhetőségek nélküli, biztonságos eszközök aránya a vizsgált időszakokban, a másodikat pedig a legfrissebb Androidot futtató készülékek aránya jelenti. Az utolsó tényező a cég eszközeit érintő, a vállalat által nem javított biztonsági hibák átlagos száma.

A fentiek alapján az egyetem a gyártókat egy egytől tízig terjedő skálán pontozta - talán nem jelent meglepetést, hogy az élen a Nexus készülékek végeztek. Igaz, itt több gyártó termékeiről van szó, miután azonban szoftveroldalon a telefonok közvetlenül a Google felügyelete alá tartoznak, külön kategóriába sorolhatók. Az viszont már annál meglepőbb, hogy a tízből még a Nexusok is csak 5,1 pontot szedtek össze. Ez azzal magyarázható, hogy mára három Nexus generáció is kicsúszott a kétéves támogatási ciklusból - a Nexus 4 szerencsére megmenekült, mert bár a legfrissebb, 6.0-s Android verziót már nem kapja meg, a biztonsági frissítések még egy éven keresztül eljutnak hozzá, miután a Google augusztusban 3 évre hosszabbította a Nexusokhoz járó garantált patchek időtartamát.

A Nexusok után a második helyen 3,97 ponttal az LG végzett, amelyet a Motorola követ 3,07 pontos eredménnyel. A Samsungnak már csak a negyedik hely jutott, a maga 2,75 pontjával, az ötödik helyen pedig 2,63-mal a Sony és a HTC osztozik. Ahogy azt az Ars Technica is kiemeli, kifejezetten érdekes, hogy az olyan óriások pontszámai mint a Huawei, a Xiaomi és a Lenovo lemaradtak a listáról, ahol pedig még a szinte ismeretlen Symphony is feltűnik - annak dacára, hogy a legnagyobb androidos gyártók között vannak. Fontos továbbá megjegyezni, hogy miután a teszteléshez használt app a Play Store-ból volt letölthető, sok eszköz nem férhetett hozzá, hiszen nem minden androidos készüléken van jelen a Google ökoszisztémája, Kínában például jellemzően saját alkalmazásboltokat és szolgáltatásokat kínálnak a gyártók.

A gyártóknak nem érdeke a hosszú támogatás

A kutatás jól mutatja, hogy az egyes androidos eszközök között a hardveres differenciákon túl is jókora különbségek akadnak. "Igazi" Androidot a vásárló továbbra is csak a - kártyafüggetlen - Nexusokon talál, amelyek elsőként kapják meg a legújabb szoftververziókat, illetve biztonsági frissítéseket. A közelmúltban egyébként más gyártóknál is javult a helyzet: a Google a Stagefright sebezhetőség felbukkanását követően bejelentette, havi rendszerességgel ad ki javításokat eszközeire, a kezdeményezéshez pedig a Samsung és az LG is csatlakozott.

Azt mindenesetre érdemes észben tartani, hogy az egyes gyártók miután eladtak egy-egy készüléket már nem keresnek rajta, ezért igyekeznek elérni, hogy a felhasználó minél előbb az új modellre váltson. Ehhez lehetőség szerint próbálják maximalizálni a különbséget két készülékgeneráció között - nem csak az új modell fejlesztésével, de akár a korábbi változat elhanyagolásával is. Ez már csak azért is fontos számukra, mert a legújabbnál eggyel korábbi szériák sokszor nagyságrendekkel olcsóbban vásárolhatók meg használtan mint a csúcsmodellek, nem sokkal kisebb teljesítmény mellett - a "refurbished" kategóriában ráadásul a szolgáltatók is egyre több fantáziát látnak.

A Google, az Apple vagy akár a telefonos kísérletébe végül belebukó Amazon oldalán nincs ilyen érdek, hiszen előbbi keresőjéből és hirdetéseiből, utóbbi pedig áruházából él, az okostelefonok pedig ezekhez kitűnő csatornát biztosítanak. Az Apple ebből a szempontból egészen egyedi, a cég a minőségből és értékállóságból faragott üzleti modellt (érdemes megnézni egy három éves iPhone piaci árát), miközben a licencelt kiegészítők, az App Store és az iOS-en elérhető tartalom után is jelentős bevételt húz.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról