Nieuws
13 april 2018 - Ron Smeets

Android fabrikanten installeren bewust niet alle beveiligingspatches Sommige fabrikanten passen alleen de datum aan en installeren helemaal niets

Dat je als gebruiker van een Android smartphone je veilig waant wanneer jouw toestel de meest recente beveiligingsupdates krijgt is niet helemaal terecht. Dat blijkt uit onderzoek van Security Research Labs. Zij bekeken het beveiligingsniveau van zo’n 1200 smartphones van 13 fabrikanten door per toestel alle bekende beveiligingslekken en issues die gedicht en verholpen zouden moeten zijn te controleren of dat ook daadwerkelijk het geval was. Helaas bleken op die van vier fabrikanten na de meeste smartphones niet alle beveiligingspatches gekregen te hebben. Fabrikanten kiezen er vaak dus bewust voor om een deel van de maandelijkse beveiligingsupdate, die uit meerdere patches bestaat, niet te installeren. En er zijn zelfs gevallen ontdekt waarbij een fabrikant in Android alleen de datum van de laatste beveiligingsupdate aanpaste waardoor de gebruiker onterecht dacht dat het toestel voorzien was van de meest recente beveiligingsupdate.

Monnikenwerk
Het testen van de beveiliging en de beveiligingsupdate status op patch niveau voor 1200 smartphones is niet iets dat je snel even doet. Het is een heus monnikenwerk waar hackers Karsten Nohl en Jakob Nell van Security Research Labs ruim twee jaar aan gewerkt hebben. Gemiddeld worden er elke maand enkele tientallen – met uitschieters naar meer dan 300 – kwetsbaarheden in Android gevonden die middels de maandelijkse beveiligingsupdates verholpen kunnen worden. Die updates bestaan uit verschillende patches. Nell en Nohl hebben twee jaar lang alle kwetsbaarheden die opgelost zouden moeten zijn op elk toestel getest door te proberen de kwetsbaarheden te exploiteren.

Google, Samsung, Sony en Wiko perfect gepatcht, ZTE en TCL patchen het slechtst
Uit die tests bleek dus dat veel fabrikanten de nodige patches overslaan of niet installeren. Nu lijken de getallen die genoemd worden nog wel mee te vallen, maar als gebruikers denken dat hun toestel veilig is en dat blijkt achteraf niet het geval te zijn dan is dat natuurlijk een kwalijke zaak. Het onderzoek laat per fabrikant zien hoeveel patches gemiddeld niet geïnstalleerd zijn. Enfin, laat ik met het goede nieuws beginnen. Er zijn vier fabrikanten die het beste uit de bus kwamen en vrijwel alle beveiligingsupdates en patches installeren: Google (duh!), Samsung, Sony en Wiko smartphones misten gemiddeld 0 of 1 patch. Dat wil niet zeggen dat die toestellen nooit gehackt kunnen worden, maar wel dat nagenoeg alle bekende beveiligingslekken elke maand door de beveiligingsupdates gedicht worden. Nokia, Xiaomi en OnePlus missen gemiddeld 1 of 2 patches. Voor HTC, Huawei, LG en Motorola ligt dat aantal op 3 of 4. TCL en ZTE zijn de slechtste jongetjes van de klas met 5 of meer gemiste patches per toestel! Voor TCL is dat helemaal bijzonder omdat zij tegenwoordig ook BlackBerry toestellen maken.

 Aantal gemiste patches

0 tot 1

1 tot 3

3 tot 4

5 en meer

 Fabrikant

Google

Nokia

HTC

TCL

 

Samsung

Xiaomi

Huawei

ZTE

 

Sony

OnePlus

LG

 

 

Wiko

 

Motorola

 

 

Erger dan het afvoeren van oude smartphones van de update lijst
Er is zeker in Nederland de laatste tijd veel te doen over het feit dat sommige fabrikanten al na twee jaar, en soms nog eerder, stoppen met het voorzien van Android smartphones toestellen met de meest recente beveiligingsupdates. Volgens Nohl en Nell is het stiekem, of toch in ieder geval zonder het te melden, overslaan van beveiligingspatches bij toestellen die net in de winkels liggen of nog geen twee jaar oud zijn, veel erger. Daar kan ik mij wel iets bij voorstellen. Zeker als je bedenkt dat tijden het onderzoek ook Android smartphones opdoken waarbij de fabrikant alleen telkens de update datum aanpaste zonder ooit ook maar één beveiligingsupdate te installeren. Een ander voorbeeld dat genoemd werd is de Samsung Galaxy J3 uit 2016. Daarvan zei Samsung dat dit toestel in 2017 alle beveiligingsupdates en patches ontvangen had. In de praktijk bleek echter dat het toestel er twaalf, waarvan twee ‘kritische’, miste. Vreemd want bij de Galaxy J5 uit 2016 vermeldde Samsung wel op patchniveau nauwkeurig welke er wel en niet geïnstalleerd waren. Hoe dan ook, het misleiden van consumenten door te roepen dat een toestel up-to-date is qua beveiligingspatches terwijl dat in werkelijkheid niet zo is, is ronduit schandalig.

Ook toestellen getest die niet Android Certified zijn
Google nam het in een reactie op de bevindingen wel even op voor de fabrikanten en toestellen die Android Certified zijn door te roepen dat in het onderzoek ook Android smartphones meegenomen zijn die niet in de Android Certified categorie vallen. Die hoeven zich niet aan de update- en andere regels van Google te houden en daardoor hebben die mogelijk een negatieve invloed op de uiteindelijke testresultaten. Dat kan, maar het onderzoek van Nell en Nohl benoemd toch met name de fabrikanten en toestellen die wel in de Android Certified categorie vallen.

Malafide apps vormen een groter gevaar
Wat de onderzoekers ook nog willen benadrukken is het feit dat de meeste smartphones tegenwoordig gehackt worden, en gevaar lopen, door malafide apps die door de beveiligingsmazen van de Google Play Store glippen en apps die geïnstalleerd worden van bronnen anders dan de officiële Google Play Store. Een Android toestel kraken met behulp van bekende, en niet gedichte, kwetsbaarheden in het OS is een stuk ingewikkelder.  Bovendien zijn daarvoor meestal meerdere kwetsbaarheden nodig en de kans is groot dat, ondanks het missen van een of twee patches, een van de benodigde kwetsbaarheden wel verholpen is. Vanaf Android KitKat (4.0) heeft Google er daarnaast voor gezorgd dat programma’s niet meer op een vaste geheugenplek geplaatst worden wat het hacken ook bemoeilijkt.

Zelf testen kan ook
Wil je weten wat de patch status van jouw Android smartphone is? Dat kun je zelf testen met de app SnoopSnitch van Security Research Labs. Die app vind je in de Google Play Store. Installeren, de voorwaarden even lezen (1 pagina) en testen maar. Mijn Galaxy Note8 en Galaxy S9+ hadden in ieder geval geen missende patches en dat gold ook voor de Huawei P20 Pro, maar daar meldde SnoopSnitch wel dat voor Android 8.1 nog niet alle tests beschikbaar zijn. Ik ga de komende dagen zeker ook even wat oudere Android toestellen testen die ik nog heb liggen.

Lees hier het onderzoeksartikel van Security Research Labs.