En undersøkelse gjort av forskere ved britiske University of Cambridge, viser at visse leverandører er langt flinkere enn andre i å sikre at de Android-baserte enhetene de leverer, blir tilbudt sikkerhetsoppdateringer som fjerner alvorlige sårbarheter.
Måten Android-operativsystemet distribueres på, gjør at den enkelte leverandør av Android-baserte enheter selv er ansvarlig for å rulle ut sikkerhetsoppdateringer til enhetene, når sårbarheter i Android har blitt oppdaget.
Denne modellen har bidratt sterkt til Androids suksess, fordi enhetsleverandørene har hatt store muligheter til å gjøre programvaren til sin egen, og dermed skape produkter som skiller seg ut.
Men dette skaper også merarbeid når programvaren til enhetene har behov for oppdatering, og det er få leverandører som sørger for kontinuerlig å vedlikeholde enhetenes tilpassede Android-utgave i enhetenes levetid, ja ofte selv mens enhetene fortsatt er i salg.
HTC: – Urealistisk med månedlige Android-oppdateringer
Sikkerhetsoppdateringer er det viktigste
Det er ikke slik at en enhet som leveres med for eksempel Android 5.0, blir noe dårligere selv om enheten aldri vil kunne oppgraderes til Android 6.0. Tvert imot vil den være nøyaktig det samme produktet. Men enheten vil bli et dårligere produkt dersom kjente sårbarhet som berører Android 5.0 ikke fjernes fra enheten så raskt som mulig.
I en pressemelding skriver forskerne at data de har hentet via mobilappen Device Analyzer, som mer enn 20 000 Android-brukere har installert, viser at i løpet av de fire siste årene har til enhver tid i gjennomsnitt 87 prosent av alle Android-baserte vært sårbare for angrep fra ondsinnede apper.
Årsaken er ikke at Google ikke har utgitt sikkerhetsoppdateringer til Android, men at mange av leverandørene ikke har gjort disse tilgjengelige for brukerne innen rimelig tid.
Les også: Google-ansatte utfordrer Android-sikkerheten
Rangering
I den vitenskapelige artikkelen om undersøkelsen, har forskerne etablert et poengverdi (FUM score) som de bruker for å rangere leverandørene av Android-enheter. Tallet forteller noe om i hvilken grad de ulike leverandørene utgir jevnlige sikkerhetsoppdateringer til enhetene de har levert.
Poengsummen er sammensatt av tre komponenter:
- andelen av enheter som ikke har kjente, kritiske sårbarheter
- andelen av enheter som er oppdatert med den nyeste versjonen av Android
- antallet sårbarheter som leverandøren ikke har fjernet ennå på enhver enhet
Den maksimale verdien for FUM-tallet er 10. Alle de tre komponentene nevnt over bidrar til å redusere poengverdien. Selv ikke Nexus-enheter, som vanligvis er de enhetene som først blir oppdatert med både sikkerhetsfikser og nye Android-versjoner, oppnår mer enn i gjennomsnitt 5,17 poeng.
Tallet for Nexus inkluderer også poengsummen for enheter som Galaxy Nexus, som offisielt forsvant fra markedet for snart tre år siden. Undersøkelsen viser likevel at Galaxy Nexus oppnår en høyere poengsum enn nyere enheter som Nexus 4 og Nexus 7, uten at dette er nærmere forklart.
Datatilsynet: De aller fleste app-er samler inn informasjon om barn
Leverandørene
Noe av hensikten med undersøkelsen er å kunne gi råd om hvilken leverandør man bør velge, dersom man ønsker å kjøpe en Android-enhet, er opptatt av best mulig sikkerhet og ikke ønsker å kjøpe en Nexus-enhet. Om undersøkelsen egner seg til dette, kan diskuteres. For den viser hvordan situasjonen har vært, i gjennomsnitt, de fire siste årene. Den sier ingen lite eller ingenting om selskapenes nåværende eller framtidig planer.
Blant annet har LG og Samsung, i tillegg til Google, begynt å rulle ut månedlige sikkerhetsoppdateringer til Android-enheter. Det er fortsatt høyst uklart hvilke enheter som omfattes av disse løftene, bortsett fra nyere Nexus-enheter. Dessuten er i mange tilfeller mobiloperatørenes evne og vilje til å bidra, en avgjørende faktor.
Forskerne ved University of Cambridge rangerer mobilleverandørene slik:
Nexus-enheter | 5,2 (best) |
LG | 4,0 |
Motorola | 3,1 |
Samsung | 2,7 |
Sony | 2,5 |
HTC | 2,5 |
Asus | 2,4 |
Alps | 0,7 |
Symphony | 0,3 |
Walton | 0,3 (dårligst) |
Dette betyr at LG er den leverandøren som har i størst grad har kommet jevnlig med sikkerhetsoppdateringer til selskapets Android-enheter de fire siste årene. På de neste plassene kommer flere andre leverandører som er velkjente i blant annet Norge. Nederst ligger tre leverandører som ikke er særlig kjente i Norge, i alle fall.
Tabellen er på ingen måte komplett. Leverandørene som ikke er nevnt, oppnår i gjennomsnitt 1,97 poeng, mens gjennomsnittet for alle de registrerte enhetene er 2,87 poeng av 10 mulige.
Men utvalget på drøyt 20 000 enheter er begrenset. Derfor håper forskerne på at flere installerer Device Analyzer-appen og lar den være installert i lang tid framover.
I forskningsartikkelen har forskerne også rangert mobiloperatørene etter den gjennomsnittlige poengsummen enheter i operatørenes nett har oppnådd i appen. O2 UK kommer best ut med i gjennomsnitt 3,87 poeng. Bangladesh-baserte Banglalink er til sammenligning gitt 0,54 poeng.
Telenor er blant mobiloperatørene som er oppgitt og oppnår 1,89 poeng. Men Telenor har virksomhet i en rekke land, inkludert i Asia. Så det er lite trolig at dette tallet er representativt for enhetene i selskapets norske mobilnett.
Les mer: Storoffensiv mot Stagefright-feilen
Andre observasjoner
I forskningsartikkelen opplyses det for øvrig at enhetene i undersøkelsen i gjennomsnitt har mottatt 1,26 oppdateringer av fastvaren per år. I alle fall i det siste har det blitt oppdaget nye og alvorlige Android-sårbarheter langt hyppigere enn dette. Dersom den tidligere oppdateringstakten fortsetter, vil mange av enhetene være sårbare i lange perioder.
Også selve utrullingen av oppdateringer er preget av at det finnes flere flaskehalser. Forskerne har målt at omtrent halvparten av enhetene av en gitt modell blir oppdatert i løpet av de første 30 dagene etter at den første oppdaterte enheten har blitt observert. Men det tar hele 324 dager før så mange som 95 prosent av enhetene har fått installert denne oppdateringen eller en enda nyere en.
Den gjennomsnittlige tiden det tar før halvparten av det aktuelle utvalget har tatt i bruk en gitt Android-versjon, er på 350 dager. Det tar i snitt 1100 dager før 95 prosent av enhetene har blitt oppdatert, altså drøyt tre år.
– Problemet med mangel på oppdateringer til Android-enheter er velkjent, og nylig har Google og Samsung forpliktet seg til å levere sikkerhetsoppdateringer hver måned. Ved å kvalitifisere problemet håper vi å kunne hjelpe folk med å velge en enhet, og at dette igjen vil gi andre leverandører og operatører et incentiv til å levere oppdateringer, skriver forskerne i pressemeldingen.
Les også: Det haster å fjerne Android-sårbarheter