Andelen av offisielle Android-enheter som mottok minst én sikkerhetsoppdatering i fjor, var på omtrent 50 prosent. Dette opplyser Googles sjef for Android-sikkerheten, Adrian Ludwig, i et blogginnlegg. Ifølge Ludwig er dette tallet dobbelt så høy som i 2015.
Det store mangfoldet i Android-økosystemet – eller fragmenteringen som dette også blir kalt – gjør at Google ikke kan rulle ut oppdateringer direkte til alle enhetene. I stedet er det leverandørene av de enkelte enhetene, eventuelt mobiloperatørene, som står for utrullingen – gjerne fordi disse har gjort egne tilpasninger i programvaren.
Noen av disse er helt nødvendige, slik som maskinvaredrivere. Andre er inkludert for å tilby noe unikt i et marked med hard konkurranse. Men mye er lagt til kun for å fremme andre produkter og tjenester fra leverandøren eller mobilselskapet.
På grunn av disse tilpasningene, må også oppdateringene som Google kommer med, bli endret på av mobilleverandørene eller -operatørene, før de kan tas i bruk på enhetene. I beste fall tar dette lang tid. Mange opplever at det aldri kommer noen oppdatering, eller bare så lenge enheten er relativt ny.
Les også: Skal granske oppdateringspraksisen til Android-leverandører
735 millioner enheter ble oppdatert
Siden høsten 2015 har Google kommet med månedlige sikkerhetsoppdateringer til Android. Dette er mindre oppdateringer som i sjelden endrer hvordan operativsystemet fungerer, og som stort sett bør være enkle å tilby videre for mobilleverandørene og –operatørene.
I blogginnlegget, og i en tilhørende video og rapport, opplyser Ludwig at mer enn 735 millioner Android-enheter fra mer enn 200 leverandører ble sikkerhetsoppdatert i fjor.
Selv om dette er det høyeste tallet noensinne, så er andelen skremmende lavt. For sikkerhetsoppdateringene tilbys til så gamle versjoner av Android som 4.4.4, noe som tilsier at 83,6 prosent av alle de Google Play-tilknyttede enhetene kunne ha mottatt sikkerhetsfikser, dersom leverandørene hadde tatt seg bryet.
Siden Google begynte med de månedlige sikkerhetsoppdateringene, har det blitt fjernet mer enn 600 sårbarheter fra operativsystemet. Riktignok er det mange av disse er versjons- eller enhetsspesifikke, men det er også mange sårbarheter som kan gjøre de aller fleste av enhetene mindre motstandsdyktige mot angrep. Ikke minst gjelder dette enheter med litt eldre Android-versjoner, som mangler mye av den innebygde sikkerhetsfunksjonaliteten som gjør det vanskelig å utnytte sårbarheter i de nyeste versjonene.
Les også: Dette kan være Googles plan for å gi alle Android-brukere fersk funksjonalitet
Fremst i rekken
I videoen trekker Ludwig fram en del enheter som i fjerde kvartal i fjor utmerket seg ved at de jevnlig og ganske raskt mottar sikkerhetsoppdateringer. Dette er i stor grad flaggskipmodeller fra noen av leverandørene, i tillegg til Googles egne Pixel- og Nexus-modeller.
Til TechCrunch sier Ludwig at Google gjennom samarbeid med operatører og leverandører har greid å redusere tiden det tar før sikkerhetsoppdateringene blir tilgjengelige for enhetene til bare noen få dager. Tidligere tok det typisk seks til ni uker. Men Ludwig sier ingenting om hvilke enheter eller operatører dette gjelder.
– I Nord-Amerika var mer enn 78 prosent av flaggskipenhetene oppdatert med de nyeste sikkerhetsoppdateringene ved utgangen av 2016. Det er et bra tall når det gjelder progresjon. Men vi tror vi kan gjøre det bedre, sier Ludwig.
– Vi er endelig ferdige med «kom deg ut av veien»-fasen, sier han til The Verge.
Samsung
Til Wired sier Henry Lee, direktør for mobilsikkerhet hos Samsung, at selskapet «bare» tilbyr 13 ulike modeller, så selges de av 200 ulike mobiloperatører som hver og en modifiserer enhetene i varierende grad. I praksis finnes det ifølge Lee rundt 1500 varianter av hver Android-versjon, bare til Samsungs enheter.
Ifølge Lee skal rundt 60 prosent av Samsung-enhetene ha mottatt minst én sikkerhetsoppdatering i 2016. Rundt 15 prosent benytter enheter med Android-versjoner som ikke lenger støttes, mens omtrent like mange lar være å installere oppdateringene.
I hvilken grad det gjelder i Norge, er uklart, men i USA skal Samsung faktisk ha kommet hyppigere med sikkerhetsoppdateringer til operatørlåste enheter enn til enheter som ikke er låst. Dette skal nå ha endret seg.
I alle fall Samsung og LG har etablert egne sider hvor de informerer om sikkerhetsoppdateringer.
I rapporten går Google også gjennom hvordan selskapet på ulike måter har forbedret Android-sikkerheten det siste året, utover det å fjerne sårbarheter. Mange av forbedringene krever riktignok enhetene har Android 7.0, som i mange tilfeller knapt har kommet til de aller mest populære flaggskipmodellene. Ytterligere forbedringer har kommet i Android 7.1.
Men ifølge Googles egne tall, er det bare henholdsvis 2,4 og 0,4 prosent av Android-enhetene som kjører disse versjonene.
Les også: Nye Android «O» skal begrense hva apper får lov til å gjøre i bakgrunnen
Flere laster ned skadevare
I rapporten går det også fram at mengden av enheter som er infisert med det Google kaller for potensielt skadelige apper har økt fra 0,5 prosent til 0,71 prosent mellom begynnelsen av 2015 til slutten av 2016. Men dette gjelder når man regner med enheter hvor det også er lastet ned apper fra andre kilder enn Google Play.
Men heller ikke alle appene som finnes i Google Play er alltid til å stole på. Andelen av enheter hvor det kun har blitt lastet ned apper fra Google Play, og hvor det i ettertid har blitt funnet potensielt skadelige apper, var på 0,05 prosent ved nyttår.
Dette er en tredel av det som var andelen i 2015.
Leste du denne? Aggressiv skadevare krever fullstendig reinstallasjon av Android-enheter