Google begynte mandag å rulle ut en ny sikkerhetsoppdatering til Android. Selskapet har gjort dette månedlig siden i fjor høst. Hvorfor Google startet med dette først da, er noe uklart. Oppdagelsen av blant annet Stagefright-sårbarhetene har nok bidratt til at noen «plutselig» så behovet.
Men sikkerhetsoppdateringen fra Google vil ikke bli tilgjengelig for særlig mange. Faktisk er den bare utgitt for Nexus-enhetene, som Google selv tilbyr i samarbeid med utvalgte leverandører.
Til alle andre Android-enheter er det leverandørene selv som utgir oppdateringer. De som er partnere med Google fikk vite om de fleste av disse sårbarhetene senest den 1. februar.
Leverandører som baserer Android-installasjonen på kildekoden i Android Open Source Project (AOSP), får derimot først tilgang til denne informasjonen nå, sammen med den oppdaterte kildekoden hvor sårbarhetene har blitt fjernet.
Bare til de få
For de aller fleste er det liten grunn til å tro at disse sikkerhetsfiksene vil bli rullet ut til deres Android-enhet de kommende av ukene, selv på enheter som har blitt oppgradert til Android 6.
Det er knapt noen leverandører av Android-enheter som ser seg tjent med å komme med sikkerhetsoppdateringer hver måned. Ingen vil bruke penger på noe som ikke gir økte inntekter på sikt. Og så lenge kundene villig vekk kjøper enheter uten noen løfter om konkrete oppdateringer eller sikkerhet, så er det ingen grunn til å endre på dette.
De som bryr seg om sikkerheten, velger enheter som faktisk blir oppdatert jevnlig. I praksis er alternativene Nexus-enheter eller enheter basert på iOS eller Windows Phone.
Googles skyld?
Man kan godt gi Google skylden for at det har blitt slik, ved at selskapet ikke allerede fra starten av har tatt streng kontroll over økosystemet, men i stedet i stor grad har latt leverandørene av Android-enheter drive med sitt, innenfor visse rammer.
Denne friheten har ført til at Android brukes av mange leverandører og produkter i dag. Men det har altså hatt sin pris.
Dersom disse forholdene skal endres, må folk og virksomheter i den andre enden av verdikjeden begynne å stille krav, blant annet ved å la være å kjøpe enheter hvor leverandører ikke garanterer både raske og hyppige oppdateringer i en lengre periode etter kjøpsøyeblikket.
Først da kan det bli økonomisk avgjørende for leverandørene å tilby oppdateringer.
Sjekk nivået
Flere av sårbarhetene som Google nå har fjernet, anses som alvorlige. Noen av dem kan åpne for fjernkjøring av vilkårlig kode, noe som betyr at en angriper i stor grad har tilgang til å gjøre akkurat det samme som brukeren selv.
I nyere utgaver av Android, er det sikkerhetsfunksjonalitet som i mange tilfeller vil kunne hindre at sårbarhetene utnyttes av for eksempel tredjepartsapper. Men også denne sikkerhetsfunksjonaliteten kan ha egne svakheter som gjør det mulig for en angriper å trenge gjennom. Derfor er det viktig at alle kjente sårbarheter fjernes før de blir mulige å utnytte.
På enheter med Android 6 kan man enkelt sjekke hvilke sikkerhetsoppdateringer som har blitt installert. I appen for innstillinger, under valget «Om enheten», kan man finne et punkt «Nivå for patch av sikkerhet» eller noe tilsvarende. Her er det oppgitt en dato, og den datoen bør nå være 1. februar 2016 eller nyere.