? Android security een ‘markt voor citroenen’ dat laat 87 procent kwetsbaar

De gegevens voor het onderzoek is verzameld van meer dan 20.000 Android-apparaten;. AndroidVulnerabilities.org

Bijna 90 procent van Android apparaten blootgesteld aan tenminste één kritische kwetsbaar, omdat niet Android handset makers patches leveren, blijkt uit onderzoek van de Britse Universiteit van Cambridge.

Consumenten, toezichthouders en zakelijke kopers geconfronteerd met een gemeenschappelijk probleem bij de beoordeling van Android smartphones, in dat niemand weet welke patches zal leveren na de Google ontwikkelt oplossingen voor Android security bugs.

“De moeilijkheid is dat de markt voor Android security vandaag is net als de markt voor citroenen,” Cambridge onderzoekers Daniel Thomas, Alastair Beresford, en Andrew Rice noot in een nieuw papier.

Er is informatie-asymmetrie tussen de fabrikant, wie weet of het apparaat is op dit moment veilig en zal beveiligingsupdates te ontvangen, en de klant, wie niet.

Hun analyse van de gegevens verzameld van meer dan 20.000 Android-apparaten met de Device Analyzer app geïnstalleerd bleek dat 87 procent van de Android-apparaten waren kwetsbaar voor ten minste één van de 11 bugs in het publieke domein in de afgelopen vijf jaar, met inbegrip van de recent ontdekte TowelRoot kwestie, die Cyanogen vaste vorig jaar, en FakeID.

De onderzoekers vonden ook dat Android-toestellen gemiddeld ontvangt 1,26 updates per jaar.

“De security gemeenschap is bezorgd over het gebrek aan veiligheid updates voor Android-apparaten al enige tijd,” zei Rice.

Android, u ernstige veiligheidsproblemen; Fretting over Stagefright op Galaxy S5? stabiele versie CyanogenMod heeft een fix; Unpatched Android Lollipop apparaten open te stellen bypass bug lockscreen

Onze hoop is dat door het kwantificeren van het probleem, kunnen we mensen te helpen bij het kiezen van een telefoon, en dat dit op zijn beurt een stimulans zal bieden voor fabrikanten en operators om updates te leveren.

Recent alarm over een handvol Stagefright bugs heeft al overtuigd enkele handset makers om patching te verbeteren, met Samsung en LG inzetten voor volgende Google in het plannen van de maandelijkse beveiligingsupdates voor Nexus-apparaten.

Echter, HTC genoemde maandelijkse updates onrealistisch vanwege een bottleneck in de drager testfase, in het bijzonder voor carrier gecertificeerde apparaten.

De onderzoekers merkten echter op dat “de bottleneck voor de levering van updates in de Android ecosysteem berust bij de fabrikanten, die niet om updates te verstrekken aan kritieke kwetsbaarheden op te lossen.”

Veiligheid; Witte Huis benoemt eerste Federal Chief Information Security Officer, veiligheid, Pentagon bekritiseerd voor cyber-rampenbestrijding door de overheid waakhond, veiligheid, Chrome etikettering HTTP-verbindingen beginnen als niet-veilige, veiligheid, de Hyperledger Project groeit als gangbusters

Toch is de studie is een herinnering dat andere Android-handset makers patchen inspanningen zou kunnen verbeteren. Zij stelde vast dat Google, LG, Motorola en ver overtrof Samsung, HTC en Asus.

Om patching prestaties te illustreren, de onderzoekers bedachten een ‘FUM’ score voor elke leverancier, die op AndroidVulnerabilities.org is gepubliceerd.

De score van de 10 omvat ‘f’, het aandeel van de apparaten vrij van bekende kritieke kwetsbaarheden, u ‘, het aandeel van de apparaten bijgewerkt naar de meest recente versie, en’ m ‘, het aantal kwetsbaarheden de fabrikant heeft nog niet vastgesteld op elk apparaat.

Google’s Nexus-apparaten scoorde 5,2, gevolgd door LG 4.0 en Motorola’s 3.1. Samsung scoort 2,7, gevolgd Sony, HTC en Asus.

Dus wat zou FUM score zou Apple te krijgen voor iOS-apparaten? En hoe zou een handset maker score een perfecte 10?

Vreemd genoeg, terwijl Android patchen is een puinhoop, een ander stukje software van Google zou waarschijnlijk een FUM score van 10. Dankzij automatische updates van Google, zou dat Chrome, Daniel Thomas, een van de onderzoekers van het project, vertelde de website.

“Om een ​​perfecte 10 krijgen dan nieuwe versies zou moeten naar 100 procent van de apparaten worden uitgerold binnen een dag (tot een maximale waarde van u krijgen). Google Chrome kan deze snelheid daadwerkelijk te benaderen op het moment dus het is mogelijk”, zei Thomas.

Beveiligingsupdates zou moeten worden ingezet om alle apparaten op de dag van de ontdekking van de kwetsbaarheid (f maximaliseren) en geen kwetsbaarheden mag niet vastgelegde worden gelaten voor meer dan een dag (tot een minimum te beperken m).

Hoewel de onderzoekers niet genoeg gegevens om met vertrouwen te zeggen wat Apple zou scoren voor iOS-apparaten, het is waarschijnlijk slechts een schaduw vooruit Google’s Nexus patchen.

“Ik verwacht dat iOS een betere score dan de Nexus-apparaten zou krijgen, maar ik weet niet met hoeveel, zou het niet een perfecte score,” zei hij.

Tot slot, Thomas aldus de onderzoekers leggen de schuld voor Android patchen op de schouders van leveranciers in plaats van netbeheerders, want dat is wat de gegevens blijkt bij vergelijking van de snelheid waarmee nieuwe versies van Android uit worden uitgerold naar een specifiek model ten opzichte van alle apparaat modellen.

elaptopcomputer.com

“Wanneer we een nieuwe versie [Android] acht wordt vrijgegeven aan een bepaald apparaat model, wordt ingezet om de meeste apparaten van dat model binnen een maand, dat is veel sneller dan de inzet tarief voor het hele ecosysteem”, aldus Thomas.

“Vandaar dat, want als de fabrikant krijgt de update zo ver als de eerste gebruiker, het snel wordt ingezet om alle gebruikers, lijkt het erop dat de belangrijkste bottleneck is de fabrikant de productie van de update. Als fabrikanten hebben een betere baan dan verwacht ik dat de vertragingen als gevolg van de netbeheerders en gebruikers zouden de bottleneck worden “, voegde hij eraan toe.

Toch gaf hij toe, gezien de steekproefgrootte, was het moeilijk te ziften uit hoeveel van het probleem ligt bij elke entiteit in de patching keten, van Google, de fabrikant, netbeheerder en gebruiker.

Volgens de onderzoekers is de studie werd deels gefinancierd door Google.

Android

Witte Huis benoemt eerste Federal Chief Information Security Officer

Pentagon bekritiseerd voor cyber-rampenbestrijding door de overheid waakhond

Chrome etikettering HTTP-verbindingen als niet-beveiligde start

De Hyperledger Project groeit als gangbusters