87% smartfonów z Androidem zawiera luki w bezpieczeństwie i to nie jest żart

Brytyjscy naukowcy udowodnili, że urządzenia z Androidem są w dużym stopniu narażone na zagrożenia. To nie jest żart — badacze z Uniwersytetu w Cambridge przeanalizowali ponad 20 000 smartfonów różnych producentów

Brytyjscy naukowcy udowodnili, że urządzenia z Androidem są w dużym stopniu narażone na zagrożenia. To nie jest żart — badacze z Uniwersytetu w Cambridge przeanalizowali ponad 20 000 smartfonów różnych producentów i odkryli, że 87,7% urządzeń z Androidem ma prawdopodobnie przynajmniej jedną lukę.

android-insecure-featured

Ten zatrważający fakt pojawił się przy okazji badania, którego celem było sprawdzenie, czyje urządzenia (których producentów) były najbardziej bezpieczne.

Eksperyment przeprowadzono z pomocą zwykłych ludzi i ich zwykłych smartfonów – uczestnicy zgodzili się zainstalować specjalną aplikację ze sklepu Google Play, Device Analyzer. Wysyłając dane na temat wersji oprogramowania zainstalowanego na urządzeniu, program pomógł w uzyskaniu informacji na temat stopnia odporności urządzeń na najbardziej rozpowszechnione ataki.

Jednak badanie nie było skupione na wszystkich lukach, lecz tylko tych, które można było wykorzystywać całkowicie bezprzewodowo. Chociaż krytycznych było aż 32 z nich, pod uwagę wzięto jedynie 11 – takie, które występowały na wszystkich badanych urządzeniach, co miało na celu zapewnienie przejrzystości i uczciwości wyników.

Zatem, dlaczego różni dostawcy oferują różne poziomy zabezpieczeń? Po pierwsze, zależy to od aktualności wersji systemu operacyjnego – Google, Linux Foundation i inni istotni dostawcy dla Androida regularnie publikują aktualizacje, włączenie z łatami bezpieczeństwa dla znanych luk.

Problemem jest tu fakt, że większość urządzeń z Androidem czeka w kolejce po odbiór aktualizacji, więc proces ten nie dzieje się tak szybko, jak by się mogło wydawać. To nie Google wysyła aktualizacje, które można pobrać z internetu (ang. Over the Air, OTA) – obecnie jest to zadanie producenta urządzenia i aktualizacje są dostarczane tak szybko, jak zdecyduje dany producent – co zazwyczaj oznacza „nie tak szybko”.

Wszyscy producenci obiecują, że będą zapewniać użytkownikom wsparcie techniczne przez dwa lata, a w rzeczywistości wiele urządzeń przestaje odbierać aktualizacje na jakiś czas przed końcem tego okresu (albo nawet w jego połowie). Oznacza to, że modeli smartfonów opartych na przestarzałym (przez co zawsze niezałatanym) Androidzie jest mnóstwo, a ich liczba różni się w zależności od producenta.

Aby określić liczbowo poziom bezpieczeństwa różnych dostawców Androida, grupa badawcza z Cambridge użyła wskaźnika FUM. Skrót ten oznacza:

  • F (free – wolny) — udział urządzeń, które były wolne od luk krytycznych.
  • U (update – aktualny) — udział urządzeń wg poszczególnych dostawców, posiadających najnowszą wersję Androida.
  • M (mean – średnia) — przeciętna liczba niezałatanych luk w telefonach wg poszczególnych dostawców.

Wskaźnik FUM to uśredniona suma tych wartości, waha się on od 1 do 10 i służy do oceny bezpieczeństwa dostawcy.

Tylko przez okres czterech lat, od lipca 2011 do 2015, średnia wartość indeksu FUM dla wszystkich urządzeń z Androidem okazała się być niesłychanie niska – 2,87 na 10. Najbardziej bezpieczne smartfony to Google Nexus. Nie jest to zaskoczeniem, gdyż oczywiste jest, że Google dba o bezpieczeństwo swoich urządzeń.

W przypadku urządzeń Nexus wskaźnik FUM osiągnął wartość 5,17 – co i tak nie jest zbyt blisko maksymalnego możliwego wyniku, 10. Niestety aktualizacje nie trafiają na Nexusy od razu – dostawca aktualizacji OTA potrzebuje na to dwa tygodnie, podczas których urządzenie pozostaje niezabezpieczone.

Jeśli chodzi o innych dostawców smartfonów, zwycięzcami są LG (z wynikiem 3,97), za nim Motorola (3,07), Samsung (2,75), Sony (2,63), HTC (2,63) i ASUS (2,35).

Najbardziej niezabezpieczone urządzenia to te klasy B, zazwyczaj mało znanych firm, jak Symphony (0,30) czy Walton (0,27). Możemy założyć, że większość z prawie nieznanych chińskich producentów (tzw. no-name) osiąga podobny indeks FUM.

Nieco niepokojące jest to, że w badaniu celowo wykluczone zostały smartfony Huawei, Lenovo i Xiaomi, mimo że według analiz IDC marki te zajmują drugą, trzecią i czwartą pozycję w światowym rankingu najlepiej sprzedających się smartfonów z Androidem.

Biorąc to oraz inne mniej istotne informacje pod uwagę, można stwierdzić, że badanie to nie może być traktowane za całkowicie jednoznaczne i ostateczne – lecz nie umniejsza to jego znaczenia. Badacze zaprezentowali całościowy (i przez to ponury) obraz ekosystemu bezpieczeństwa i pokazali wspólne bolączki w dziedzinie bezpieczeństwa informacji.

Trzeba jednak przyznać, że Android jest okropnie dziurawym systemem. I taki pozostanie, chyba że Google zreformuje system operacyjny oraz model dystrybucji tak, aby powstał mechanizm zapewniający równoczesne, regularne i niezależne od dostawców aktualizacje, oszczędzający użytkownikom uciążliwe zadanie dbania o bezpieczeństwo ich telefonów.

A co mogą teraz zrobić użytkownicy, aby zwiększyć ochronę swoich urządzeń? Możliwości jest kilka:

  1. Stosuj aktualizacje tuż po ich pojawieniu się. Nie ignoruj ich.
  2. Pobieraj aplikacje jedynie z zaufanych źródeł i uważaj na podejrzane strony. Nie zagwarantuje to stuprocentowego bezpieczeństwa, jednak pozwoli uniknąć pewnej klasy zagrożeń.
  3. Używaj rozwiązania bezpieczeństwa– jeśli producent smartfona ociąga się z łatami bezpieczeństwa, z pomocą mogą przyjść firmy antywirusowe.
  4. Staraj się być na bieżąco – czytaj informacje związane z cyberbezpieczeństwem. Dowiedz się na przykład, dlaczego lepiej jest wyłączyć domyślne pobieranie MMS-ów i co to jest luka Stagefright.
Porady