Tutkijat paljastivat: Android-valmistajat huijaavat päivittäneensä puhelimia – oikeasti haavoittuvuuksia jätetty korjaamatta

Android-puhelinvalmistajat eivät todellisuudessa ole päivittäneet laitteitaan kuten ovat väittäneet. WIRED-julkaisu paljastiSecurity Research Labin tutkijoiden kanssa useiden valmistajien jättäneen sisällyttämättä korjauksia, jotka olisivat kuuluneet puhelinten esittämän turvaustason päiväyksen alle.

Android-puhelimet kertovat asetuksissaan tietoturvapäivitysten eli turvaustason päivämäärän. Nämä Googlen julkaisemat päivityspaketit sisältävät aina lukuisia eri korjauksia. WIREDin esiin nostamassa tutkimuksessa selvisi, että huolimatta tietyn päiväyksen esittämisestä puuttui puhelimista kuitenkin merkittäviä määriä korjauksia haavoittuvuuksiin.

Osalla valmistajista korjauksia puuttui huomattavan paljon. ZTE:ltä ja TCL:ltä, joka on Alcatel- ja BlackBerry-puhelinten valmistaja, oli jäänyt puuttumaan puhelinmallia kohden keskimäärin neljä korjausta, jotka laitteissa olisi niiden turvaustason päiväyksen mukaan olla. Myös useilta valmistajilta puuttui keskimäärin useampia korjauksia.

Pahimmillaan korjauksia puuttui jopa tusinan verran yhdestä puhelinmallista. ”Löysimme useita valmistajia, jotka eivät asentaneet ainuttakaan korjausta, mutta muuttivat korjauspäiväystä eteenpäin useilla kuukausilla”, kommentoi tutkija Karsten Nohl.

WIREDin siteeraamat tutkijat pitivät kirjaa päivityksistä kahden vuoden ajan. Tarkemmin he aikovat esitellä löydöksiään tulevassa tapahtumassa Amsterdamissa. Yhteensä tutkijat testasivat 1 200 laitetta yli kymmeneltä eri valmistajalta.

Useilta valmistajilta puuttui tietoturvakorjauksia keskimäärin useampia puhelinmallia kohden. Kuva: Wired.
Useilta valmistajilta puuttui tietoturvakorjauksia keskimäärin useampia puhelinmallia kohden. Kuva: Wired.

Android-päivitysten niukkuus on tunnustettu jo pitkään, ja useat valmistajat eivät päivitä säännöllisesti varsinkaan edullisempia puhelinmallejaan, jos huippumalleille päivityksiä tuleekin.

Nyt nähdyn paljastuksen perusteella tilanne on kuitenkin vielä karumpi: päivityksiä ei todellisuudessa ole välttämättä edes asennettu, vaikka siltä näyttäisikin.

Tutkijat uskovat, että tarkoituksellisen harhaanjohtamisen sijaan useimmissa tapauksissa on kuitenkin kyse vahingoista, sillä turvaustasopaketteihin kuuluu niin monia korjauksia. Osittain korjausten puute juontaa suoraan juurensa myös laitteiden järjestelmäpiireihin: osa korjauksista tapahtuu piirivalmistajien toimesta, ja laitevalmistajat ovat tältä osin niiden armoilla.

MediaTek-järjestelmäpiireihin pohjautuvista laitteista puuttui keskimäärin 9,7 korjausta, Qualcommin piireihin pohjautuvista vain 1,1. Ero eri järjestelmäpiirivalmistajien välillä on siis valtava. MediaTek tunnetaan muutenkin hitaasta päivitystahdistaan. Pienimpään lukuun ylsivät Samsungin piirilliset laitteet. Huawein HiSilicon -piirillisistä laitteistaa uupui keskimäärin 1,9 korjausta, mitä niissä olisi pitänyt turvaustason päivityksen mukaan olla.

Puuttuvien korjausten määrä vaihteli runsaasti laitteen järjestelmäpiirin mukaan.
Puuttuvien korjausten määrä vaihteli runsaasti laitteen järjestelmäpiirin mukaan.

Myös Android-käyttöjärjestelmää kehittävä Google on jo kommentoinut asiaa WIREDille. Google nosti esiin, että kaikki testatut laitteet eivät välttämättä olleet sertifioituja Android-laitteita, jolloin niille asetetut vaatimukset ovat alemmat.

Lisäksi Google selitti korjausten puutetta sillä, ettei tietyistä puhelimista välttämättä löydy korjattavan haavoittuvuuden sisältävää ominaisuutta lainkaan tai laitevalmistaja on voinut päätyä poistamaan jonkin toiminnon kokonaan korjauksen julkaisun sijaan.

Googlen mukaan se on kuitenkin aloittanut tutkinnat kaikkien tapausten ja valmistajien osalta tietoturvatutkijoiden löydösten jälkeen.