Google niet blij met andere fabrikanten: beveiligingsupdates duren te lang
Google heeft zijn nieuwe, jaarlijkse rapportage over bugs uitgegeven en het is niet al te blij: het spreekt zijn zorgen uit over fabrikanten die iets met Android doen. Die zouden er te lang over doen om beveiligingsupdates door te voeren, waardoor er een te groot gat ontstaat tussen de patches.
0-days
Google maakt jaarlijks de balans op waar het gaat om 0-days, dat zijn eigenlijk simpelweg zwaktes in de software van apparaten. Google schrijft over een reeks gevallen waarin de leverancier een patch voor het probleem had uitgebracht, maar de fabrikant de patch niet had overgenomen en de fix niet had vrijgegeven voor gebruikers om toe te passen. Het erkent dat dit soort patchgaten nu eenmaal weleens ontstaan, maar dat het vaker voorkomt op Android en dat bevalt Google niet. Hierdoor kunnen zwaktes namelijk bekend worden en worden misbruikt, terwijl er dus maar geen patch komt en Android-gebruikers geen goede bescherming hebben.
Lees Googles rapportage hier.
Bugs
Soms duurt het wel een half jaar voordat fabrikanten met een beveiligingsupdate komen en dat kan eigenlijk echt niet: een zwakte kan dan al gigantisch veel zijn misbruikt. Een voorbeeld hiervan staat hieronder:
Juli 2022: gerapporteerd aan het Android-beveiligingsteam
Augustus 2022: Android-beveiligingsteam stuurt het door naar ARM waar de bug in voorkwam, die de bug moet fiksen
Oktober 2022: Bug gefikst door ARM
November 2022: Het zwak wordt officieel misbruikt door hackers
April 2023: toegevoegd aan Android Security Bulletin
Google geeft ook aan dat Samsung hiermee weleens te langzaam is, bijvoorbeeld omdat er een zeven maanden oude versie van Chromium werd gebruikt en de Samsung Internet-app dus al die tijd gevaarlijk was. Google zegt dat de industrie als geheel echt moet zorgen dat bug fixes snel bij gebruikers arriveren zodat ze zichzelf kunnen beschermen. Het vervelende is dat 40 procent van die 0-days ook nog eens varianten zijn van eerder gerapporteerde zwaktes, dus er moet echt beter worden gekeken naar hoe effectief een fix is op alle gebieden, in plaats van dat er toch nog mogelijkheden open blijven voor hackers.