Примерно 85% Android-устройств подвержено 13 критическим уязвимостям в операционной системе, и все из-за хронической неспособности операторов своевременно предоставлять патчи. В ожидании обновлений многие устройства остаются уязвимыми в течение слишком долгого периода времени.

Найденная недавно уязвимость Stagefright наглядно показала неравномерность обновлений Android по вине операторов. Прецедент позволил создать довольно ясную картину: некоторые девайсы оставались уязвимыми несколько месяцев или даже лет. Исследователи присвоили каждой компании место в рейтинге в соответствии с тем, насколько ответственно она относится к доставке важных обновлений. Это позволяет оценить, как хорошо каждая защищает своих пользователей, и исследователи надеются, что хороший пример будет заразителен.

Трое исследователей в Университете Кембриджа разработали “оценочную карточку” для Android-устройств на основе показателя, получившего название FUM. Каждое устройство оценивается по шкале от 1 до 10, что позволяет проследить, насколько часто операторы и производители предоставляют патчи.

Авторы Дэниэл Томас (Daniel Thomas), Алестер Бересфорд (Alastair Beresford) и Эндрю Райс (Andrew Rice) представили свою работу на конференции, посвященной безопасности и приватности мобильных устройств, в Денвере, штат Колорадо.

Исследователи пришли к выводу, что, если судить по экосистеме в целом, производители устройств на Android улучшили свои показатели. В среднем они получили оценку 2,87 из 10 согласно “Оценке безопасности экосистемы Android” — понятию, введенному авторами исследования (PDF).

Для сбора информации авторы проанализировали 21 713 устройств при помощи специального приложения Device Analyzer, которое можно скачать в Google Play еще с 2011 года.

Как утверждает Томас, данное приложение не сканирует устройство на уязвимости, но собирает информацию о самом устройстве и о том, как оно используется. Получив информацию о номере сборки и версии ОС Android, исследователи сопоставили ее с информацией об известных уязвимостях, имевшихся в то время, когда устройство использовало данную версию ОС.

“Мы можем использовать номер сборки, чтобы выяснить дату ее появления, то есть определить, когда мы впервые столкнулись с этим номером сборки, и таким образом выяснить, имеется ли бэкпорт для этой версии ОС”, — рассказал Томас.

Собрав информацию о 32 критических уязвимостях, имеющихся на сегодняшний день, исследователи использовали только 13 из них (которым подвержены все Android-девайсы), чтобы получить график, изображенный ниже. Как подчеркнул Томас, исследователи обнаружили, что 85% устройств имели хотя бы одну критическую уязвимость.

android_bugs_stats

В августе Google объявила о том, что устройства Nexus будут получать OTA-обновления ежемесячно, чтобы лучше защитить пользователей от растущего количества уязвимостей и атак. Даже несмотря на то, что исследование кембриджской троицы закончилось в июле, устройства Nexus получили более высокую оценку по шкале FUM — 5,17. Остальные производители, которые утверждали, что будут предоставлять более частые обновления, — LG и Samsung получили 3,97 и 2,75 соответственно.

Оценка по FUM учитывает долю устройств, не подверженных критическим уязвимостям в течение определенного времени (f), долю устройств, которые используют самую свежую версию Android, предоставленную производителем (u), и среднее число существующих уязвимостей, не запатченных производителем (m). Исследователи надеются, что система оценки, над которой они работали больше четырех лет, позволит точно определять степень защищенности Android-устройств даже за пределами лаборатории.

unpatched

Исследователи отметили, что Android-устройства получают слишком мало обновлений — 1,26 обновления в год. Именно это заставило экспертов глубже проанализировать экосистему. Они считают, что при возможности оценить проблему безопасности в численном выражении пользователи могут делать выбор в пользу более защищенного устройства и таким образом оказывать давление на производителей и операторов, чтобы заставить их более ответственно относиться к патчам.

“Производитель точно знает, защищено ли в конкретный момент времени устройство и получит ли оно обновление в ближайшее время, но пользователь никогда этого не знает”, — беспокоятся исследователи.

Учитывая недавние новости о Stagefright, Томас надеется, что исследование было опубликовано вовремя: производители наконец стали более пристально следить за новостями в мире безопасности. Но хотя авторы исследования уже общались с представителями некоторых производителей девайсов и планируют назначить еще ряд встреч, Томас считает, что пока слишком рано оценивать, какое влияние окажет их исследование на отрасль.

“Мы надеемся, что наша работа будет способствовать усовершенствованию экосистемы Android, так как у производителей появится мотивация для того, чтобы лучше заботиться о безопасности устройств. Время покажет”, — говорит он.

Категории: Аналитика, Главное, Уязвимости