Fabrikanten van Android-telefoons spreken niet de waarheid over de installatie van updates. Hierdoor verkeren gebruikers in de veronderstelling dat hun telefoon is bijgewerkt – en dus veilig is – terwijl dit niet het geval is.
Dit blijkt uit een tweejarig onderzoek van Karsten Nohl en Jakob Lell van Security Research Labs. Zij namen de firmware van 1.200 telefoons van meer dan 12 producenten onder de loep. De goedkopere toestellen scoorden het slechts, maar ook bij kostbaardere Android-telefoons werd vaak ten onrechte vermeld dat patches zijn geïnstalleerd.
Doelbewust
“We ontdekten dat er een gat zit tussen de claims over patches en de daadwerkelijk geïnstalleerde patches op een toestel. Voor sommige apparaten is het klein en voor andere groot,” verklaart Nohl. Hij denkt dat Android-fabrikanten hier doelbewust misleidende informatie over geven. “Soms veranderen ze alleen de datum zonder enige updates te installeren. Waarschijnlijk voor marketingdoeleinden.”
Goedkope en duurdere toestellen
Op de onderzochte toestellen van de merken Xiaomi en Nokia ontbraken gemiddeld één tot drie updates. Bij HTC, Motorola en LG waren dit er drie tot vier. TCL en ZTE presteerden het slechtst: gemiddeld waren er meer dan vier patches niet geïnstalleerd, waarvan de fabrikanten zeiden dat dat wel zo was. Tegenover Wired heeft Google gezegd dat enkele toestellen mogelijk niet gecertificeerd waren. Het bedrijf gaat, naar eigen zeggen, de zaak onderzoeken.
SnoopSnitch 2.0
De onderzoekers hebben de app SnoopSnitch 2.0 ontwikkeld, waarmee Android-gebruikers kunnen nagaan of ze over alle firmware-updates beschikken. De app is gratis te downloaden in de Google Play Store.