Beberapa android oems ditemukan berbohong tentang patch keamanan [pembaruan]

Pembaruan, 13 April: Google telah memberikan pernyataan berikut kepada Verge:

Kami ingin mengucapkan terima kasih kepada Karsten Nohl dan Jakob Kell untuk upaya berkelanjutan mereka untuk memperkuat keamanan ekosistem Android. Kami bekerja dengan mereka untuk meningkatkan mekanisme pendeteksian mereka untuk memperhitungkan situasi di mana suatu perangkat menggunakan pembaruan keamanan alternatif alih-alih pembaruan keamanan yang disarankan Google. Pembaruan keamanan adalah salah satu dari banyak lapisan yang digunakan untuk melindungi perangkat dan pengguna Android. Perlindungan platform bawaan, seperti kotak pasir aplikasi, dan layanan keamanan, seperti Google Play Protect, sama pentingnya. Lapisan keamanan ini - digabungkan dengan keanekaragaman ekosistem Android yang luar biasa - berkontribusi pada kesimpulan para peneliti bahwa eksploitasi jarak jauh terhadap perangkat Android tetap menantang.

Patch yang terlewatkan tentu saja membuat ponsel Anda lebih rentan dibandingkan dengan patch terbaru, tetapi meskipun demikian, itu tidak berarti Anda sepenuhnya tidak terlindungi. Tambalan bulanan pasti membantu, tetapi ada langkah-langkah umum untuk memastikan bahwa semua ponsel Android memiliki tingkat keamanan yang ditingkatkan.

Sebulan sekali, Google memperbarui Buletin Keamanan Android dan merilis tambalan bulanan baru untuk memperbaiki kerentanan dan bug segera setelah muncul. Bukan rahasia lagi bahwa banyak OEM lambat untuk memperbarui perangkat keras mereka dengan patch tersebut, tetapi sekarang telah ditemukan bahwa beberapa dari mereka mengklaim telah memperbarui telepon mereka ketika, pada kenyataannya, tidak ada yang berubah sama sekali.

Pengungkapan ini dibuat oleh Karsten Nohl dan Jakob Lell dari Security Research Labs, dan temuan mereka baru-baru ini dipresentasikan pada konferensi keamanan Hack in the Box tahun ini di Amsterdam. Nohl dan Lell memeriksa perangkat lunak dari 1.200 ponsel Android dari Google, Samsung, OnePlus, ZTE, dan lainnya, dan setelah melakukan itu, ditemukan bahwa beberapa perusahaan ini mengubah tampilan patch keamanan ketika memperbarui ponsel mereka tanpa benar-benar menginstalnya.

Samsung Galaxy J3 dari 2016 mengklaim memiliki 12 tambalan yang tidak diinstal pada ponsel.

Beberapa tambalan yang terlewatkan diharapkan dilakukan secara tidak sengaja, tetapi Nohl dan Lell menemukan telepon-telepon tertentu di mana keadaan tidak sesuai. Sebagai contoh, sementara Samsung Galaxy J5 dari 2016 secara akurat mendaftarkan tambalan yang dimilikinya, J3 dari tahun yang sama tampaknya memiliki setiap tambalan tunggal sejak 2017 meskipun ada 12 tambalan yang hilang.

Penelitian ini juga mengungkapkan bahwa jenis prosesor yang digunakan dalam ponsel dapat berdampak pada apakah itu diperbarui dengan patch keamanan atau tidak. Perangkat dengan chip Exynos Samsung ditemukan memiliki sedikit patch yang dilewati, sedangkan yang dengan MediaTek dirata-rata dengan 9, 7 patch yang hilang.

Setelah menjalankan semua telepon dalam pengujian mereka, Nohl dan Lell membuat grafik yang menguraikan berapa banyak patch yang terlewatkan oleh OEM tetapi masih diklaim telah diinstal. Perusahaan seperti Sony dan Samsung hanya melewatkan antara 0 dan 1, tetapi TCL dan ZTE ditemukan melompati 4 atau lebih.

• 0-1 tambalan yang terlewat (Google, Sony, Samsung, Wiko)
• 1-3 tambalan yang terlewat (Xiaomi, OnePlus, Nokia)
• 3-4 tambalan yang terlewat (HTC, Huawei, LG, Motorola)
• 4+ patch yang terlewat (TCL, ZTE)

Tak lama setelah temuan ini diumumkan, Google mengatakan akan meluncurkan investigasi ke masing-masing OEM yang bersalah untuk mencari tahu apa yang sebenarnya terjadi dan mengapa pengguna dibohongi tentang tambalan mana yang mereka lakukan dan tidak miliki.

Bahkan dengan mengatakan itu, apa pendapat Anda tentang ini? Apakah Anda terkejut dengan berita tersebut, dan apakah ini akan berdampak pada ponsel yang Anda beli kedepannya? Suarakan di komentar di bawah.

Mengapa saya masih menggunakan BlackBerry KEYone di Musim Semi 2018