יש לכם טלפון אנדרואיד ואתם חושבים שעדכוני האבטחה מותקנים אוטומטית? כנראה שלא. חברת אבטחה גרמנית בדקה 1,200 דגמים של עשרות יצרנים, ומהתחקיר התברר, כי לא רק שהחברות אינן שולחות עידכוני אבטחה לבעלי הטלפונים, הן גם מודיעות להם שכביכול המכשירים מעודכנים, גם כשהם מדלגים בחשאי על טלאי חשוב.
המגזין Wired פירסם את התחקיר, שייחשף בכנס האבטחה Hack in the Box שנערך באמסטרדם. החוקרים קרסטן נול ויעקב לאל מחברת האבטחה Security Research Labs טוענים, כי הגיעו למסקנה בתום הנדסה לאחור של מאות מכשירי טלפון ובדיקה של קוד מערכת ההפעלה, כשהם בודקים האם המכשירים אכן מכילים את עידכוני האבטחה המופיעים בהגדרות של הטלפון.
במקרים רבים הם גילו "פער עידכונים", שבו נעשה דילוג על 12 עידכוני אבטחה, מהם חשובים מאוד, וכך הטלפונים נותרו חשופים למתקפת סייבר בטכניקות שונות. לדברי נול, "מצאנו שיש פער בין הטענה של היצרנים לבין התיקונים שאכן הותקנו במכשירים. עבור חלק מהם זו בעיה קטנה, אבל לאחרים זו בעיה מאוד משמעותית". לדבריו, במקרים החמורים, היצרנים נתנו ביודעין מצג-שווא לרוכשים, ושינו את התאריכים כדי שבמכשיר יהיה כתוב תאריך עידכון שבכלל לא בוצע.
בין המכשירים שלא עודכנו היו דגמים של גוגל עצמה, וגם של יצרנים מובילים כמו סמסונג, מוטורולה, HTC וגם של יצרנים סיניים פחות מוכרים כמו ZTE ו-TCL. אצל יצרנים אנונימיים הבעיה הייתה החמורה ביותר. "מצאנו כמה יצרנים שלא התקינו אפילו עידכון אבטחה אחד, אבל שינו את תאריך העידכון בכמה חודשים. זו הונאה ישירה, אבל היא לא הייתה נפוצה". לדברי החוקרים, לעתים קרובות יצרנים כמו סוני וסמסונג החמיצו עידכון בטעות, אולם במקרים אחרים התוצאות היו קשות להסבר.
חברת האבטחה הגרמנית שיחררה תוכנת בדיקה בשם SnoopSnitch המאפשרת לבדוק אם עידכוני האבטחה מעודכנים (עדכון: ניסינו אותה, ולפחות על המכשיר שלנו התרשמנו שלא מדובר באפליקציה היציבה בעולם...).
מגזין Wired פנה לגוגל לבקשת תגובה, ולדבריה, חלק מהמכשירים שנבדקו כלל לא קיבלו את האישור של אנדרואיד על עמידה בתקן האבטחה של מערכת ההפעלה.
אולם לדברי גוגל, הטלפונים החדשים מכיילים תכונות אבטחה המקשות על חדירה אליהם, גם כאשר עידכוני האבטחה אינם מותקנים. יתכן, אומרים בגוגל, שעידכוני אבטחה לא עודכנו, כי היצרנים תיקנו את פירצת האבטחה, דבר שייתר את הצורך בעידכון של אנדרואיד.
