Doordat telefoonfabrikanten traag reageren op beveiligingsgaten, blijven bedrijven onnodig kwetsbaar voor aanvallen op mobiele apparaten.
Waar softwaremakers voor de pc de afgelopen jaren het fabriceren en distribueren van softwarepatches hebben versneld, blijft de complexe relatie tussen leveranciers en telco’s verhinderen dat bugs snel worden opgelost en patches vlug uitgerold. Zo dient bijvoorbeeld een patch voor Android gemaakt te worden door ontwikkelaars van een bepaalde open-source component, daarna moet het door Google in de Android-paketten worden opgenomen, vervolgens moet de telefoonfabrikant de nieuwe versie goedkeuren voor het apparaat en dient de telefoonmaatschappij de patch te distribueren.
Ingewikkelder dan je zou denken
“Het wordt nog moeilijker gemaakt door de verschillende softwarebronnen die telefoons aanroepen”, zegt Andy Chou van Coverity, een bedrijf dat broncodes analyseert. “Al het materiaal dat wordt samengevoegd om als enkel toestel te functioneren, maakt het dat het beheer van updates erg complex wordt om nog niet te spreken over kwaliteitsbewaking voor het gehele toestel.”
Coverity heeft de Android broncode tweemaal doorlopen op fouten. Het bedrijf vond 359 foutjes – 88 kritische propblemen – in de broncode van de HTC Incredible S van november vorig jaar verscheen. Een recente scan van Android code wees uit dat er nog altijd 149 fouten in de code zitten, waarvan 106 overeenkomen met de afwijkingen die een half jaar geleden ook gevonden werden.
Chou wil graag het verschil tussen beide onderzoekjes benadrukken. In de HTC-scan werd een telefoon gebruikt met third-party aanvullingen op de software terwijl in de tweede scan een recente developersversie van Google’s Android besturingssysteem onder de loep werd genomen. Een ding is wel duidelijk geworden: foutjes worden niet snel opgelost.
Weinig respons op bugreports
“Tot dusver was het moeilijk om te zien wat er aan foutoplossing gedaan werd”, zegt Chou. Daar heeft het bedrijf inmiddels inzicht in verkregen. Zo gaf Coverity vier bugs uit de HTC-code door aan de ontwikkelaars van Android, maar werd er slechts één door diezelfde developers opgelost. Slechts één van de ontwikkelaars kwam daadwerkelijk terug bij Coverity met feedback.
Coverity wil verder niet ingaan op het risico van de afwijkingen, maar definieert sommige wel als ‘kritisch’. Veel van de foutjes worden waarschijnlijk in toekomstige Android-versies opgelost.
De problemen liggen niet bij Google, maar bij het traditionele ontwikkelproces voor smartphones. Omdat de supplychain zo ingewikkeld is en telefoonmaatschappijen niet staan te trappelen om vaak patches uit te brengen, worden er te weinig updates verstrekt, zeggen onderzoekers Collin Mulliner en Nico Golde van de Technische Universiteit Berlijn.
Het duo onderzocht de technische voorlopers van een aantal smartphones, zogenaamde feature phones, en constateerde dat bij iedere geteste fabrikant fouten zaten in het gebruikte platform. Vorige maand maakten Golde en Mulliner in hun onderzoekspaper wereldkundig dat zulke fouten telefoons kunnen laten crashen met SMS-berichten. Een bug in de software van Sony Ericsson zorgde er zelfs voor dat een toestel volledig ‘gebrickt’ kon worden – waarmee het in feite een baksteen wordt, oftewel een toestel waar je niets meer mee kunt.
Veel fabrikanten kiezen voor een enkel besturingssysteem voor hun gehele productlijn en kiezen niet voor een eigen onderzoek naar de security van het platform, zegt Mulliner. “Eén bug kan de gehele productlijn laten crashen”, zegt hij. “Het heeft dus een gigantische impact.”
Bugs blijven jaren zitten
Kwetsbaarheden in de software worden zelden opgelost. Bugs die werden gevonden in apparaten van enkele jaren oud, waren nog steeds aanwezig in nieuwere modellen, toonden de onderzoekers aan. Hoewel telefoonmaatschappijen de mogelijkheid hebben om updates over-the-air aan te bieden aan telefoons, wordt dit zelden tot nooit gedaan.
Een snellere manier toepassen van het patchen van smartphones kan ingewikkeld zijn. Coverity raadt aan dat fabrikanten hun gebruikte broncodes beter onderzoeken voordat ze deze in een product integreren. De Berlijnse onderzoekers zeggen dat het van groot belang is dat er een betere manier van patchen gaat komen.
“Ik denk dat we naar een nieuw updateproces toe moeten, juist vanwege beveiligingsproblemen en niet zozeer vanwege de uitrol van nieuwe functionaliteiten”, zegt Nico Golde. “Ik heb helaas nog nooit een telefoon geüpdate gezien vanwege een beveiligingsbug.”
Reageer
Preview