Security Research Labs: Android-valmistajilta jää tietoturvapäivityksiä välistä

[Kaotik]

Security Research Labs esitteli viime viikon lopulla Hack in the Box -tapahtumassa tekemäänsä tutkimusta Android-puhelimista ja niiden tietoturvapäivityksistä. Tutkimuksen tuloksia voidaan pitää liki skandaalinomaisina, sillä ne kertovat puhelinvalmistajien huijaavan tietoturvapäivitysten asennuksessa.

Useat Android-valmistajat ovat saaneet niskaansa kritiikkiä tietoturvapäivityksien hitaudesta jo pitkään niin käyttäjiltä, verkkosivustoilta kuin suoraan Googleltakin. SRL:n tutkimuksen mukaan todellisuus on kuitenkin vielä selvästi synkempi, sillä sen mukaan valmistajat valehtelevat suoraan päivitystensä tasosta.

Tyypillisimmillään kyse on väitteestä, että puhelimessa olisi kaikki päivitykset tiettyyn päivämäärään asti, kun todellisuudessa välistä on jäänyt puuttumaan yksi tai useampi päivitys, minkä vuoksi puhelimeen on jäänyt paikkaamattomia tietoturva-aukkoja. Pahimmillaan valmistajien kerrotaan jopa päivittäneet ”tietoturvapäivityksenä” vain tietoturvapäivitysten päivämäärän koskematta mihinkään muuhun.

Tulosten joukosta löytyi myös todellisia outolintuja kuten Samsungin Galaxy J5 (2016) ja J3 (2016), joista ensimmäinen ilmoitti oikein mitä päivityksiä puhelimeen oli asennettu jälkimmäisen väittäessä kaikkien olevan asennettu tiettyyn päivämäärään asti, vaikka välistä puuttui lukuisia päivityksiä.

Google on ainakin tässä vaiheessa ottanut asiaan varovaisen kannan. Yhtiön Android-tietoturvajohtaja Scott Robertsin mukaan SRL:n tutkimus ei ota huomioon tapauksia, joissa puhelinvalmistaja on päätynyt käyttämään jotain muuta kuin Googlen suosittelemaa päivitystä. Lisäksi hän huomautti, etteivät kaikki testatuista puhelimista olleet sertifioituja Android-laitteita, jolloin niiden ei voida myöskään olettaa noudattavan Androidin tietoturvastandardeja.



Wired on julkaissut artikkelinsa ohessa myös lukuja tutkimuksesta. SRL:n tutkimuksen mukaan parhaat paperit saavat 0 – 1 välistä jääneellä päivityksellä Google itse, Sony, Samsung ja Wiko. 1 – 3 välistä jäänyttä päivitystä löytyi Xiaomin, OnePlussan ja Nokian puhelimista ja 3 – 4 välistä jäänyttä päivitystä HTC:n, Huawein, LG:n ja Motorolan puhelimista. Listan perää yli neljällä välistä jääneellä päivityksellä pitävät TCL ja ZTE. Taulukko ei tarkenna, onko kyse keskiarvoista kaikkien yhtiön puhelinten kohdalla vai esimerkiksi pahimmasta valmistajakohtaisesta puhelinmallista, tai että onko listauksessa mukana kaikki tutkimuksessa olleet puhelinmerkit. Myös puhelimen järjestelmäpiirin valmistajalla on merkitystä: edullisimmilla MediaTekin-järjestelmäpiireillä päivitykset jäävät moninkertaisesti muita useammin väliin.

HMD Globalin tuotepäällikkö (Chief Product Officer) Juho Sarvikas kommentoi io-techille yrityksen toimittaneen järjestelmällisesti kuukausittaiset tietoturvapäivitykset jokaiseen tuotteeseensa ja kertoo korjausten vaikuttavan eri osa-alueisiin, kuten yhteysominaisuuksiin ja multimediaominaisuuksiin. Sarvikkaan mukaan ei ole tiedossa, että Nokia-puhelimista olisi jäänyt vanhoja tietoturvakorjauksia välistä, mutta yritys aikoo vahvistaa SRL:n tutkimusten pohjalta, ettei niin ole todella käynyt.

Lähteet: Wired, The Guardian

Huom! Foorumiviestistä saattaa puuttua kuvagalleria tai upotettu video.

Linkki alkuperäiseen uutiseen (io-tech.fi)

Palautelomake: Raportoi kirjoitusvirheestä

 

[Kaiser Soze]

Eipä tarvitse ihmetellä miksi kiinalaisia puhelimia ei käytetä vaikka F-Securessa. Surullinen keissi kun moni kuluttaja kuvittelee android-puhelimen olevan samaa tavaraa merkistä riippumatta.

 

[ANTI_L]

Tuossahan onkin se, että kun ei kerrota mistä puhelimista on kyse, niin vaikea suhtautua. Onhan HMDllakin tuo 3-malli, joka on jollain mediatekin prossulla tehty paske, en olisi yhtään ihmeissäni, jos HMD ei ole saanut tuohon Mediatekiltä sellaista tukea, että voisi päivittää.

Tuon testituloksen mukaanhan ei tarvitse olla kuin yksi puhelin, josta puuttuu jokin patchi, ja se vaikuttaa heti tulokseen ja kuten tuolla mainittiin, jos valmistaja tekee patchin itse, se ei ole Googlen sertifioima ja taas haukutaan.

Toki nuo muutkin kiinavalmisteet, eli lähes kaikki luurit voivat sisältää mitä vain softallisesti, kun ne kumminkin tuolla halpatyön ihmemaassa tehdään.

 

[Kaiser Soze]

Toki nuo muutkin kiinavalmisteet, eli kaikki lähes luurit voivat sisältää mitä vain softallisesti, kun ne kumminkin tuolla halpatyön ihmemaassa tehdään.

Eli Samsungin käyttöjärjestelmät koodataan kiinassa? Mites toi HMD?

 

[ANTI_L]

Eli Samsungin käyttöjärjestelmät koodataan kiinassa? Mites toi HMD?

"lähes kaikki luurit" (oli muuten sanat sekaisin tuossa mun aiemmassa viestissä)

Kyllähän kaikkiin Kiinassa valmistettaviin tuotteisiin laitetaan se firmis siellä sisään, eli aina saa pienellä varauksella lähteä kaikkien laitteiden kanssa liikkeelle. Kyllähän sielläkin varmaan on ihan ammattitaitoista porukkaa pääosin, mitä nyt joillekin valmistajille joskus jäänyt testifirmikset sisään tai tehtaalla laitettu haittaohjelmia (lähinnä PC-puolella), eli mitä vaan voi tapahtua.

Pääasiallisesti kuitenkin luotan vähänkään isompien firmojen laadunvalvontaan, ettei kiinalaatuinen tavara pääse kauppaan asti, vaan se lopputuote olisi ihan järkevästi tarkastettu ennen toimittamista loppukäyttäjälle.

Tämän enempää en asiaan pureudu, totean vain omien kokemuksien perusteella asioita.

 

[aleksejjj]

LG on täyttä sontaa mitä tulee tietoturvapäivityksiin. Katteettomia lupauksia ja vain vuoden kestävä tuki, joka sekään ei sisältänyt kuin kaksi päivitystä.
Tuon valmistajan puhelimiin ei kannata koskea pitkällä tikullakaan, pelkkää sontaa ja suoranaisia valheita ja vastuun välttämistä.

Juu, parempi välttää jatkossa.

 

[awt]

Oman puhelimen tilanteen voi katsoa snoopsnitchillä, löytyy storesta

 

[mRkukov]

Kokeilin tuota, tilanne näytti aika toivottomalta :/

Kaikki patched tai "inconclusive", eli softa ei vain saa tietoa.

 

[pq]

Kyllähän kaikkiin Kiinassa valmistettaviin tuotteisiin laitetaan se firmis siellä sisään, eli aina saa pienellä varauksella lähteä kaikkien laitteiden kanssa liikkeelle.

Pääasiallisesti kuitenkin luotan vähänkään isompien firmojen laadunvalvontaan, ettei kiinalaatuinen tavara pääse kauppaan asti, vaan se lopputuote olisi ihan järkevästi tarkastettu ennen toimittamista loppukäyttäjälle.

Ei muuten välttämättä. Ainakin ns. kumisaapasfirman kanssa joskus pyörineenä yllättävän iso osa puhelimen rungoista saapui raakileina ja niihin sitten laitettiin värikuoret ja lopullinen softa sisään paikan päällä. Tosin eivät ne ihan pimeitä olleet, eli totaalisesti kilahtaneeseen luuriin ei mene tuotantolinjan laitteilla softa sisälle...

Omenafirman ja toki ehkä jonkun muunkin firman softissa on kyllä sen verran rankasti suojauksia ettei ihan heti kyllä sinne laiteta bonussoftaa väliin (toki hallitustason työkaluilla onnistunee sekin).

 

[Err]

Ja sitten pitäisi siirtää kaikki pankkipalvelut puhelimeen tietoturvan takia.

 

[antero]

Ei muuten välttämättä. Ainakin ns. kumisaapasfirman kanssa joskus pyörineenä yllättävän iso osa puhelimen rungoista saapui raakileina ja niihin sitten laitettiin värikuoret ja lopullinen softa sisään paikan päällä. Tosin eivät ne ihan pimeitä olleet, eli totaalisesti kilahtaneeseen luuriin ei mene tuotantolinjan laitteilla softa sisälle...

Omenafirman ja toki ehkä jonkun muunkin firman softissa on kyllä sen verran rankasti suojauksia ettei ihan heti kyllä sinne laiteta bonussoftaa väliin (toki hallitustason työkaluilla onnistunee sekin).

Tämä oli normaalista poikkeavaa toimintaa jolla yritettiin pitää salon tehdas toiminnassa, jolloin se loppuvaiheessa teki pelkästään eri alueille kustomoituja versioita. Mikä tietenki oli pelkästään sulkemisen viivytystä.

Nokian Salon tehdas näyttää mallia muille

Hauska yksityiskohta homman järkevyydestä.
"Esimerkiksi N95-puhelimesta pystymme tekemään 336 erilaista versiota, Heinonen avaa."

Loppulausekkin on nykyään hauskaa luettavaa
"Vuoden päästä täällä on taas täysin erinäköistä, Heinonen sanoo sulkiessaan tehtaan oven."

Viimeinen salolainen kännykkä valmistui

 

[Derion]

Kokeilin tuota, tilanne näytti aika toivottomalta :/

Kaikki patched tai "inconclusive", eli softa ei vain saa tietoa.

Oneplus 5 näyttää 1 Patched ja 1 Test inconclusive.

 

[FlyingAntero]

Security Research Labsin (SRL) ilmoittamat luvut ovat keskiarvoja ja SRL:n sivuilla oli julkaistu kattavampi lista valmistajista.

Spoileri: Huomiot

Notes
– The table shows the average number of missing Critical and High severity patches before the claimed patch date * Samples – Few: 5-9; Many: 10-49; Lots: 50+
– Some phones are included multiple times with different firmwares releases
– Not all patch tests are always conclusive, so the real number of missing patches could be higher
– Not all patches are included in our tests, so the real number could be higher still
– Only phones are considered that were patched October-2017 or later
– A missing patch does not automatically indicate that a related vulnerability can be exploited

HMD Globalin kommentti on siinä mielin mielenkiintoinen, että yritys on toista mieltä SRL:n kanssa eikä Nokian puhelimissa olisi jäänyt paikkauksia väliin. Tuossa raportissahan spekuloitiin, että osalla valmistajista paikkaus olisi jäänyt asentamatta puhtaasti inhimillisen erehdyksen vuoksi (lähinnä kärkipäässä kuten Samsung ja Sony). Onkohan se kehitysvaiheen prosessi sitten sellainen, että näin voi päästä käymään. Lähinnä tulee mieleen, että piirivalmistajalta tulisi virheellinen koodi, joka lisätään päivitykseen tarkistamatta. Sen voi kuitenkin sanoa, että Alps ja TCL ovat sellaisia valmistajia, että niiden firmwaresta voi löytyä mitä tahansa ihmeellistä. Alps on mm. valmistanut lähes suoria kopioita Samsungin luureista.

 

[Graag]

Samsung Galaxy J5 (2015) - SM-J500FN

Päivitykset tarkastettu viimeksi: 17.4.2018 (Manuaalinen haku)
"Uusimmat päivitykset on jo asennettu."

Patched: 89
Patch missing: 6
After claimed patch level: 39
Test inconclusive: 6

 

[pq]

Tämä oli normaalista poikkeavaa toimintaa jolla yritettiin pitää salon tehdas toiminnassa, jolloin se loppuvaiheessa teki pelkästään eri alueille kustomoituja versioita. Mikä tietenki oli pelkästään sulkemisen viivytystä.

Nokian Salon tehdas näyttää mallia muille

Hauska yksityiskohta homman järkevyydestä.
"Esimerkiksi N95-puhelimesta pystymme tekemään 336 erilaista versiota, Heinonen avaa."

Ei se vallan... tuosta mainospuheesta jossa hehkutetaan, jotta voidaan nopeammin tehdä satoja erilaisia customiversioita puuttuu sellainen pikantti yksityiskohta, että puhelimeen voidaan myös liimata esim. ”Made in USA” -tarra mikä lisää paikallista myyntiä hassun paljon.

 

[DaNightlander]

Kaatui koko paska ennen kuin kerkesi antamaan minkäänlaista raporttia, tuli kai siihen tulokseen etten kestä totuutta.

 

[DaNightlander]

Ja sitten pitäisi siirtää kaikki pankkipalvelut puhelimeen tietoturvan takia.

Vissiin tuleva entinen Nordean asiakas? Samaa mietin itsekin.

 

[DaNightlander]

Kaatui koko paska ennen kuin kerkesi antamaan minkäänlaista raporttia, tuli kai siihen tulokseen etten kestä totuutta.

Edit: Kolmas kerta karmaisevan toden sanoi... patched 6, missing 0, after claimed level... *drumroll* 123, inconclusive 6. Ei ihan G4 tasoa mutta hyvä haastaja kuitenkin. G3 kyseessä siis.

 

[FlyingAntero]

Sonylla näyttäisi olevan kaikki kunnossa ainakin Xperia XZ1 Comptactin osalta:

• Patched: 34
• Patch missing: 0
• After claimed patch level: 0
• Test inconclusive: 20
• Not affected: 0

 

[DaNightlander]

Ottaen huomioon että päivityksiä tehtiin jatkuvasti, Google julkaisi niitä kokoajan ja ne oli myös LGn omassa support listassa G3lle ja G4lle. Koskaan vaan LG ei niitä antanut eteenpäin, kuin ehkä Korealaisille. Muille LG keskittyi vain valehtelemaan ja syyttämään Googlea ja milloin operaattoreita.

Käyttispäivityksiä tuli kyllä kokonaiset kaks kappaletta, mut eipä näköjään paljon muuta sitten. Jotenkin niistä tuli sellainen kuva, että LG panostaa lippulaivojensa pitkäikäisyyteen, ei vaan arvannu et se oli tietoturvan kustannuksella. Ei kai tuosta voi muita syyttää jos muilla valmistajilla jakelu kuitenkin toimii.

 

[halcyon]

Itsellä Samsungin kalleimman lippulaivan (Note8) kallein globaaliversio ja päivityksiä tulee ihan miten sattuu, usein kuukausia myöhässä.

Eli tilanne on myös hyvin mallikohtainen. Itse en luota Samsungii, tiedän, että firman kapulan ostaminen on tältä(kin) osin kompromissi. Kynästä ja 3.5mm liitännstä täytyy maksaa jokin hinta eurojen lisäksi - näköjään

 

[Kekeplasteri]

Ottaen huomioon että päivityksiä tehtiin jatkuvasti, Google julkaisi niitä kokoajan ja ne oli myös LGn omassa support listassa G3lle ja G4lle. Koskaan vaan LG ei niitä antanut eteenpäin, kuin ehkä Korealaisille. Muille LG keskittyi vain valehtelemaan ja syyttämään Googlea ja milloin operaattoreita.

Käyttispäivityksiä tuli kyllä kokonaiset kaks kappaletta, mut eipä näköjään paljon muuta sitten. Jotenkin niistä tuli sellainen kuva, että LG panostaa lippulaivojensa pitkäikäisyyteen, ei vaan arvannu et se oli tietoturvan kustannuksella. Ei kai tuosta voi muita syyttää jos muilla valmistajilla jakelu kuitenkin toimii.

LG G3 oli itselläni ennen käytössä, siihen piti asentaa päivityksiä aina LG:n support toolilla, automaagisesti ne eivät asentuneet ainakaan Elisan verkossa.

 

[Jomena]

Juuri eilen päivittelin OnePlus 5T:n uusimpaan versioon (Android 8.1 ja huhtikuun tietosuoja päivitykset). SnoopSnitch näyttää 1 patched 1 test inconclusive. Ei tuo nyt pahimmalta näytä ainakaan listan mukaan, mutta ei tämä uutinen nyt ainakaan oloa helpottanut

 

[DaNightlander]

LG G3 oli itselläni ennen käytössä, siihen piti asentaa päivityksiä aina LG:n support toolilla, automaagisesti ne eivät asentuneet ainakaan Elisan verkossa.

Miten sait tuon toolin toimimaan? Ei meinaa asennus onnistua ohjelman antamilla ohjeilla uusimpaan winkkariin... Jonkun mobile centerin imuroin, mutten tiedä onko se oikea. Toisaalta tiedä onko mitään päivityksiä olemassa, kun huolto asensi tuon uusimman androidin ja varmaan samalla muutkin siihen asti julkaistut päivitykset.

 

[Derion]

Juuri eilen päivittelin OnePlus 5T:n uusimpaan versioon (Android 8.1 ja huhtikuun tietosuoja päivitykset). SnoopSnitch näyttää 1 patched 1 test inconclusive. Ei tuo nyt pahimmalta näytä ainakaan listan mukaan, mutta ei tämä uutinen nyt ainakaan oloa helpottanut

Itteä kiinnostaa mitä snoopsnItch antaa ennen tota 8.1 päivitystä.

 

[Matti#2]

Ja tuossa näytönvaihtojutussa vielä ihmetellään miksi jengi ostaa iphoneja. No juuri tämän takia.

 

[Derion]

Ja tuossa näytönvaihtojutussa vielä ihmetellään miksi jengi ostaa iphoneja. No juuri tämän takia.

Google on ainakin tässä vaiheessa ottanut asiaan varovaisen kannan. Yhtiön Android-tietoturvajohtaja Scott Robertsin mukaan SRL:n tutkimus ei ota huomioon tapauksia, joissa puhelinvalmistaja on päätynyt käyttämään jotain muuta kuin Googlen suosittelemaa päivitystä. Lisäksi hän huomautti, etteivät kaikki testatuista puhelimista olleet sertifioituja Android-laitteita, jolloin niiden ei voida myöskään olettaa noudattavan Androidin tietoturvastandardeja.

Onko ios ainoa käyttis puhelimelle androidin lisäks. Voin sanoa että joissain android luureissa tietoturva on paremmalla tasolla kun ios.

 

[Pertti Kosunen]

Sen voi kuitenkin sanoa, että Alps ja TCL ovat sellaisia valmistajia, että niiden firmwaresta voi löytyä mitä tahansa ihmeellistä. Alps on mm. valmistanut lähes suoria kopioita Samsungin luureista.

Liekö tuo Alps on itse valmistanut kaikkia iPhone jne. feikkejä vai myykö se vain peruspalikat ja firmware-pohjan joista feikkivalmistajat vääntävät niitä valmiita puhelimia? Android About Phone, Build number on aika monissa feikeissä ja muissa halvimmissa romuissa ALPS.*. Mitä noita on osunut kohdalle niin ovat yleensä kestäneet ehjänä korkeintaan muutamia viikkoja ja ovat täynnä troijalaisia. Muistien määrät, prosessori, Android versio jne. on kusetettu ylöspäin joten ei ihmekään, että turvapaikat puuttuu.

 

[Matti#2]

Ja tuossa näytönvaihtojutussa vielä ihmetellään miksi jengi ostaa iphoneja. No juuri tämän takia.

Google on ainakin tässä vaiheessa ottanut asiaan varovaisen kannan. Yhtiön Android-tietoturvajohtaja Scott Robertsin mukaan SRL:n tutkimus ei ota huomioon tapauksia, joissa puhelinvalmistaja on päätynyt käyttämään jotain muuta kuin Googlen suosittelemaa päivitystä. Lisäksi hän huomautti, etteivät kaikki testatuista puhelimista olleet sertifioituja Android-laitteita, jolloin niiden ei voida myöskään olettaa noudattavan Androidin tietoturvastandardeja.

Onko ios ainoa käyttis puhelimelle androidin lisäks. Voin sanoa että joissain android luureissa tietoturva on paremmalla tasolla kun ios.

No kerropa esimerkki? Ios vaan taitaa olla tämän suhteen se kaikkein varmin ja pitkäikäisin valinta.

 

[FlyingAntero]

Liekö tuo Alps on itse valmistanut kaikkia iPhone jne. feikkejä vai myykö se vain peruspalikat ja firmware-pohjan joista feikkivalmistajat vääntävät niitä valmiita puhelimia? Android About Phone, Build number on aika monissa feikeissä ja muissa halvimmissa romuissa ALPS.*. Mitä noita on osunut kohdalle niin ovat yleensä kestäneet ehjänä korkeintaan muutamia viikkoja ja ovat täynnä troijalaisia. Muistien määrät, prosessori, Android versio jne. on kusetettu ylöspäin joten ei ihmekään, että turvapaikat puuttuu.

 

[FlyingAntero]

Liekö tuo Alps on itse valmistanut kaikkia iPhone jne. feikkejä vai myykö se vain peruspalikat ja firmware-pohjan joista feikkivalmistajat vääntävät niitä valmiita puhelimia? Android About Phone, Build number on aika monissa feikeissä ja muissa halvimmissa romuissa ALPS.*. Mitä noita on osunut kohdalle niin ovat yleensä kestäneet ehjänä korkeintaan muutamia viikkoja ja ovat täynnä troijalaisia. Muistien määrät, prosessori, Android versio jne. on kusetettu ylöspäin joten ei ihmekään, että turvapaikat puuttuu.

En osaa sanoa, kuinka pitkälle ALPS niitä feikkiluureja valmistaa. Kuvailusi täsmäsi kuitenkin täydellisesti niihin ALPS vehkeisiin, mitä hyppysissä on pyörähtänyt. Osa niistä on ollut vähän sellaisia semifeikkejä. Liekkö sitten jotain omia ns. oikeita virityksiä.

 

[Noddy]

Ja tuossa näytönvaihtojutussa vielä ihmetellään miksi jengi ostaa iphoneja. No juuri tämän takia.

Google on ainakin tässä vaiheessa ottanut asiaan varovaisen kannan. Yhtiön Android-tietoturvajohtaja Scott Robertsin mukaan SRL:n tutkimus ei ota huomioon tapauksia, joissa puhelinvalmistaja on päätynyt käyttämään jotain muuta kuin Googlen suosittelemaa päivitystä. Lisäksi hän huomautti, etteivät kaikki testatuista puhelimista olleet sertifioituja Android-laitteita, jolloin niiden ei voida myöskään olettaa noudattavan Androidin tietoturvastandardeja.

Onko ios ainoa käyttis puhelimelle androidin lisäks. Voin sanoa että joissain android luureissa tietoturva on paremmalla tasolla kun ios.

No kerropa esimerkki? Ios vaan taitaa olla tämän suhteen se kaikkein varmin ja pitkäikäisin valinta.

Vielä puolivuotta sitten olisin ollut Matti samaa mieltä, mutta IOS11 tuli ja kusi. https://blog.elcomsoft.com/2017/11/ios-11-horror-story-the-rise-and-fall-of-ios-security/

 

[Noddy]

Ja sitten pitäisi siirtää kaikki pankkipalvelut puhelimeen tietoturvan takia.

Vissiin tuleva entinen Nordean asiakas? Samaa mietin itsekin.

Mikäs juttu tää on?

 

[Kaotik]

Mikäs juttu tää on?

Nordea hylkää nettipankin koodivihkoset ja korvaa ne kännykkä-appilla (tai erillisellä laitteella jos ei ole älyluuria)

 

[Kekeplasteri]

Miten sait tuon toolin toimimaan? Ei meinaa asennus onnistua ohjelman antamilla ohjeilla uusimpaan winkkariin... Jonkun mobile centerin imuroin, mutten tiedä onko se oikea. Toisaalta tiedä onko mitään päivityksiä olemassa, kun huolto asensi tuon uusimman androidin ja varmaan samalla muutkin siihen asti julkaistut päivitykset.

G3:n kanssa olikin aika paljon ongelmia sen update toolin kanssa, se oli aika vehkeestä.. jo pelkän puhelimen näkyminen koneelle tuoti joskus harmaita hiuksia. sitten G6:n kanssa olikin jo uudempi softa käytössä, joku LG Bridge, joka toimi paremmin. Mutta jos oikein muistelen, niin ne molemmat softat tarvitsi vähemmän tiukan palomuurin toimiakseen kunnolla, enempi umpeen muuratulla ei yhteyttä saanut.

 

[Clarenz]

Älypuhelintesteissä paljon keskitytään prosessoriytimiin, muistin määriin, kellotaajuuksiin, kameran laatuun jne. Mutta nykyään kun palveluja, jopa todella tärkeitä henkilökohtaisia tietoja sisältäviäkin julkaistaan mobiilipuolelle on tämä turvallisuusaspekti jäänyt aika vähälle. Tämä on aika karua luettavaa, että valmistajat ilmoittavat, että kaikki on kunnossa mutta silti sieltä välistä puuttuu tietoturvapäivityksiä. Tuo on varmasti todella vaikea selvittää mitenkään testeissä, mutta artikkelissa olisi syytä olla näkyvähkö huomautus historiaan perustuen, että tämä valmistaja ei ole varmuudella tietoturvallinen, vaan mahdollisesti nämä ominaisuudet saat käyttöön tieturvan kustannuksella. Esim. nyt julkaistava Huawein p20, joka on valmistajista tuolta huonommasta päästä.

Jonkinlainen suunta näyttäisi olevan myös, että mitä kalliimmat luurit sitä tietoturvallisempi ja tulevaisuusvarmempi.

 

[halcyon]

Jonkinlainen suunta näyttäisi olevan myös, että mitä kalliimmat luurit sitä tietoturvallisempi ja tulevaisuusvarmempi.

Sanoisin, että tuo pitää paikkansa Applen puhelinten kohdalla ja sitten suurimpien valmistajien myydyimpien alueellisten hittimallien kohdalla. Esim. Note-sarjan päivitykset (kallein puhelin mallistossa) päivitykset ovat hetkittkän ihan mitä sattuu.

Sanoisin, että turvatrendi on tämä: AndroidOne -puhelin, jossa on Project Treble -päivitysmahdollisuus ja joka on onnistunut myymään suuria määriä, ja joka on Top5-valmistajalta, jolla on edes kohtuullinen pävitystahti, on paras mahdollisuus saada ajantasainen päivitetty ja semi-tietoturvallinen puhelin. HMDGlobal(Nokia) Ja Google(Pixel) lienevät poikkeukset tähän?

Mutta muuten mennään siis mallikohtaisesti. Kova hinta ei Androidissa takaa hyvää päivitystahtia, ei etenkään Samsungin kohdalla.

Tuossa hieman tuoretta jakaumaa päivitystahdista valmistajakohtaisesti Hollannin kuluttajaliitolta:

 

[DaNightlander]

Nordea hylkää nettipankin koodivihkoset ja korvaa ne kännykkä-appilla (tai erillisellä laitteella jos ei ole älyluuria)

Kun se rajoittuis vaan siihen, apissahan ei ole mitään vikaa. Lähinnä tuo mobiilipankkiin "ohjaaminen" lisäämällä kustannuksia verkkopankkiin kai tässä ihmetyttää. Selviää vasta tuosta @Technarchy mainitsemasta kirjeestä mitä palvelut jatkossa maksaa, ennakkoon kun sitä eivät voineet tietää. Reikäiset luurit eivät oikein kuulosta siltä, että niiden käyttöön kannattaisi ohjata...

 

[Hount]

Mieluummin harvemmin päivityksiä (kunhan nyt lopulta tulee) vs. mitä Samsung tekee ja asennuttaa puhelimiin Samsung Pay:n "tietoturvapäivityksen" varjolla... tekee puhelimen käytöstä muuten hitusen hankalaa kun aloitusvalikosta pomppaa koko ajan esiin "Welcome to Samsung Pay" ... tekis mieli palauttaa puhelin - meni käyttökelvottomaksi.

Ja niille onnellisille joille tuo päivitys ei ole vielä tungettu (Galaxy S7 tapauksessa) niin tuo tulee siis esiin jos swaippaa näytön alalaidasta, mutta koska puhelimen ainoa fyysinen painike on niin lähellä näytön reunaa, niin käytännössä 3/7 kerroista tulee käynnistettyä tuo sovellus kun avaa puhelimen lukitusta.

Muistinko kertoa ettei Samsung Pay ole edes käytössä Suomessa

 

[Hannibal]

Onkos valmistajilta tullut jo vastineita?
Tämä jos mikä artikkeli suorastaan huutaa päivityksiä tai jatkoartikkelija...

 

[Nerkoon]

Onkos valmistajilta tullut jo vastineita?
Tämä jos mikä artikkeli suorastaan huutaa päivityksiä tai jatkoartikkelija...

HMD taisi ilmoittaa, että tutkii väitteet koska heidän käsittääkseen puutteita ei pitäisi olla.

 

[MiiCkA]

Just kyselin Huaweilta miks BlueBorne aukkoa ei oo korjattu vieläkään. Vastaus: kahden vuoden tietoturvapäivitykset (julkaisupäivästä) yli kolmensadan erkin puhelimella. Eli jos nyt ostais tällä hetkellä uusimman Honor 9:n, ni about puolet tosta tuesta olis mennyt.
Blueborne menee kuulemma korjaukseen nyt kaikille heidän puhelimille, mutta aikataulusta ei tietoa.