Google: Mobiltillverkare lämnar kända säkerhetshål öppna

Google anser att tillverkares långsamma hantering av säkerhetshål skapar säkerhetsrisker för användarna.

Ove Kaufeldt

Publicerad 31 Jul 2023 kl 11.07 Uppdaterad 31 Jul 2023 kl 15.09

Det är i sin senaste rapport om det som kallas för ”zero-day exploits”, alltså sårbarheter som varit okända för företaget som ansvarar för säkerheten, och vilka därmed kan utnyttjas för attacker. Googles rapport handlar inte enbart om Android, men tar upp att operativsystemet har det problemet tillsammans de olika iterationer av Android som modifieras av andra utvecklare.

Ett av exemplen som Google tar upp är sårbarheten som upptäcktes i GPU:n Mali i Arm-processorer. Den rapporterades i juli 2022 och fixades av ARM i oktober 2022. Trots att det upptäcktes att den utnyttjades aktivt i november 2022 tog det till april 2023 innan uppdateringen som täppte till säkerhetshålet släpptes.

Det andra exemplet tog upp Samsung webbläsare där säkerhetshål som utnyttjades aktivt i januari 2022 inte täpptes till förrän i juni 2023.

Enligt Google måste utvecklare dessutom inte enbart släppa säkerhetuppdateringar fortare, utan även lägga ner mer arbete på att analysera olika aspekter av säkerhetsbristerna. Ett annat orosmoment är nämligen att enligt Google är över 40 procent av de zero-day exploits som upptäcks varianter av tidigare rapporterade sårbarheter. Mer djupgående analyser skulle alltså kunna leda till mer genomgripande lösningar så att angripare inte kan fortsätta använda samma problem men på olika områden.