وقتی در مورد امنیت در سیستم عامل اندروید صحبت می شود، این سیستم عامل بسیار شکننده و آسیب پذیر است و شرکت های سازنده و تولیدکننده هم با تاخیر در انتشار وصله ها این موضوع را بدتر می کنند. براساس مطالعاتی که صورت گرفته بیشتر شرکت های تولیدکننده در مورد انتشار به روزرسانی ها به مشتریان خود دروغ می گویند و ادعا می کنند تلفن همراه آن ها با آخرین به روزرسانی ها در حال اجراست.
براساس یافتههای محققان، بسیاری از شرکتهای تولیدکنندهی تلفن همراه مانند سامسونگ، Xiaomi، OnePlus، سونی، اچتیسی، الجی و هووآوی آسیبپذیریهای حیاتی را وصله نکرده و در بهروزرسانیهای خود پوشش نمیدهند. محققان نزدیک به ۱۲۰۰ تلفن همراه که متعلق به بیش از ۱۰ شرکت تولیدکننده بود بررسی کرده و متوجه شدند بسیاری از آسیبپذیریهایی که سال قبل شناسایی شده بود در این دستگاهها وصله نشده و به عبارت دیگر یک شکاف وصلهای وجود دارد.
محققان میگویند شرکتهای تولیدکننده معمولا بهخاطر دلایل بازاریابی، در نسخههای نصبی خود بدون اعمال هیچگونه وصلهای، فقط تاریخ را عوض میکنند. شاهد هستیم که شرکت گوگل هرماه بهروزرسانیهایی را برای امنتر کردن اکوسیستم اندروید منتشر میکند ولی شرکتهای تولیدکنندهی تلفن همراه به دلیل اینکه برای منحصربفرد بودن، کدهای اندروید را تغییر دادهاند، برای اعمال چنین وصلههایی با مشکل مواجه میشوند.
محققان پس از بررسی وصلهها در تلفنهای همراه نتایج زیر را گزارش کردند:
نبود ۰-۱ وصله در دستگاههای گوگل، سونی، سامسونگ و Wiko Mobile
نبود ۱-۳ وصله در دستگاههای Xiaomi، OnePlus و نوکیا
نبود ۳-۴ وصله در دستگاههای اچتیسی، هووآوی، الجی و موتورولا
نبود بیش از ۴ وصله در دستگاههای تیسیال، زدتیای
تمرکز اصلی در این بررسی بر روی آسیبپذیریهای حیاتی و مهمی بوده که در سال ۲۰۱۷ میلادی گزارش شدهاند. همانطور که ملاحظه میشود شرکتهایی مانند گوگل، سامسونگ و سونی در اعمال و نصب وصلهها در صدر قرار دارند ولی شرکتهای چینی مانند Xiaomi و OnePlus در اعمال وصلهها چندان موفق عمل نکردهاند.
در راستای کمتر کردن چنین مشکلاتی، شرکت گوگل پروژهای با نام Treble را راهاندازی کرده و معماری اکوسیستم اندروید را تغییر داده تا بتواند بیشتر بر روی فرآیند بهروزرسانی این سیستم عامل کنترل داشته باشد. این پروژه بخشهایی از Android 8.0 Oreo را شامل شده و برای جدا کردن کدهای بخش سختافزار از کدهای سیستم عامل طراحی شده است. هرچند اگر بر روی دستگاه شما Oreo 8.0 اجرا میشود لزومی ندارد از پروژهی Treble پشتیبانی کند.
محققان یک برنامهی کاربردی با نام SnoopSnitch را توسعه دادهاند که بهطور رایگان میتوانید آن را دریافت کرده و سطح وصلههای دستگاه اندرویدی خود را بررسی کنید و ببینید ادعاهای شرکت تولیدکننده تا چه اندازه درست بوده است.