A Google most megmondta, hogy melyek azok az androidos okostelefonok, amik eddig megkaptak minden biztonsági frissítést. Mindössze tizenkét gyártó 42 telefonja került fel a listára. Ez egyrészt jó hír azoknak, akik telefonvásárlás előtt állnak, mert biztonsági szempontokat is mérlegelhetnek a vásárlási döntésüknél, másrészt rossz hír azoknak, akik olyan telefont használnak, melyek nem kerültek fel a Google listájára.

Végeláthatatlan küzdelem

Leginkább végeláthatatlan iszapbirkózásra emlékeztet az Google küzdelme az Android biztonságáért. A már célegyenesben figyelő új verzió, az Android O komoly áttörést hozhat ugyan az új koncepciójával, de a jelenleg is használatban lévő mintegy másfél milliárd okostelefon, melynek több mint háromnegyede androidos készülék, továbbra is veszélyeztetett marad.

A frissítési hajlandóságot azonban mindenképpen javítja majd, hogy a Treble projekt a teljes procedúrát egyszerűbbé teszi. Az persze továbbra is kérdéses, hogy ez mennyire tud segíteni a rendkívül széttagolt piacon.

A most közzétett pozitív listával a lényegében jutalmazza a szorgalmasan frissítő gyártókat, melyek a havonta megjelenő Android Security Bulletin javításait érvényesítik és terítik saját eszközeiken. A Google ugyanis arra számít, hogy a listára felkerülő készülékek népszerűbbek lesznek a vásárlók körében.

A Google blogbejegyzésében megjegyzi – csökkentendő a legfrissebb javításokat is tartalmazó készülékek kis száma okozta sokkot –, hogy több mint 100 olyan készülék van, amely régebbi Android verziót futtat, de legalább az elmúlt 90 napban megjelent biztonsági frissítéseket tartalmazza.

A hibavadászatot is ösztönzik

A Google ugyanebben a blogbejegyzésében – melyet Scott Roberts, az Andoid biztonságáért felelős csapat vezetője jegyez egy munkatársával, Mayank Jain-nel –, azt is bejelentette, hogy emeli a hibavadászok díjait. A TrustZone és a Verified Boot megkerülésére alkalmas sebezhetőségekről szóló információkért eddig 50 ezer dollárt fizetettek, amit most felemeltek 200 ezer dollárra emelte. Azoknak az exploitoknak a megtalálásáért, melyek távoli, kernel szintű, jogosulatlan művelet-végrehajtást és kódfuttatást tehetnek lehetővé, akár 150 ezer dollárt is lehet kapni (eddig 30 ezer dollár volt a maximum).

Az elmúlt két évben egyébként összesen mintegy 1,5 millió dollárt fizetett 450 sérülékenységért az Android Security Rewards keretében. A fizetési lista élén egyébként a C0RE Team áll, 118 sérülékenységet tártak fel, amiért összesen 300 ezer dollárt kaptak. A program keretében 115 kutató volt, akik átlagosan 10 200 dollárt keresett andoidos hibák vadászásával, egy hiba felfedezésével közel 2200 dollárt kerestek. Összesen 31 olyan biztonsági szakember volt, akinek legalább 10 ezer dollárt fizetett a Google.