Det har länge varit uppenbart att Android har stora problem med säkerhet. De månatliga säkerhetsuppdateringar som släpps av Google når sällan användare som istället tvingas använda smartphones som har öppna säkerhetshål. Nu erkänner Google att hälften av världens alla Android-enheter, cirka 700 miljoner, inte fick en enda av de 12 säkerhetsuppdateringar som släpptes under 2016.
Säkerhetsuppdateringar för Android-enheter är inte ett problem som är lätt att lösa. När Google släpper en uppdatering måste tillverkaren först se till att den funkar med de telefoner som ska uppdateras och i många fall måste även teleoperatörer verifiera uppdateringen. Det skapar förseningar. Försenade säkerhetsuppdateringar kan vara ett verkligt hot för användare. I vissa fall utnyttjas säkerhetshål i Android redan innan uppdateringen släpps och i många andra fall börjar de utnyttjas strax efter uppdateringen släpps. Uppdateringar måste därför skickas ut snabbt för att kunna skydda användare.
Många potentiellt infekterade
Google försöker skydda användare från vissa attacker genom att bland annat söka igenom Google Play-butiken efter potentiellt skadliga appar. Google säger att deras sökningar är betydligt mer effektiva i dag än de varit tidigare. Företaget erkänner samtidigt att 0,05 procent av Android-användare troligen har en potentiellt skadlig app som har installerats från Google Play på sin smartphone. 0,05 procent kanske inte låter som särskilt mycket men med tanke på Google Play har 1,4 miljarder användare motsvarar 0,05 procent cirka 700 000 potentiellt infekterade enheter. För användare som laddar ner appar utanför Google Play stiger den siffran till 1,05 procent.
Många olika typer av hot
När en enhet har blivit infekterad kan den utsättas för många olika hot. Enligt Google är den vanligaste typen av skadlig mjukvara en så kallad trojan. Den utger sig för att vara en riktig app, med riktig funktionalitet. I bakgrunden gör den dock något helt annat. Beroende på appens behörigheter kan den göra allt från att komma åt telefonens kamera, kalender, kontakter, sensorer, lagringsutrymme, mikrofon, platsdata, SMS och telefonhistorik. I alla versioner av Android måste användare dock först gå med på att ge appen tillgång till de nämnda funktionerna. I äldre versioner av Android görs det när appen installeras och sedan Android 6 måste appen fråga användaren om lov när den vill ha tillgång till en funktion. Kameran eller mikrofonen i en modern Android-enhet kan alltså normalt sett inte aktiveras utan att användaren först går med på det.
Utöver trojaner säger Google att SMS-bedrägeri och nätfiske är vanligt. Nätfiske, eller phising, går ut på att lura användare att skriva in känslig information, så som personuppgifter och lösenord, som skickas till attackeraren. Skadliga appar som använder sig av nätfiske lurar användaren att den till exempel fyller i sina uppgifter i sin bankapp medan uppgifterna i själva verket skickas till någon annan.
Sannolikheten är ändå låg att vanliga användare utsätts för attack. Användare som håller sig undan skumma appar, bifogade filer i epostmeddelanden, publika USB-portar och skumma webbplatser bör kunna hålla sig borta från skadlig mjukvara. Människor kan dock göra misstag eller bli lurade. Telefoner som har öppna och kända säkerhetshål har då svårt att skydda sina användare.
Brutna löften
Google har tidigare gjort försök att uppdatera smartphones i en högre takt. År 2011 skapade Google ett samarbete med företag så som LG, Sony Ericsson, Motorola, Samsung och HTC. Medlemmarna i Android Update Alliance gick med på att uppdatera alla Android-enheter i minst 18 månader från deras lansering. Samarbetet fungerade aldrig och trots löften rullades många uppdateringar aldrig ut till konsumenter.
Det senaste året har tillverkare så som Sony visat att de kan uppdatera sina dyrare smartphones i ett högt tempo och på MWC 2017 utlovade Nokia-tillverkaren HMD månatliga uppdateringar till alla sina kommande Android-smartphones. Även Samsung har nu utlovat snabbare månatliga uppdateringar. Det är dock ett löfte som företaget kommit med och brutit förut. Senast augusti 2015 utlovade Samsung snabba uppdateringar ungefär varje månad till alla Galaxy-enheter. Det löftet höll aldrig företaget för alla Galaxy-enheter.
Uppdatering: Rättade siffra för antal icke uppdaterade enheter. (23 mars 11:40)
Källor: Google, Allthingsd, Samsung