Google varnar för att tillverkare av Android-smarttelefoner måste bli bättre på att reparera sina enheter.
I ett blogginlägg (öppnas i en ny flik) publicerat av Googles cybersäkerhetsarm Project Zero förklarar forskarna hur Androids största styrka, decentraliseringen av dess ekosystem, också är dess största svaghet.
Som det ser ut säger han att lappningsprocessen är för långsam, besvärlig och för splittrad, vilket gör att konsumenter utsätts för kända sårbarheter som är relativt lätta att utnyttja.
Problemen med decentralisering
Android, även om det har skapats av Google, är baserat på Linux och är i huvudsak en lösning med öppen källkod, så tredjepartstillverkare av smartphones som Samsung, Oppo, LG och OnePlus kan ta äganderätten till sin version av operativsystemet.
Därför, när Google släpper en patch måste den först analyseras och modifieras av tillverkaren innan den skjuts till enheten. Detta innebär att Android-användare riskerar att äventyras av skadlig programvara under en längre tid.
Om denna period blir för lång och Google publicerar detaljerna om sårbarheten har cyberbrottslingar en unik möjlighet att kompromissa med endpoints utan att behöva söka efter nya nolldagar.
Däremot erbjuder Apple ett slutet ekosystem för sina enheter. Företaget är ansvarig för att bygga det mesta av sin hårdvara och mjukvara. Så med uppdateringar som är fast i Apples kontroll, närhelst företaget släpper en fix, får de flesta enheter det ganska snabbt.
Detta är exakt vad som hände med CVE-2021-39793, en ARM Mali GPU-drivrutinssårbarhet som används av många Android-enheter som TechRadar Pro rapporterade i november 2022.
Så snart Google avslutade sin undersökning av den där nolldagen i juli 2022, rapporterade man resultaten till ARM, som sedan korrigerade dem i augusti 2022. Trettio dagar senare offentliggjorde Google sina resultat.
Google fann dock att alla testenheter som använder Mali fortfarande var sårbara för problemen. "CVE-2022-36449 nämns inte i någon efterföljande säkerhetsbulletin", sa han då och tog upp ämnet för vad han kallar "patch gap".
"Precis som användare uppmuntras att fixa så snart som möjligt när en version som innehåller säkerhetsuppdateringar är tillgänglig, så är leverantörer och företag", står det i blogginlägget.
"Att minimera "patch gap" som leverantör i dessa scenarier är utan tvekan viktigare, eftersom slutanvändare (eller andra nedströmsleverantörer) blockerar denna åtgärd innan de kan uppleva säkerhetsfördelarna med patchen."
"Företag måste vara vaksamma, hålla ett öga på uppströmskällor och göra sitt bästa för att leverera kompletta lösningar till användarna så snart som möjligt."