안드로이드폰 제조사들이 보안패치를 했다고 주장함에도 불구하고 실제로는 이를 누락시킨 사실이 발견되었습니다.
암스테르담에서 열린 Hack in the Box 보안 컨퍼런스에서, SRL(Security Research Labs)는 많은 안드로이드폰들이 보안 업데이트를 하지만, 실제로 모든 패치가 이뤄지는 것은 아니라면서 자신들이 조사한 결과를 공개했습니다. 그들은 여기에 'Patch gap' 이라는 이름을 붙였습니다.
이들은 2017년에 안드로이드 보안 패치가 이뤄진 1,200개의 스마트폰을 조사했습니다. 조사 대상에는 삼성, 모토로라, HTC부터 ZTE나 TCL같은 덜 유명한 회사들, 그리고 구글 픽셀과 픽셀2도 포함되었습니다(픽셀 시리즈는 보안 누락 0개). 전체적으로 봤을 때, 대체로 플래그쉽 기종들에 비해 저가형 폰들이 패치가 누락된 경우가 더 빈번하게 눈에 띄었습니다. 하지만 삼성이나 소니 같은 업체의 플래그쉽 제품들도 한두건의 누락이 보이곤 했습니다.
이들은 이것이 패치를 안하는 것보다 더 큰 문제라고 지적했는데, 사람들이 보안 패치가 (실제로는 이뤄지지 않았어도) 되었다고 착각하게 만들기 때문입니다. 어떤 경우에는 심지어 아무 패치도 하지 않고 날짜만 바꾼 경우도 발견됐다고 합니다. 게다가 누락이 불규칙하게 발생하는 것도 문제입니다. 예를 들어, 2016년형 갤럭시 J5는 단 하나의 누락도 없이 패치했다고 공지한 내역이 모두 패치가 되었지만, 2016년형 J3는 (2건의 심각한 이슈를 포함해) 12건의 누락이 발견됐습니다. 이 같은 불규칙성때문에, 사용자들이 어떤 패치가 누락되고 어떤 패치는 제대로 되었는지를 확인하는게 사실상 불가능합니다.
이들은 2017년 10월 이후 한건이라도 패치가 있었던 기종들에 대해 회사별로 정리했습니다.
평균 0~1개의 패치 누락 : 구글, 소니, 삼성, WIKO
평균 1~3개의 패치 누락 : 샤오미, 원플러스, 노키아
평균 3~4개의 패치 누락 : HTC, 화웨이, LG, 모토로라
평균 4개 이상의 패치 누락 : TCL, ZTE
순정 안드로이드 + 소니향 첨가 정도 느낌입니다.
그래서 부가기능이 적다보니 갤럭시/LG보다 편의성은 많이 떨어지는데...
업데이트는 빠르고 자주 올려주더군요 ㅎㅎ 오레오도 재작년에 나온 폰까지 진즉에 올렸고
하다못해 죽었다 살아난 노키아도 엘지보다 잘해줍니다.
물론 그 노키아랑 이 노키아는 다르긴 하지만요.
패치한 것 처럼 속인 것을 지적한 것 같아요.
이건 작고 크고의 문제는 아닌 것 같네요.
저 이전에 패치를 안한 기종은 리스트에 없다는 건가요?
그럼 좀 애매하겠네요..
보안패치 없이 빠르게 버렸으면 저 리스트에 없을 것이고,
매번은 아니더라도 큰 보안이슈에 대해 패치해서 2017년 10월 이후에 한번 했던 것은 포함되겠네요..
"...SRL labs produced the chart below, which splits vendors into three categories based how faithfully their patching claims matched reality in 2017, focusing only on phones that received at least one patch in October of 2017 or later..."