Hoewel producenten van Android-apparaten beweren dat hun apparaten volledig up-to-date zijn, ontdekten onderzoekers dat patches voor sommige OEMs in het geheim ontbreken. Daarvoor werd SnoopSnitch ontwikkeld.
De onderzoekers kwamen erachter dat Google, Samsung en Sony-telefoons de meest complete zijn als het gaat om beveiligingspatches. TCL- en ZTE-telefoons kwamen uit de bus als die met de meest ontbrekende patches.
Vanwege de structuur van Android zijn beveiligingsupdates afhankelijk van apparaatfabrikanten waardoor het updateproces lastig kan zijn. Niet alle Android-apparaten zijn qua beveiliging gelijk. Vanwege de structuur van Android moeten beveiligingsupdates worden geleverd door apparaatfabrikanten en dat kan enige vertraging opleveren.
Google biedt eenmaal per maand Android-beveiligingspatches aan AOSP. Deze beveiligingsupdates verschillen van updates voor Android-besturingssystemen en worden vermeld op “Beveiligingspatchniveau” -data. Deze zijn over het algemeen te vinden in het dialoogvenster “Systeem> Over de telefoon” in het menu Instellingen op Android-apparaten. Hoewel Google maandelijks updates publiceert, zijn apparaatfabrikanten vaak niet in staat om beveiligingsupdates maanden achtereen te leveren.
Maar die patchniveau-data geven geen compleet beeld, volgens Security Research Labs. Ondanks apparaten die een bepaalde datum vermelden, zijn sommige patches die door Google worden gedistribueerd mogelijk niet geïntegreerd in de updates die door de fabrikant zijn verstrekt. Om dit te testen heeft Security Research Labs SnoopSnitch ontwikkeld om de patchstatus van elk beveiligingslek in een maandelijkse beveiligingspatch te testen.
Door de resultaten van SnoopSnitch-rapporten te analyseren, ontdekte het team van Security Research Labs dat telefoons die door Sony, Samsung en Wiko zijn ontwikkeld, tussen nul en één gemiste patch hebben. Xiaomi, OnePlus en Nokia bleken tussen één en drie gemiste patches te hebben. HTC, Huawei, LG en Motorola hadden tussen de drie en vier gemiste patches, met weinig HTC-samples beschikbaar. TCL en ZTE waren de slechtste, met meer dan vier gemiste patches gevonden.
Er zijn wel enkele beperkingen aan SnoopSnitch. Sommige kwetsbaarheden waarvoor de app kan testen, kunnen alleen worden geverifieerd bij het testen met root-toegang. Zonder root-toegang geeft de app als antwoord ‘Test onbeslist’ voor een niet-verifieerbare kwetsbaarheid.