Android's virkelige sikkerhetsproblem er produsentene
Hvis du kjører et Google Pixel-håndsett, er telefonen trygg fra et sikkerhetshull som kan la en PNG-fil ødelegge systemet helt. Hvis du bruker nesten alle andre Android-telefoner, er telefonen din sårbar. Dette er et problem.
Google har nylig gitt ut sikkerhetsoppdateringen fra februar for Pixel-enheter, som lukker et hull som gjør at ondsinnede PNG-filer kan "utføre vilkårlig kode i sammenheng med en privilegert prosess." I enklere vilkår kan koden løpe på høyt nivå og stjele din info-alt du trenger å gjøre er å åpne filen. Det er det.
Det betyr at noen PNG som kommer til deg - enten det er i en e-post, en meldingsklient eller til og med over MMS - kan potensielt kapre systemet og stjele verdifulle data. Det er på alle telefoner som ikke er et Pixel, fordi de er beskyttet nå. Samsung, LG, OnePlus og de fleste andre produsenters håndsett er fortsatt utsatt for denne feilen. Vi må begynne å holde produsentene til en høyere standard når det gjelder sikkerhetsoppdateringer. Periode.
Jeg har for tiden fire Android-telefoner innen rekkevidde: Pixel 2 XL, Pixel 1, Samsung Galaxy S9 og OnePlus 6T. De to pikslene er patched og beskyttet med februaroppdateringen, men S9 og 6T er bare på desember sikkerhetsoppdateringer. Det betyr at eventuelle nyere sårbarheter, som for eksempel denne PNG-en, for eksempel, er upåpasset på begge disse telefonene. Med tanke på at Samsung Galaxy-enheter er blant de mest populære telefonene på planeten, er dette urolig.
Cameron SummersonMen det er ikke bare et problem på grunn av det nåværende problemet. Dette er et dynamisk problem som er en konstant bekymring - eller i det minste bør det være. Så lenge det er nye sikkerhetsproblemer, vil forsinkede sikkerhetsoppdateringer alltid være et problem. Så, for å sette det på enklere vilkår: Dette vil alltid være et problem fordi sårbarheter er garantert.
Mens Android "fragmentering" lenge har vært et problem (siden plattformen ble introdusert, hovedsakelig) når det gjelder full OS oppdateringer, bør dette ikke gjelder for sikkerhetsoppdateringer. Disse er ikke "nye funksjoner er kule, og jeg vil ha dem" oppdateringer, disse er viktige databeskyttende oppdateringer. Uansett om de er små eller ikke, er dette ikke noe som bør overses av noen forbruker. Noensinne.
For tiden gjør produsentene en forferdelig jobb med å beskytte sine brukere, fullstopp. Selv om det ikke blir fullstendig OS-oppdateringer (eller til og med punktutgivelser), er det irriterende i beste fall, det er ikke akseptabelt å ikke få sikkerhetsoppdateringer. Det sender en melding som ikke kan ignoreres: det står at telefonproducenten ikke bryr seg om dataene dine. Din info er ikke viktig nok for at de skal beskytte.
Sikkerhetsoppdateringer er ikke store som fulle OS-oppdateringer eller til og med punktutgivelser. De blir utgitt månedlig av Google, så de er mye mindre og lettere å bake inn i systemet - selv for tredjeparts produsenter. Igjen er det ingen reell unnskyldning for ikke å gjøre dette til en prioritet.
I fjor gjorde Google det nødvendig at produsenter tilbyr minst to års sikkerhetsoppdateringer for telefoner. (Pixel-telefoner er garantert å få tre år.) Problemet med det? Det krever bare "minst fire" oppdateringer innen et år. det er kvartal, ikke månedlig - og det er akkurat det de fleste produsenter gjør. Det minste minimum. Og det er bare ikke bra nok.
Hvorfor? Fordi nye sikkerhetsproblemer blir utsatt hele tiden. Jeg vil ikke at dataene mine skal bli skadet, mens jeg venter på at produsenten min skal komme seg til å lagre tre måneders sikkerhetsoppdateringer i en oppdatering. Jeg vil ha dem så snart Google slipper dem, og du bør også.
Dette PNG-sårbarheten er bare en eksempel. Måned etter måned oppdages disse typer problemer, og med de fleste produsenter som trykker ut sikkerhetsoppdateringer måneder senere, forlater dataene dine mye lenger enn det som er akseptabelt.
Mens jeg ønsket det, var det et enkelt svar på hvordan du fikser dette, dessverre er det ikke. Inntil produsentene begynner å ta informasjonen din mer alvorlig, er det bare ett reelt svar: kjøp en annen telefon. Apple og Google har rutinemessig bevist at de bryr seg om brukernes data, så iPhone og Pixel-telefoner er begge ypperlige valg for brukere som vil gjøre alt de kan for å beskytte dataene sine.
Som cliché som det høres ut (og jeg er ærlig syk av å høre det): det er på tide å stemme med lommeboken din. Ikke kjøp telefoner fra produsenter som ikke bryr seg om dataene dine. Det er den eneste måten de skal vite, dette er seriøst.