Pravi varnostni problem Androida so proizvajalci

Cameron Summerson

Če uporabljate slušalko Google Pixel, je vaš telefon varen pred varnostno luknjo, zaradi katere bi lahko datoteka PNG popolnoma uničila sistem. Če uporabljate skoraj vse druge naprave Android, je vaš telefon ranljiv. To je težava.

Google je pred kratkim izdal februarsko varnostno posodobitev za naprave Pixel, ki zapre luknjo, ki bi zlonamernim datotekam PNG omogočila »izvrševanje poljubne kode v kontekstu privilegiranega postopka«. Na enostavnejši način lahko koda deluje na visoki ravni in ukrade vaše info - vse, kar morate storiti, je, da odprete datoteko. To je to.

To pomeni, da bi lahko katerikoli PNG, ki ga dobite v e-poštnem sporočilu, odjemalcu sporočil ali celo prek sporočil MMS, potencialno ugrabil sistem in ukradel dragocene podatke. To je na vsakem telefonu, ki ni Pixel, ker so zdaj zaščiteni. Samsung, LG, OnePlus in telefoni večine drugih proizvajalcev so še vedno dovzetni za to napako. Proizvajalce moramo začeti držati višjega standarda, ko gre za varnostne posodobitve. Obdobje.

Trenutno imam štiri telefone Android v dosegu rok: Pixel 2 XL, Pixel 1, Samsung Galaxy S9 in OnePlus 6T. Dva piksla sta zakrpana in zaščitena s posodobitvijo februarja, vendar sta S9 in 6T samo na December varnostne popravke. To pomeni, da so novejše ranljivosti, kot je npr. Ta PNG, odstranjene na obeh telefonih. Glede na to, da so naprave Samsung Galaxy med najbolj priljubljenimi telefoni na planetu, je to zaskrbljujoče.

Cameron Summerson

Ampak to ni samo vprašanje zaradi trenutne težave. To je dinamičen problem, ki je nenehna skrb - ali vsaj mora biti. Dokler obstajajo nove ranljivosti, bodo zakasnjene varnostne posodobitve vedno problem. Torej, poenostavljeno rečeno: to bo vedno problem, saj so ranljivosti zagotovljene.

Medtem ko je »razdrobljenost« Androida že dolgo vprašanje (saj je bila platforma v bistvu uvedena), ko gre za popolne posodobitve OS, bi to moralo biti ne veljajo za varnostne posodobitve. To niso “nove funkcije so kul, in želim jih” posodobitve, to so ključni posodobitve za zaščito podatkov. Ne glede na to, ali so majhni ali ne, to ni nekaj, kar bi moral sprejeti vsak potrošnik. Kdaj.

Trenutno proizvajalci delajo grozno delo zaščite svojih uporabnikov. Čeprav ne dobite popolnih posodobitev operacijskega sistema (ali celo izdaje točk), je to v najboljšem primeru nadležno, ne da bi dobili varnostne posodobitve nesprejemljivo. Pošlje sporočilo, ki ga ni mogoče prezreti: pravi, da proizvajalec telefona ne skrbi za vaše podatke. Vaše informacije niso dovolj pomembne za njihovo zaščito.

Varnostne posodobitve niso velike, kot so popolne posodobitve OS ali celo izdaje točk. Google jih objavlja mesečno, zato so veliko manjši in jih je lažje peči v sistem - tudi za proizvajalce drugih proizvajalcev. Še enkrat, ni pravega izgovora, da to ne bi bilo prednostna naloga.

Lani je Google zahteval, da proizvajalci ponudijo vsaj dve leti varnostnih posodobitev za telefone. (Pixel telefoni so zagotovo dobili tri leta.) Problem s tem? V enem letu potrebuje le “vsaj štiri” posodobitve. To je četrtletno, ne mesečno - in to je tisto, kar počne večina proizvajalcev. Najmanjši minimum. In to ni dovolj dobro.

Zakaj? Ker so nove ranljivosti vedno izpostavljene. Ne želim, da bi bili moji podatki ogroženi, medtem ko počakam, da proizvajalec mojega telefona začne pripravljati varnostne popravke za tri mesece v eni posodobitvi - hočem jih takoj, ko jih Google objavi, in tudi vi..

Ta ranljivost PNG je pravična eno primer. Mesec po mesecu se odkrijejo te vrste težav, večina proizvajalcev pa izvajajo varnostne posodobitve mesece pozneje, zaradi česar so vaši podatki izpostavljeni dlje, kot je sprejemljivo.

Medtem ko si želim, da bi bil lahek odgovor o tem, kako to popraviti, žal ni. Dokler proizvajalci ne bodo začeli jemati vaših informacij bolj resno, obstaja le en pravi odgovor: kupite drug telefon. Apple in Google sta rutinsko dokazala, da skrbita za podatke uporabnikov, tako da so iPhone in Pixel telefoni odlična izbira za uporabnike, ki želijo storiti vse, kar je v njihovi moči, da bi zaščitili svoje podatke..

Kot kliše, kot se sliši (in odkrito mi je, da ga slišim): čas je, da glasujete z vašo denarnico. Ne kupujte telefonov od proizvajalcev, ki vam ne marajo vaših podatkov. Samo tako bodo vedeli, da je to resno.