Android's Real Security Problem er producenterne
Hvis du kører et Google Pixel-håndsæt, er din telefon sikker fra et sikkerhedshul, der kan lade en PNG-fil fuldstændigt ødelægge systemet. Hvis du bruger næsten ethvert andet Android-håndsæt, er din telefon sårbar. Dette er et problem.
Google har for nylig udgivet sikkerhedsopdateringen fra februar til Pixel-enheder, som lukker et hul, der gør det muligt for ondsindede PNG-filer at "udføre vilkårlig kode inden for rammerne af en privilegeret proces." I enklere termer kan koden køre højt og stjæle din info-alt du skal gøre er at åbne filen. Det er det.
Det betyder, at enhver PNG, der kommer til dig - det være sig i en e-mail, en messaging-klient eller endda over MMS - kan muligvis kapre systemet og stjæle værdifulde data. Det er på enhver telefon, der ikke er en Pixel, fordi de er beskyttet nu. Samsung, LG, OnePlus og de fleste andre producenters håndsæt er stadig modtagelige for denne fejl. Vi skal begynde at holde producenterne til en højere standard, når det kommer til sikkerhedsopdateringer. Periode.
Jeg har i øjeblikket fire Android-telefoner inden for rækkevidde: Pixel 2 XL, Pixel 1, Samsung Galaxy S9 og OnePlus 6T. De to pixler er patched og beskyttet med februar opdatering, men S9 og 6T er kun på december sikkerheds patches. Det betyder, at nyere sårbarheder - ligesom denne PNG-en, for eksempel - er upatchet på begge disse håndsæt. I betragtning af at Samsung Galaxy-enheder er blandt de mest populære telefoner på planeten, er det foruroligende.
Cameron SummersonMen det er ikke bare et problem på grund af det aktuelle problem. Dette er et dynamisk problem, der er en konstant bekymring - eller i det mindste bør det være. Så længe der er nye sårbarheder, vil forsinkede sikkerhedsopdateringer altid være et problem. Så for at sætte det i enklere vilkår: Dette vil altid være et problem, fordi sårbarheder er garanteret.
Mens Android "fragmentering" længe har været et problem (siden platformen blev introduceret, i det væsentlige), når det kommer til fulde OS opdateringer, bør dette ikke gælder for sikkerhedsopdateringer. Disse er ikke "nye funktioner er cool, og jeg vil have dem" opdateringer, disse er vigtige databeskyttende opdateringer. Uanset om de er små eller ej, er det ikke noget, der bør overses af nogen forbruger. Nogensinde.
I øjeblikket gør fabrikanterne et forfærdeligt job med at beskytte deres brugere, fuldstop. Selvom det ikke bliver fulde OS-opdateringer (eller endda punktudgivelser) er irriterende i bedste fald, er det ikke acceptabelt at få sikkerhedsopdateringer. Den sender en besked, der ikke kan ignoreres: Det står at din telefonproducent ikke er ligeglad med dine data. Dine oplysninger er ikke vigtige nok til at beskytte dem.
Sikkerhedsopdateringer er ikke store som fulde OS-opdateringer eller endda punktudgivelser. De udgives månedligt af Google, så de er meget mindre og lettere at bage ind i systemet - selv for tredjepartsproducenter. Igen er der ingen reel undskyldning for ikke at gøre dette til en prioritet.
Sidste år gjorde Google det nødvendigt, at producenterne tilbyder mindst to års sikkerhedsopdateringer til håndsæt. (Pixel telefoner er garanteret at få tre år.) Problemet med det? Det kræver kun "mindst fire" opdateringer inden for et år. Det er kvartalsvis, ikke månedligt - og det er præcis hvad de fleste producenter gør. Det minimale minimum. Og det er bare ikke godt nok.
Hvorfor? Fordi nye sårbarheder udsættes hele tiden. Jeg vil ikke have, at mine data vil blive potentielt kompromitteret, mens jeg venter på min telefons fabrikant at komme rundt for at lave op til tre måneders sikkerhedsrettelser i en opdatering. Jeg vil have dem, så snart Google frigiver dem, og det skal du også.
Denne PNG-sårbarhed er bare en eksempel. Måned efter måned opdages disse typer problemer, og med de fleste producenter uddybende sikkerhedsopdateringer måneder senere, efterlader dine data meget længere tid end det er acceptabelt.
Mens jeg ville ønske, var der et let svar på, hvordan man fikse dette, desværre er der ikke. Indtil producenter begynder at tage din information mere seriøst, er der kun ét rigtigt svar: Køb en anden telefon. Apple og Google har rutinemæssigt bevist, at de bekymrer sig om brugernes data, så iPhone og Pixel-håndsæt er begge fremragende valg for brugere, der ønsker at gøre alt, hvad de kan for at beskytte deres data.
Som kliché som det lyder (og jeg er ærligt syg for at høre det): Det er tid til at stemme med din tegnebog. Køb ikke telefoner fra producenter, der ikke er ligeglade med dine data. Det er den eneste måde, de kommer til at vide, dette er seriøst.