Hvorfor iPhones er mere sikre end Android-telefoner
Her er en beskidt hemmelighed: De fleste Android-enheder modtager aldrig sikkerhedsopdateringer. Nioghalvfems procent af Android-enheder kan nu blive kompromitteret via en MMS-besked, og det er bare den mest profilerede fejl. Google har ingen måde at anvende sikkerhedsrettelser på disse enheder på, og producenter og transportører er ligeglad.
Android økosystemet er ved at blive et giftigt helvete af upatchede enheder, der er forsynet med sikkerhedshuller. Til sammenligning, når Apples iOS har et sikkerhedshul, kan Apple bare opdatere alle understøttede iPhones med en ny version. Selv Windows-telefoner er bedre end Android her.
Android-telefoner er ikke garanteret for at få sikkerhedsopdateringer
Den seneste Stagefright MMS-fejl giver os et godt casestudie, der viser, hvad der sker, når nogen opdager et sikkerhedshul i Android. Google opretter patches og anvender dem på den primære Android open source-projektkode. Google sender derefter disse patches til hardwareproducenter - Samsung, HTC, Sony, LG, Motorola, Lenovo og andre. Googles involvering slutter her. De kan ikke tvinge producenterne til faktisk at frigive disse patches. Dette synes ofte at være hvor processen slutter.
Hvis en producent ønsker at anvende disse patches, skal de anvende dem på en enheds Android-kode og opbygge en ny version af Android til den pågældende enhed. Dette er en separat proces for hver enkelt telefon og tablet, som producenten understøtter. Hver fabrikant skal derefter kontakte transportøren, der solgte telefonerne igennem og levere hver enkelt enhedsspecifik patch til hver luftfartsselskab over hele verden. Producentens inddragelse slutter her. Selvom de bliver vanvittige og patcher hver enkelt enhed, støtter de stadig - meget usandsynligt - de kan ikke tvinge luftfartsselskaber til faktisk at anvende disse patches
Bærere kan derefter vælge at sende den nye, patched build af Android til deres enheder, eller ej. Hvis de gør det, er der en god chance for, at det er efter en omfattende testperiode, hvor sikkerhedshullerne vil fortsætte med at holde fast. Selvom en transportør ønsker at gøre dette, er der en god chance for, at de kun vil teste opdateringen på et par flagskibstelefoner, og ikke ældre enheder.
I praksis modtager de fleste Android-enheder netop ikke sikkerhedsopdateringer, og de er sårbare. Google har ikke valgt at håndhæve levering af sikkerhedsopdateringer, som de håndhæver andre ting i kontrakter med producenter. Producenter skaber mange, mange forskellige enheder og ønsker ikke at gøre arbejdet med at opdatere dem alle. Transportører sender mange, mange forskellige enheder og ønsker ikke at teste dem. I stedet for at levere opdateringer og vedligeholde gamle telefoner, vil de hellere presse kunderne til at købe nye enheder. Disse sikkerhedshuller blev rettet i de seneste bygger af Android, så en ny enhed vil være sikker - i hvert fald indtil flere huller er fundet og ikke patched.
Ja, at "Check for Updates" -funktionen på din Android-enhed kontrollerer kun, om der er nogen producent-og-carrier-godkendte opdateringer. Det er ikke en pålidelig måde at sikre, at du har sikkerhedsopdateringer.
iPhones garanteres rettidige sikkerhedsopdateringer
Android opdateringsmodellen er forfærdeligt brudt. Det handler ikke kun om at modtage de nyeste og største funktioner. I stedet er der ingen måde at garantere, at du har de nuværende sikkerhedsrettelser. Der er virkelig ingen måde at fortælle præcis, hvilke sikkerhedshuller der er blevet patchet i din enhed, da du er afhængig af producenten, der tilføjer patchen til deres brugerdefinerede build af Android og ruller det ud til din enhed.
Google har forsøgt at undgå dette med Google Play Services, som automatisk opdaterer på alle Android-enheder. Men det kan kun gøre så meget. Alle Android-enheder, der kører Android 4.4.4 og ældre - det vil sige de fleste Android-enheder - har for øjeblikket en webbrowser fuld af sikkerhedshuller, fordi Google ikke kan opdatere det. Og nu kan næsten alle Android-enheder nu kompromitteres med en MMS.
Virkelig, dette er forfærdeligt. Forestil dig, om Windows laptops aldrig modtog sikkerhedsopdateringer fra Microsoft. I stedet vil Microsoft udstede patches til Dell, Lenovo, HP og andre producenter. Fabrikanten kan vælge at patch det eller ej, og hvis de vælger at lappe det, skal patchen godkendes af den butik, du købte den bærbare computer fra, før den nåede dig. Microsoft ville med rette raked over kulene til dette. I stedet frigiver Microsoft en patch, og den leveres til brugere af alle modeller af Windows-pc'er via Windows Update. Selv Googles egen Chrome OS fungerer på denne måde, uden at producenterne kommer i vejen.
Vil du have en faktisk garanti for sikkerhedsopdateringer til din smartphone? Du skal stort set købe en iPhone, selvom endda Microsofts Windows-telefoner er foran Android her. Når et sikkerhedshul er opdaget i en iPhone, kan Apple frigive en patch til alle iPhone brugere på én gang - selv bærere kommer ikke i vejen.
Tilladelser og privatkontrol er bedre på iOS, også
App tilladelser er et andet tilfælde, hvor iPhones trounce Android-telefoner. Android startede stærkt og tilbyder "app tilladelser" - du kan se, hvad en app kræver, før du installerer den og vælger ikke at installere den. iPhones har nu et forbedret tilladelsessystem, hvor du faktisk kan vælge og vælge hvilke data en app får adgang til. Har du brug for at bruge en app, men ikke ønsker at give den adgang til dine kontakter eller andre følsomme data? Du kan gøre dette på iOS.
På Android er apptilladelser mere som krav - tag det eller lad det være. Apps beder ofte om mange flere tilladelser, end de virkelig skal fungere, og du ved aldrig rigtig, om det spil du installerede uploader din kontaktliste til en fjernserver. Google arbejder på at tilføje en tilladelseskontrol til fremtidige versioner af Android, men det er for lidt, for sent. Sådanne funktioner er i øjeblikket kun tilgængelige i tredjeparts tilpassede ROM'er, efter at Google har fjernet Android's skjulte tilladelsesmanager.
iPhones giver dig faktisk kontrol over, hvilke apps der kan gøres på din telefon, og udsætter apptilladelser som nyttige personlige regler, som alle kan forstå. Dette hjælper med at holde dine private data sikre. På Android er det virkelig bare op til appen - du kan kun kontrollere, om du bruger den pågældende app eller ej.
Apples låste app-butik er gået overbord for at forbyde bestemte typer indhold, men det tillader kun, at apps fra en godkendt kilde giver yderligere sikkerhed mod malware. De fleste malware på Android kommer fra uden for Google Play, ofte når en bruger overfører en piratkopieret app og installerer den. Dette er ikke muligt uden at jailbreaking en iPhone. IOS App Store-godkendelsesprocessen er også lidt strengere, og involverer en person, der rent faktisk tester appen i stedet for en automatiseret algoritme.
Google skal rette op på denne situation. Det er uacceptabelt for de fleste Android-enheder at aldrig modtage sikkerhedsopdateringer og være sårbare over for et utallige antal sikkerhedshuller. Mange enheder har endda låst bootloaders, hvilket forhindrer dig i at patchere fejlen selv ved at installere en brugerdefineret ROM.
Ja, Android er en åben platform med mange involverede producenter, men det er også Windows. Google skal have sin platform i orden. Vi fortsætter med at se stadig forværrede sikkerhedsudbrud i Android-land, indtil hele Android-økosystemet begynder at bekymre os om sikkerhed og bliver i stand til at klare sikkerhedsproblemer på en rettidig og konsistent måde som alle andre moderne operativsystemer.
Billedkredit: Indi Samarajiva på Flickr