Androidi tegelik turvalisuse probleem on tootjad

Cameron Summerson

Kui kasutate Google Pixeli telefonitoru, on teie telefon turvaaukust kaitstud, mis võimaldaks PNG-failil süsteemi täielikult hävitada. Kui kasutate peaaegu kõiki teisi Android-telefonitoru, on telefon haavatav. See on probleem.

Google avaldas hiljuti Pixel-seadmetele veebruari turvavärskenduse, mis sulgeb augu, mis võimaldaks pahatahtlikel PNG-failidel "teostada suvalise koodi privilegeeritud protsessi kontekstis." info-kõik, mida pead tegema, on faili avamine. See ongi see.

See tähendab, et kõik PNG-d, mis tulevad teile e-posti, sõnumside kliendi või isegi MMS-i kaudu, võivad süsteemi kaaperdada ja väärtuslikke andmeid varastada. See tähendab, et igal telefonil, mis ei ole Pixel, sest nad on nüüd kaitstud. Samsung, LG, OnePlus ja enamik teiste tootjate telefone on endiselt selle vea suhtes. Turvavärskenduste puhul peame alustama tootjate kõrgemat standardit. Periood.

Mul on praegu neli Android-telefoni, mis asuvad käeulatuses: Pixel 2 XL, Pixel 1, Samsung Galaxy S9 ja OnePlus 6T. Need kaks pikslit on fikseeritud ja kaitstud veebruari värskendusega, kuid S9 ja 6T on ainult Detsember turvaparandused. See tähendab, et iga uuem haavatavus, nagu see PNG üks, on mõlema mobiiltelefoni puhul lahti. Arvestades, et Samsung Galaxy seadmed on planeedi kõige populaarsemad telefonid, on see murettekitav.

Cameron Summerson

Aga see ei ole ainult probleem tänase probleemi tõttu. See on dünaamiline probleem, mis on pidev mure või vähemalt see peaks olema. Niikaua kui esineb uusi haavatavusi, on viivitatud turvavärskendused alati probleemiks. Niisiis, seda lihtsamates tingimustes: see on alati probleem, sest on tagatud nõrgad kohad.

Kuigi Android „killustatus” on juba ammu probleemiks olnud (kuna platvorm võeti kasutusele põhiliselt), kui tegemist on täieliku operatsioonisüsteemi värskendustega, peaks see olema mitte kehtivad turvavärskendustele. Need ei ole „uued funktsioonid on lahedad ja ma tahan neid” värskendada, need on olulised andmete kaitsmise uuendused. Sõltumata sellest, kas nad on väikesed või mitte, ei tohiks ükski tarbija seda tähelepanuta jätta. Kunagi.

Praegu teevad tootjad oma kasutajate kaitsmiseks kohutavat tööd, täieliku peatuse. Kuigi ei saada täielikku operatsioonisüsteemi värskendusi (või isegi punktiväljaandeid), on see parimal juhul tüütu, ei ole turvavärskenduste saamine vastuvõetav. See saadab teate, mida ei saa eirata: see ütleb, et teie telefoni tootja ei hooli teie andmetest. Teie teave ei ole nende kaitsmiseks piisavalt oluline.

Turvavärskendused ei ole suured, nagu täielikud OS-i värskendused või isegi punktiväljaanded. Google avaldab need igakuiselt, nii et nad on palju väiksemad ja kergemini küpsetada süsteemi, isegi kolmandate osapoolte tootjatele. Jällegi pole mingit tegelikku vabandust, et seda prioriteediks mitte panna.

Eelmisel aastal tegi Google vajalikuks, et tootjad pakuksid telefone vähemalt kaks aastat. (Pixel-telefonidel on tagatud kolm aastat.) Selle probleemiga? See nõuab aasta jooksul ainult „vähemalt nelja” värskendust. See ongi kord kvartalis, mitte kuu-ja see on täpselt see, mida enamik tootjaid teeb. Minimaalne miinimum. Ja see pole lihtsalt piisavalt hea.

Miks? Kuna uued haavatavused on kogu aeg avatud. Ma ei taha, et minu andmed võiksid olla ohtlikud, kui ootan, et telefoni valmistaja jõuaks ühe värskendusega kolme kuu väärtuses turvaparanduste valmistamiseni - ma tahan neid kohe, kui Google neid vabastab, ja te peaksite ka.

See PNG haavatavus on õiglane üks näiteks. Kuu järel kuus avastatakse sellised probleemid ja enamik tootjaid surub välja turvavärskendused kuud hiljem, mis jätab teie andmed palju kauemaks, kui on vastuvõetav.

Kuigi ma soovin, et selle lahendamiseks oleks lihtne vastata, ei ole kahjuks olemas. Kuni tootjad hakkavad teie infot tõsiselt võtma, on ainult üks reaalne vastus: osta teine ​​telefon. Apple ja Google on rutiinselt tõestanud, et nad hoolivad kasutajate andmetest, nii et iPhone ja Pixel telefonid on nii suurepärased valikud kasutajatele, kes tahavad teha kõik, et kaitsta oma andmeid.

Nagu klišee, nagu see kõlab (ja ma olen ausalt haige seda kuulnud): on aeg hääletada rahakoti abil. Ärge ostke telefone tootjatelt, kes ei hooli teie andmetest. See on ainus viis, kuidas nad teavad, et see on tõsine.