Справжньою проблемою безпеки Android є виробники

Камерон Суммерсон

Якщо ви користуєтеся телефоном Google Pixel, ваш телефон безпечний від дірки безпеки, що може дозволити файлу PNG повністю зруйнувати систему. Якщо ви користуєтеся практично будь-яким іншим андроїдним апаратом, то ваш телефон уразливий. Це проблема.

Нещодавно компанія Google випустила лютне оновлення безпеки для пристроїв Pixel, яке закриває отвір, що дозволить шкідливим файлам PNG "виконувати довільний код в контексті привілейованого процесу". info-все, що потрібно зробити, це відкрити файл. Це воно.

Це означає, що будь-яка PNG, що потрапила до вас у електронній пошті, клієнті для обміну повідомленнями або навіть через MMS, може потенційно захопити систему та вкрасти цінні дані. Тобто, на будь-якому телефоні, який не є Pixel, тому що зараз захищений. Samsung, LG, OnePlus, а також більшість інших виробників все ще схильні до цієї помилки. Ми маємо почати проводити виробників до більш високих стандартів, коли йдеться про оновлення безпеки. Період.

В даний час у мене є чотири Android-телефони в межах досяжності: Pixel 2 XL, Pixel 1, Samsung Galaxy S9 і OnePlus 6T. Два пікселя виправлені і захищені з лютневим оновленням, але S9 і 6T тільки на Грудень патчі безпеки. Це означає, що будь-які нові вразливості, як, наприклад, цей PNG, наприклад, не підібрані на обох цих телефонах. Враховуючи, що пристрої Samsung Galaxy є одними з найпопулярніших телефонів на планеті, це викликає занепокоєння.

Камерон Суммерсон

Але це не просто проблема через поточну проблему. Це динамічна проблема, яка є постійною проблемою - або принаймні вона повинна бути. Поки з'являться нові уразливості, затримка оновлення безпеки завжди буде проблемою. Отже, кажучи простіше: це завжди буде проблемою, оскільки вразливості гарантовані.

Хоча “фрагментація” Android вже давно виникла проблема (оскільки платформа була введена, по суті), коли мова йде про повні оновлення ОС, це має бути ні застосувати до оновлень безпеки. Це не «нові функції - це круто, і я хочу їх» оновлення, це важливі оновлення захисту даних. Незалежно від того, чи вони маленькі чи ні, це не те, що має бути пропущено будь-яким споживачем. Ніколи.

В даний час виробники роблять жахливу роботу по захисту своїх користувачів, повна зупинка. Не отримуючи повного оновлення ОС (або навіть релізи точок), це неприємно в кращому випадку, не отримуючи оновлень безпеки неприпустимо. Він надсилає повідомлення, яке не можна ігнорувати: це говорить про те, що виробник телефону не дбає про ваші дані. Ваша інформація не є достатньо важливою для захисту.

Оновлення безпеки не величезні, як повні оновлення ОС або навіть версії точок. Вони випускаються щомісяця Google, тому вони набагато менші і легше їх запікати в систему - навіть для сторонніх виробників. Знову ж таки, немає реального виправдання, щоб не зробити це пріоритетом.

Минулого року компанія Google зробила необхідним, щоб виробники пропонували принаймні два роки оновлення безпеки для телефонів. (Pixel телефони гарантовано отримати три роки.) Проблема з цим? Для цього потрібно лише щонайменше чотири оновлення протягом року. Ось щоквартально, не щомісяця - і це саме те, що роблять більшість виробників. Мінімум. І це просто не достатньо.

Чому? Тому що нові вразливості піддаються весь час. Я не хочу, щоб мої дані були потенційно скомпрометовані, поки я чекаю, поки виробник телефону перейде до приготування виправлень безпеки на три місяці в одному оновленні - я хочу їх, як тільки Google їх випустить, і ви теж повинні..

Ця уразливість PNG - це просто один наприклад. Місяць за місяцем такі типи проблем виявляються, а більшість виробників витісняє оновлення безпеки через кілька місяців, що залишає ваші дані набагато довшими, ніж це прийнятно.

Хоча мені хотілося, щоб була легка відповідь про те, як це виправити, на жаль, немає. До тих пір, поки виробники не почнуть сприймати вашу інформацію більш серйозно, є лише одна реальна відповідь: купити інший телефон. Apple і Google регулярно доводили, що вони піклуються про дані користувачів, тому телефони iPhone і Pixel є відмінним вибором для користувачів, які хочуть зробити все можливе, щоб захистити свої дані.

Як кліше, як це звучить (і я чесно хвору чути): прийшов час проголосувати за свій гаманець. Не купуйте телефони від виробників, які не піклуються про ваші дані. Це єдиний спосіб, коли вони дізнаються, що це серйозно.