Истинският проблем на сигурността на Android е производителите

Ако използвате Google Pixel, телефонът ви е в безопасност от дупка в сигурността, която може да позволи на PNG файл напълно да разруши системата. Ако използвате почти всеки друг телефон с Android, телефонът ви е уязвим. Това е проблем.

Google пусна наскоро актуализацията на сигурността за устройствата Pixel, която затваря дупка, която ще позволи на злонамерени PNG файлове „да изпълнят произволен код в контекста на привилегирован процес“. info-всичко, което трябва да направите, е да отворите файла. Това е.

Това означава, че всеки PNG, който идва при вас в имейл, клиент за съобщения или дори за MMS, може потенциално да отвлече системата и да открадне ценни данни. Това е на всеки телефон, който не е Pixel, защото сега са защитени. Samsung, LG, OnePlus и мобилните телефони на повечето други производители са все още податливи на този бъг. Трябва да започнем да държим производителите на по-висок стандарт, когато става въпрос за актуализации на защитата. Период.

Понастоящем разполагам с четири Android телефона в обхвата на ръцете: Pixel 2 XL, Pixel 1, Samsung Galaxy S9 и OnePlus 6T. Двата пиксела са поправени и защитени с актуализацията на февруари, но S9 и 6T са само на декември кръпки за сигурност. Това означава, че всички по-нови уязвимости - като този в PNG, например - са извадени от двете устройства. Като се има предвид, че Samsung Galaxy устройствата са сред най-популярните телефони на планетата, това е тревожно.

Но това не е само проблем, поради текущия проблем. Това е динамичен проблем, който е постоянна грижа - или поне трябва да бъде. Докато има нови уязвимости, забавените актуализации на сигурността винаги ще бъдат проблем. Така че, да кажем това по-просто: това винаги ще бъде проблем, защото уязвимостите са гарантирани.

Въпреки че „фрагментацията“ на Android отдавна е проблем (тъй като платформата беше въведена по същество), когато става въпрос за пълни актуализации на ОС, това трябва да стане не се прилагат към актуализации на защитата. Това не са „новите функции са готини, а аз искам“ актуализации, това са важни актуализации за защита на данните. Независимо дали са малки или не, това не е нещо, което трябва да бъде пренебрегвано от всеки потребител. някога.

В момента производителите извършват ужасна работа за защита на своите потребители, пълна спирка. Докато не получавате пълни обновявания на ОС (или дори премиери на точки) е досадно в най-добрия случай, не получавате актуализации на защитата е неприемливо. Той изпраща съобщение, което не може да бъде игнорирано: то казва, че производителят на телефона не се интересува от данните ви. Вашата информация не е достатъчно важна за тях.

Актуализациите за сигурност не са огромни като пълни обновявания на ОС или дори за премахване на точки. Те се пускат ежемесечно от Google, така че са много по-малки и по-лесни за печене в системата - дори и за производители от трети страни. Отново, няма реално извинение да не направим това приоритет.

Миналата година Google направи необходимото, че производителите предлагат най-малко две години актуализации на защитата за телефони. (Pixel телефони гарантирано ще получат три години.) Проблемът с това? Това изисква само “поне четири” актуализации в рамките на една година. Това е тримесечен, не месечно - и това е точно това, което правят повечето производители. Минимумът. И това просто не е достатъчно добро.

Защо? Защото новите уязвимости са изложени през цялото време. Не искам данните ми да бъдат потенциално компрометирани, докато чакам за производителя на телефона ми да се заеме с приготвянето на тримесечни корекции за сигурност в една актуализация - искам ги веднага след като Google ги пусне и вие също трябва.

Тази уязвимост в PNG е просто един пример. Месец след месец се откриват тези видове проблеми и повечето производители изтласкват актуализации на защитата месеци по-късно, което оставя данните ви изложени за много по-дълго, отколкото е приемливо.

Въпреки че исках да има лесен отговор как да се поправи това, за съжаление, няма. Докато производителите не започнат да приемат информацията ви по-сериозно, има само един реален отговор: купи друг телефон. Apple и Google рутинно са доказали, че се интересуват от данните на потребителите, така че iPhone и Pixel са отличен избор за потребителите, които искат да направят всичко възможно, за да защитят данните си.

Както звучи като клише (и аз съм честно да го чуя): време е да гласувате с портфейла си. Не купувайте телефони от производители, които не се интересуват от данните ви. Това е единственият начин да разберат, че това е сериозно.