Android är Verklig Säkerhet Problemet är Tillverkare

0
57
Cameron Summerson

Om du kör en Google Pixel handen, telefonen är säker från ett säkerhetshål som kan låta en PNG-fil helt förstöra systemet. Om du använder nästan någon annan Android-telefon, då telefonen är utsatta. Detta är ett problem.

Google har nyligen släppt februari säkerhetsuppdatering för Pixel enheter, som stänger ett hål som skulle tillåta skadlig PNG-filer för att “exekvera godtycklig kod inom ramen för en privilegierad process.” I enklare termer, kod kan köras på en hög nivå och stjäla din information—allt du behöver göra är att öppna filen. Det är det.

Det innebär att alla PNG som kommer till dig—det kan vara i ett e-postmeddelande, en messaging-klient, eller till och med över MMS—potentiellt skulle kunna kapa systemet och stjäla värdefulla data. Det är, på vilken telefon som helst som inte är en Pixel, eftersom de är skyddade nu. Samsung, LG, OnePlus, och de flesta andra tillverkares telefoner är fortfarande mottagliga för denna bugg. Vi måste börja hålla tillverkare till en högre standard när det gäller säkerhet uppdateringar. Tid.

Jag har för närvarande fyra Android-telefoner inom räckhåll: Pixel 2 XL, 1 Pixel, Samsung Galaxy S9, och OnePlus 6T. Två Pixlar är lappat och skyddas med februari uppdatering, men S9 och 6T är bara på December säkerhetskorrigeringar. Det innebär att alla nya sårbarheter—som denna PNG, till exempel—är ouppdaterad på båda dessa telefoner. Med tanke på att Samsung Galaxy-enheter är bland de mest populära telefonerna på planeten, detta är oroande.

Cameron Summerson

Men det är inte bara ett problem på grund av det aktuella problemet. Detta är en dynamisk problem som är en konstant oro—eller åtminstone bör det vara. Så länge som det finns nya sårbarheter, försenade uppdateringar kommer alltid att vara ett problem. Så, för att sätta det i enklare termer: det kommer alltid att vara ett problem eftersom sårbarheter garanteras.

Medan Android i “fragmentering” har länge varit ett problem (eftersom plattform introducerades, i huvudsak) när det gäller fullt OS-uppdateringar, detta bör inte gälla för säkerhetsuppdateringar. Dessa är inte “nya funktioner är cool, och jag vill ha dem” – uppdateringar, dessa är viktiga uppgifter-att skydda uppdateringar. Oavsett om de är små eller inte, detta är inte något som bör förbises av alla konsumenter. Någonsin.

RELATERAT: Fragmentering inte androids Fel, Det är Tillverkarnas

För närvarande tillverkare gör ett fruktansvärt jobb att skydda sina användare, full stop. Samtidigt som den inte får full OS-uppdateringar (eller ens peka utgåvor) är irriterande på bästa, att inte få säkerhetsuppdateringar är oacceptabelt. Det sänder ett budskap som inte kan ignoreras: det står att telefonen tillverkare inte bryr sig om dina data. Din information är inte tillräckligt viktig för dem för att skydda.

Säkerhetsuppdateringar är inte stort som full OS-uppdateringar eller ens punktutgåvor. De publiceras varje månad av Google, så de är mycket mindre och lättare att grädda i systemet—även för andra tillverkare. Återigen, det är ingen riktig ursäkt för att inte göra detta till en prioriterad fråga.

Förra året Google gjort det krävs att tillverkarna erbjuder minst två år av uppdateringar för handenheter. (Pixel telefoner är garanterad att få tre år.) Problemet med det? Det bara kräver “minst fyra” uppdateringar inom ett år. Det är kvartalsvis, inte varje månad—och det är precis vad de flesta tillverkare gör. Minimum. Och det är bara inte tillräckligt bra.

Varför? Eftersom nya sårbarheter utsätts hela tiden. Jag vill inte att mina uppgifter för att kunna äventyras medan jag vänta på min telefonens tillverkare för att få runt till matlagning upp tre månader till ett värde av korrigeringar i en update—jag vill ha dem så snart som Google släpper dem, och att du också bör göra det.

Detta PNG sårbarhet är bara ett exempel. Månad efter månad har dessa typer av problem upptäcks, och med de flesta tillverkare att trycka ut uppdateringar månader senare, som lämnar din data som utsätts för mycket längre tid än vad som är acceptabelt.

Medan jag önskar att det fanns ett enkelt svar på hur man löser detta, tyvärr, det finns inte. Tills tillverkare börjar ta din info mer på allvar, det är bara ett riktigt svar: köp en annan telefon. Apple och Google har ideligen visat att de bryr sig om användarnas data, så iPhone och Pixel telefoner är både utmärkt val för användare som vill göra allt de kan för att skydda sina data.

Som kliché som det låter (och jag är ärligt talat trött på att höra det): är det dags att rösta med plånboken. Inte köpa telefoner från tillverkare som inte bryr sig om dina data. Det är det enda sättet de kommer att veta att detta är allvarligt.