Android is het Echte veiligheidsprobleem is de Fabrikanten

0
39
Cameron Summerson

Als u een Google Pixel is een handset van uw telefoon veilig is voor een gat in de beveiliging die ervoor kunnen zorgen dat een PNG-bestand volledig wrak van het systeem. Als je met bijna elke andere Android-toestel, dan is uw telefoon is kwetsbaar. Dit is een probleem.

Google bracht onlangs de februari beveiligingsupdate voor Pixel-apparaten, die sluit een gat dat zou kunnen schadelijke PNG-bestanden naar de “willekeurige code kan uitvoeren binnen de context van een bevoorrechte proces.” In eenvoudiger bewoordingen, de code kan uitvoeren op een hoog niveau en stelen van uw info—alles wat je hoeft te doen is het openen van het bestand. Dat is het.

Dat betekent dat alle PNG dat naar je toe komt—zij het in een e-mail, een e-mail client, of zelfs via MMS—zou kunnen kapen van het systeem en stelen van waardevolle gegevens. Dat is, op een telefoon die niet van een Pixel, omdat ze nu beschermd. Samsung, LG, OnePlus, en de meeste andere fabrikanten van mobiele telefoons zijn nog steeds vatbaar voor deze bug. We hebben om te starten holding fabrikanten om een hogere norm als het gaat om security updates. Periode.

Momenteel heb ik vier Android-telefoons binnen handbereik: Pixel 2 XL, 1 Pixel, Samsung Galaxy S9, en OnePlus 6T. De twee Pixels worden hersteld en beschermd met de februari update, maar de S9 en 6T zijn alleen op de December security patches. Dat betekent dat een eventuele nieuwe kwetsbaarheden—zoals deze PNG, bijvoorbeeld—zijn niet gecorrigeerde op beide handsets. Gezien het feit dat Samsung Galaxy-apparaten zijn een van de meest populaire telefoons op de planeet, dit is verontrustend.

Cameron Summerson

Maar het is niet alleen een probleem omdat het huidige probleem. Dit is een dynamisch probleem, dat is een constante zorg—of op zijn minst moet worden. Zolang er nieuwe kwetsbaarheden, vertraagde security updates altijd een probleem. Dus, om die in eenvoudiger woorden: dit zal altijd een probleem zijn omdat kwetsbaarheden worden gegarandeerd.

Terwijl Android in “fragmentatie” is al lang een probleem (sinds het platform werd geïntroduceerd, in hoofdzaak) als het gaat om het volledige OS updates, dit moet niet van toepassing op beveiligingsupdates. Dit zijn geen “nieuwe functies zijn cool, en ik wil ze” updates, dit zijn cruciale gegevens-bescherming van de updates. Ongeacht of ze nu klein of niet, dit is niet iets dat moet worden over het hoofd gezien door de consument. Ooit.

GERELATEERD: Versnippering Is niet Android de Schuld, Het is de Fabrikanten’

Momenteel zijn de fabrikanten doen een vreselijke taak van het beschermen van hun gebruikers, full stop. Hoewel niet steeds de volledige OS-updates (of zelfs punt releases) is vervelend, niet aan de security updates is onaanvaardbaar. Stuurt een bericht dat niet kan worden genegeerd: het zegt dat uw telefoon fabrikant niet de zorg over uw gegevens. Uw informatie niet belangrijk genoeg voor hen om te beschermen.

Security-updates zijn niet groot, zoals de volledige OS-updates of zelfs tussenreleases. Ze zijn uitgebracht maandelijks door Google, dus ze zijn veel kleiner en gemakkelijker te bakken in de systeem—zelfs voor derden. Nogmaals, er is geen echt excuus om niet maken dit tot een prioriteit.

Vorig jaar is Google maakte het noodzakelijk dat fabrikanten bieden ten minste twee jaar van security updates voor mobiele telefoons. (Pixel telefoons worden gegarandeerd te krijgen van drie jaar). Het probleem met dat? Het vereist slechts “ten minste vier” updates binnen een jaar. Dat is per kwartaal, niet meer maandelijks, maar—en dat is precies wat de meeste fabrikanten doen. Het absolute minimum. En het is gewoon niet goed genoeg.

Waarom? Omdat nieuwe kwetsbaarheden worden blootgesteld alle tijd. Ik wil niet dat mijn gegevens worden mogelijk aangetast terwijl ik wacht op mijn telefoon fabrikant om rond te koken tot drie maanden ter waarde van beveiligings correcties in één update—ik wil dat ze zo snel als Google releases van hen, en je moet ook.

Deze PNG kwetsbaarheid is slechts een voorbeeld. Maand na maand deze soorten problemen worden ontdekt, en met de meeste fabrikanten duwen beveiligingsupdates maanden later, dat laat je gegevens die voor veel meer dan aanvaardbaar is.

Terwijl ik wou dat er een eenvoudig antwoord op hoe dit op te lossen, helaas, die is er niet. Tot fabrikanten beginnen te nemen van uw info serieus, er is maar één echte oplossing: koop een andere telefoon. Apple en Google hebben routinematig bewezen dat zij de zorg over de gebruikers gegevens, zodat de iPhone en Pixel handsets zijn zowel uitstekende mogelijkheden voor gebruikers die willen alles doen wat ze kunnen om hun gegevens te beschermen.

Zo cliché als het klinkt (en ik ben eerlijk gezegd ziek van het horen (hiervan): het is tijd om te stemmen met je portemonnee. Niet kopen telefoons van fabrikanten die niet de zorg over uw gegevens. Dat is de enige manier waarop ze zullen het weten, dit is ernstig.