Το πραγματικό πρόβλημα ασφάλειας του Android είναι οι κατασκευαστές
Αν χρησιμοποιείτε ακουστικό Google Pixel, το τηλέφωνό σας είναι ασφαλές από μια τρύπα ασφαλείας που θα μπορούσε να αφήσει ένα αρχείο PNG να καταστρέψει εντελώς το σύστημα. Εάν χρησιμοποιείτε σχεδόν οποιοδήποτε άλλο κινητό τηλέφωνο Android, τότε το τηλέφωνό σας είναι ευάλωτο. Αυτό είναι πρόβλημα.
Η Google κυκλοφόρησε πρόσφατα την ενημερωμένη έκδοση ασφάλειας Φεβρουαρίου για συσκευές Pixel, η οποία κλείνει μια τρύπα που θα επέτρεπε σε κακόβουλα αρχεία PNG να "εκτελούν αυθαίρετους κώδικες στο πλαίσιο μιας προνομιακής διαδικασίας". Με απλούστερους όρους ο κώδικας μπορεί να τρέξει σε υψηλό επίπεδο και να κλέψει info-μόνο που πρέπει να κάνετε είναι να ανοίξετε το αρχείο. Αυτό είναι.
Αυτό σημαίνει ότι κάθε PNG που έρχεται σε εσάς - είτε σε ένα ηλεκτρονικό ταχυδρομείο, είτε σε έναν πελάτη ανταλλαγής μηνυμάτων ή ακόμη και μέσω MMS - θα μπορούσε ενδεχομένως να πειραματιστεί το σύστημα και να κλέψει πολύτιμα δεδομένα. Δηλαδή σε οποιοδήποτε τηλέφωνο που δεν είναι Pixel, επειδή προστατεύονται τώρα. Τα τηλέφωνα της Samsung, LG, OnePlus και των περισσότερων άλλων κατασκευαστών εξακολουθούν να είναι ευαίσθητα σε αυτό το σφάλμα. Πρέπει να αρχίσουμε να κρατάμε τους κατασκευαστές σε υψηλότερο επίπεδο όταν πρόκειται για ενημερώσεις ασφαλείας. Περίοδος.
Επί του παρόντος, έχω τέσσερα τηλέφωνα Android που είναι εύκολα προσβάσιμα: Pixel 2 XL, Pixel 1, Samsung Galaxy S9 και OnePlus 6T. Τα δύο εικονοστοιχεία είναι επιδιορθωμένα και προστατεύονται με την ενημέρωση Φεβρουαρίου, αλλά τα S9 και 6T είναι μόνο στο Δεκέμβριος patches ασφαλείας. Αυτό σημαίνει ότι τυχόν νεώτερα τρωτά σημεία - όπως αυτό το PNG, παραδείγματος χάριν - δεν έχουν παγιδευτεί και στις δύο αυτές συσκευές. Λαμβάνοντας υπόψη ότι οι συσκευές Samsung Galaxy είναι από τα πιο δημοφιλή τηλέφωνα του πλανήτη, αυτό είναι ανησυχητικό.
Cameron SummersonΑλλά δεν είναι μόνο ένα ζήτημα λόγω του τρέχοντος προβλήματος. Πρόκειται για ένα δυναμικό πρόβλημα που αποτελεί συνεχή ανησυχία - ή τουλάχιστον θα έπρεπε να είναι. Όσο υπάρχουν νέες ευπάθειες, οι καθυστερημένες ενημερώσεις ασφαλείας θα είναι πάντα ένα ζήτημα. Έτσι, για να το θέσουμε με απλούστερους όρους: αυτό θα είναι πάντα ένα ζήτημα, επειδή τα τρωτά σημεία είναι εγγυημένα.
Ενώ το "κατακερματισμό" του Android είναι από καιρό ένα πρόβλημα (δεδομένου ότι η πλατφόρμα εισήχθη, ουσιαστικά) όταν πρόκειται για ενημερώσεις πλήρους λειτουργικού συστήματος, αυτό θα έπρεπε δεν ισχύουν για τις ενημερώσεις ασφαλείας. Αυτά δεν είναι "νέα χαρακτηριστικά γνωρίσματα είναι δροσερά, και τα θέλω" ενημερώσεις, αυτές είναι ζωτικής σημασίας ενημερώσεις προστασίας δεδομένων. Ανεξάρτητα από το εάν είναι μικρές ή όχι, αυτό δεν είναι κάτι που πρέπει να αγνοηθεί από οποιονδήποτε καταναλωτή. Πάντα.
Επί του παρόντος, οι κατασκευαστές κάνουν μια φοβερή δουλειά για την προστασία των χρηστών τους, την πλήρη στάση. Παρόλο που δεν λαμβάνετε πλήρεις ενημερώσεις λειτουργικού συστήματος (ή ακόμα και κυκλοφορίες σημείων) είναι ενοχλητικό στην καλύτερη περίπτωση, η λήψη ενημερώσεων ασφαλείας δεν είναι απαράδεκτη. Στέλνει ένα μήνυμα που δεν μπορεί να αγνοηθεί: λέει ότι ο κατασκευαστής του τηλεφώνου σας δεν ενδιαφέρεται για τα δεδομένα σας. Οι πληροφορίες σας δεν είναι αρκετά σημαντικές για να προστατεύσουν.
Οι ενημερώσεις ασφαλείας δεν είναι τεράστιες, όπως ενημερώσεις πλήρους λειτουργικού συστήματος ή ακόμα και απελευθερώσεις σημείων. Απελευθερώνονται κάθε μήνα από την Google, γι 'αυτό είναι πολύ μικρότερες και πιο εύκολο να ψήνουν στο σύστημα - ακόμη και για τρίτους κατασκευαστές. Και πάλι, δεν υπάρχει πραγματική δικαιολογία για να μην γίνει αυτό προτεραιότητα.
Πέρυσι, η Google κατέστησε απαραίτητη την παροχή τουλάχιστον δύο ετών ενημερώσεων ασφαλείας για τους φορητούς υπολογιστές. (Τα τηλέφωνα Pixel είναι εγγυημένα για να πάρουν τρία χρόνια.) Το θέμα με αυτό; Απαιτεί μόνο "τουλάχιστον τέσσερις" ενημερώσεις εντός ενός έτους. Αυτό είναι τριμηνιαίος, όχι μηνιαία - και είναι ακριβώς αυτό που κάνουν οι περισσότεροι κατασκευαστές. Το ελάχιστο. Και δεν είναι αρκετά καλό.
Γιατί; Επειδή τα νέα τρωτά σημεία εκτίθενται συνεχώς. Δεν θέλω να διακυβεύσω τα δεδομένα μου, ενώ περιμένω να έρθει ο κατασκευαστής του τηλεφώνου μου για να μαγειρέψουν έως και 3 μήνες για να διορθωθούν οι επιδιορθώσεις ασφαλείας σε μία ενημερωμένη έκδοση - τα θέλω μόλις τα απελευθερώσει η Google και θα πρέπει επίσης.
Αυτή η ευπάθεια PNG είναι απλή ένας παράδειγμα. Μήνας μετά το μήνα ανακαλύπτονται αυτοί οι τύποι ζητημάτων και με τους περισσότερους κατασκευαστές που προωθούν τις ενημερώσεις ασφαλείας μήνες αργότερα, αφήνουν τα δεδομένα σας εκτεθειμένα για πολύ μεγαλύτερο χρονικό διάστημα από ότι είναι αποδεκτό.
Ενώ θα ήθελα να υπάρχει μια εύκολη απάντηση για το πώς να το διορθώσετε αυτό, δυστυχώς, δεν υπάρχει. Μέχρι να αρχίσουν οι κατασκευαστές να λάβουν τις πληροφορίες σας πιο σοβαρά, υπάρχει μόνο μία πραγματική απάντηση: αγοράστε ένα διαφορετικό τηλέφωνο. Η Apple και η Google έχουν αποδεδειγμένα αποδεδειγμένα ότι ενδιαφέρονται για τα δεδομένα των χρηστών, έτσι τα iPhone και τα Pixel είναι εξαιρετικές επιλογές για τους χρήστες που θέλουν να κάνουν ό, τι μπορούν για να προστατεύσουν τα δεδομένα τους.
Όπως κλισέ όπως ακούγεται (και είμαι ειλικρινά άρρωστος να το ακούω): ήρθε η ώρα να ψηφίσετε με το πορτοφόλι σας. Μην αγοράζετε τηλέφωνα από κατασκευαστές που δεν ενδιαφέρονται για τα δεδομένα σας. Αυτός είναι ο μόνος τρόπος που θα ξέρουν ότι αυτό είναι σοβαρό.