Реальная проблема безопасности Android - производители

Кэмерон Саммерсон

Если вы используете трубку Google Pixel, ваш телефон защищен от дыры в безопасности, которая может позволить PNG-файлу полностью разрушить систему. Если вы используете практически любую другую трубку Android, то ваш телефон уязвим. Это проблема.

Google недавно выпустил февральское обновление безопасности для устройств Pixel, которое закрывает дыру, которая позволяла бы вредоносным файлам PNG «выполнять произвольный код в контексте привилегированного процесса». Проще говоря, код может работать на высоком уровне и украсть ваши данные. Информация-все, что вам нужно сделать, это открыть файл. это оно.

Это означает, что любой PNG, который приходит вам - будь то по электронной почте, в клиенте обмена сообщениями или даже через MMS - может потенциально взломать систему и украсть ценные данные. То есть на любом телефоне, который не является пикселем, потому что они защищены сейчас. Телефоны Samsung, LG, OnePlus и большинства других производителей по-прежнему подвержены этой ошибке. Мы должны начать поддерживать производителей на более высоком уровне, когда речь заходит об обновлениях безопасности. период.

В настоящее время у меня под рукой четыре телефона Android: Pixel 2 XL, Pixel 1, Samsung Galaxy S9 и OnePlus 6T. Эти два пикселя исправлены и защищены в февральском обновлении, но S9 и 6T только на Декабрь патчи безопасности. Это означает, что любые новые уязвимости, такие как, например, эта PNG, не исправлены на обоих этих телефонах. Учитывая, что устройства Samsung Galaxy являются одними из самых популярных телефонов на планете, это вызывает беспокойство.

Кэмерон Саммерсон

Но это не просто проблема из-за текущей проблемы. Это динамическая проблема, которая постоянно беспокоит, или, по крайней мере, так и должно быть. Пока появляются новые уязвимости, отложенные обновления безопасности всегда будут проблемой. Итак, проще говоря: это всегда будет проблемой, потому что уязвимости гарантированы.

Хотя «фрагментация» Android долгое время была проблемой (с момента появления платформы, по сути), когда дело доходит до полного обновления ОС, это должно не применить к обновлениям безопасности. Это не «новые функции - это круто, и я хочу их», это важные обновления для защиты данных. Независимо от того, являются они маленькими или нет, это не что-то, что должно быть пропущено любым потребителем. Когда-либо.

В настоящее время производители делают ужасную работу по защите своих пользователей, полностью прекратили. Хотя получение полных обновлений ОС (или даже точечных выпусков) в лучшем случае раздражает, недопустимо получать обновления безопасности. Он отправляет сообщение, которое нельзя игнорировать: он говорит, что производитель вашего телефона не заботится о ваших данных. Ваша информация недостаточно важна для их защиты.

Обновления безопасности не такие большие, как полные обновления ОС или даже точечные выпуски. Они ежемесячно выпускаются Google, поэтому их гораздо меньше, и их легче внедрить в систему, даже для сторонних производителей. Опять же, нет никаких реальных оправданий, чтобы не сделать это приоритетом.

В прошлом году Google сделал обязательным, чтобы производители предлагали как минимум два года обновлений безопасности для мобильных телефонов. (Пиксельные телефоны гарантированно получат три года.) Проблема с этим? Требуется только «минимум четыре» обновления в течение года. Это квартальный, не ежемесячно - и это именно то, что делают большинство производителей. Голый минимум. И это не достаточно хорошо.

Зачем? Потому что новые уязвимости выставляются все время. Я не хочу, чтобы мои данные были потенциально скомпрометированы, пока я жду, пока производитель моего телефона приступит к подготовке трехмесячных исправлений безопасности в одном обновлении - я хочу, чтобы они появились, как только Google выпустит их, и вы тоже должны это сделать.

Эта уязвимость PNG просто один пример. Месяц за месяцем обнаруживаются проблемы такого типа, и большинство производителей выпускают обновления безопасности несколько месяцев спустя, что оставляет ваши данные открытыми гораздо дольше, чем это допустимо.

Хотелось бы, чтобы был простой ответ, как это исправить, к сожалению, нет. Пока производители не начнут воспринимать вашу информацию более серьезно, есть только один реальный ответ: купить другой телефон. Apple и Google регулярно доказывают, что они заботятся о данных пользователей, поэтому телефоны iPhone и Pixel являются отличным выбором для пользователей, которые хотят сделать все возможное для защиты своих данных..

Как бы клише это ни звучало (а мне, честно говоря, надоело это слышать): пришло время проголосовать с вашим кошельком. Не покупайте телефоны у производителей, которые не заботятся о ваших данных. Только так они узнают, что это серьезно..