Androidin todellinen turvallisuusongelma on valmistajat
Jos käytät Google Pixel -kuuloketta, puhelimesi on turvallinen tietoturva-aukosta, joka voi antaa PNG-tiedoston täysin hylätä järjestelmän. Jos käytät lähes mitä tahansa muuta Android-laitetta, puhelin on haavoittuva. Tämä on ongelma.
Google julkaisi äskettäin helmikuun tietoturvapäivityksen Pixel-laitteille, joka sulkee reiän, joka sallii haittaohjelmien PNG-tiedostojen "suorittaa mielivaltaisen koodin etuoikeutetun prosessin yhteydessä." Yksinkertaisemmin sanottuna koodi voi toimia korkealla tasolla ja varastaa info-kaikki sinun tarvitsee vain avata tiedosto. Se siitä.
Tämä tarkoittaa, että mikä tahansa PNG, joka tulee sinuun sähköpostitse, viestintäasiakkaan tai jopa yli MMS: n, voi mahdollisesti kaapata järjestelmän ja varastaa arvokkaita tietoja. Eli missä tahansa puhelimessa, joka ei ole Pixel, koska ne ovat nyt suojattuja. Samsung, LG, OnePlus ja useimpien muiden valmistajien puhelimet ovat edelleen alttiita tähän virheeseen. Meidän on aloitettava valmistajien pitäminen korkeammalle tasolle, kun kyse on tietoturvapäivityksistä. aika.
Minulla on tällä hetkellä neljä Android-puhelinta käden ulottuvilla: Pixel 2 XL, Pixel 1, Samsung Galaxy S9 ja OnePlus 6T. Kaksi pikseliä on korjattu ja suojattu helmikuun päivityksellä, mutta S9 ja 6T ovat vain joulukuu tietoturvakorjauksia. Tämä tarkoittaa, että uudemmat haavoittuvuudet, kuten tämä PNG, ovat esimerkiksi irrotettuja molemmista näistä puhelimista. Koska Samsung Galaxy -laitteet ovat planeetan suosituimpia puhelimia, tämä on huolestuttavaa.
Cameron SummersonMutta se ei ole vain ongelma nykyisen ongelman takia. Tämä on dynaaminen ongelma, joka on jatkuva huolenaihe tai ainakin sen pitäisi olla. Niin kauan kuin on uusia haavoittuvuuksia, viivästetyt tietoturvapäivitykset ovat aina ongelma. Niinpä tämä on yksinkertaisempi: tämä on aina ongelma, koska haavoittuvuudet ovat taattuja.
Vaikka Androidin "pirstoutuminen" on jo pitkään ollut ongelma (koska alusta otettiin käyttöön lähinnä), kun kyse on täydellisestä käyttöjärjestelmän päivityksestä, tämän pitäisi olla ei sovelletaan tietoturvapäivityksiin. Nämä eivät ole "uusia ominaisuuksia ovat viileitä, ja haluan niiden päivitykset", nämä ovat tärkeitä tietosuojapäivityksiä. Riippumatta siitä, ovatko he pieniä vai eivät, kuluttaja ei pidä unohtaa tätä. Koskaan.
Tällä hetkellä valmistajat tekevät hirvittävää työtä suojellakseen käyttäjiä, pysähtymättä. Vaikka ei saada täydellisiä käyttöjärjestelmän päivityksiä (tai jopa pistetiedostoja), se on parhaimmillaan ärsyttävää, mutta tietoturvapäivitysten saaminen ei ole hyväksyttävää. Se lähettää viestin, jota ei voi jättää huomiotta: puhelimen valmistaja ei välitä tietojasi. Tietosi eivät ole tarpeeksi tärkeitä niiden suojaamiseksi.
Tietoturvapäivitykset eivät ole suuria, kuten koko käyttöjärjestelmän päivitykset tai jopa pistemääritykset. Google julkaisee ne kuukausittain, joten ne ovat paljon pienempiä ja helpompia leipoa järjestelmään jopa kolmansien osapuolten valmistajille. Jälleen ei ole mitään todellista tekosyytä olla tekemättä tätä prioriteettia.
Viime vuonna Google teki tarpeelliseksi, että valmistajat tarjoavat vähintään kaksi vuotta käsipuhelinten tietoturvapäivityksiä. (Pixel-puhelimilla on taatusti kolme vuotta). Se vaatii vain "vähintään neljä" päivitystä vuoden kuluessa. se on neljännesvuosittain, ei kuukausittain - ja se on juuri sitä, mitä useimmat valmistajat tekevät. Vähimmäismäärä. Ja se ei ole vain tarpeeksi hyvä.
Miksi? Koska uusia haavoittuvuuksia paljastetaan koko ajan. En halua, että tietoni vaarantuvat, kun odotan, että puhelimen valmistaja pääsee kiertämään kolmen kuukauden arvosta tietoturvakorjauksia yhdessä päivityksessä - haluan ne heti, kun Google julkaisee ne, ja sinun pitäisi myös.
Tämä PNG-haavoittuvuus on oikea yksi esimerkki. Kuukausittain kuukausittain nämä ongelmatyypit löydetään ja useimmat valmistajat työntävät tietoturvapäivityksiä kuukausia myöhemmin, jolloin tietosi paljastuvat paljon pidempään kuin on hyväksyttävä.
Vaikka toivon, että olisi helppo vastata siihen, miten tämä korjataan, valitettavasti ei ole. Ennen kuin valmistajat alkavat ottaa tietojasi vakavammin, on vain yksi todellinen vastaus: osta toinen puhelin. Apple ja Google ovat rutiininomaisesti osoittaneet, että he pitävät huolta käyttäjien tiedoista, joten iPhone- ja Pixel-puhelimet ovat molemmat erinomaisia valintoja käyttäjille, jotka haluavat tehdä kaikkensa suojellakseen tietojaan.
Kuten kliseinä, kuten se kuulostaa (ja olen rehellisesti sairas kuulemasta): on aika äänestää lompakon kanssa. Älä osta puhelimia valmistajilta, jotka eivät välitä tiedoista. Se on ainoa tapa, jolla he tietävät, että tämä on vakavaa.