Android reālā drošības problēma ir ražotāji
Ja izmantojat Google Pixel klausuli, tālrunis ir drošs no drošības cauruma, kas ļautu PNG failam pilnībā iznīcināt sistēmu. Ja izmantojat gandrīz jebkuru citu Android klausuli, tālrunis ir neaizsargāts. Tā ir problēma.
Google nesen izlaida februāra drošības atjauninājumu Pixel ierīcēm, kas aizver caurumu, kas ļaunprātīgiem PNG failiem ļautu "izpildīt patvaļīgu kodu priviliģēta procesa kontekstā." Vienkāršāk sakot, kods var darboties augstā līmenī un nozagt jūsu info-viss, kas jums jādara, ir atvērt failu. Tieši tā.
Tas nozīmē, ka jebkurš PNG, kas nonāk pie jums e-pastā, ziņojumapmaiņas klienta vai pat vairāk nekā MMS, varētu potenciāli nolaupīt sistēmu un nozagt vērtīgus datus. Tas ir, jebkurā tālrunī, kas nav Pixel, jo viņi tagad ir aizsargāti. Samsung, LG, OnePlus un vairums citu ražotāju tālruņi joprojām ir jutīgi pret šo kļūdu. Mums ir jāsāk ražotāji turēt augstāku standartu, kad runa ir par drošības atjauninājumiem. Periods.
Man šobrīd ir četri Android tālruņi, kas sasniedz rokas: Pixel 2 XL, Pixel 1, Samsung Galaxy S9 un OnePlus 6T. Abi pikseļi ir patched un aizsargāti ar februāra atjauninājumu, bet S9 un 6T ir tikai Decembrī drošības ielāpi. Tas nozīmē, ka jebkura jaunāka ievainojamība, piemēram, šī PNG viena, tiek noņemta abos šajos telefonos. Ņemot vērā, ka Samsung Galaxy ierīces ir vieni no populārākajiem tālruņiem pasaulē, tas ir satraucošs.
Cameron SummersonBet tā nav tikai problēma pašreizējās problēmas dēļ. Tā ir dinamiska problēma, kas ir pastāvīga problēma vai vismaz tā būtu. Kamēr ir jaunas ievainojamības, aizkavētie drošības atjauninājumi vienmēr būs problēma. Tātad, lai to izdarītu vienkāršāk, tas vienmēr būs problēma, jo tiek garantētas ievainojamības.
Kamēr Android „sadrumstalotība” jau sen ir bijusi problēma (jo platforma tika ieviesta būtībā), kad runa ir par pilniem OS atjauninājumiem, tas būtu ne attiecas uz drošības atjauninājumiem. Tie nav „jauni līdzekļi ir atdzist, un es vēlos tos atjaunināt”, tie ir svarīgi datu aizsardzības atjauninājumi. Neatkarīgi no tā, vai viņi ir mazi vai nē, neviens patērētājs nevajadzētu aizmirst. Kādreiz.
Pašlaik ražotāji dara briesmīgu darbu, lai aizsargātu savus lietotājus, pilnībā apstājoties. Kaut arī nesaņemat pilnu OS atjauninājumus (vai pat punktu izlaidumus), tas vislabāk ir kaitinoši, bet drošības atjauninājumu saņemšana nav pieņemama. Tā nosūta ziņojumu, kuru nevar ignorēt: tā norāda, ka jūsu tālruņa ražotājs neuztraucas par jūsu datiem. Jūsu informācija nav pietiekami svarīga, lai aizsargātu.
Drošības atjauninājumi nav milzīgi, piemēram, pilni OS atjauninājumi vai pat punktu izlaidumi. Google katru mēnesi tos izlaiž, tāpēc viņi ir daudz mazāki un vieglāk cept sistēmā, pat trešo pušu ražotājiem. Atkal, nav reālu attaisnojumu, lai to nedarītu par prioritāti.
Pagājušajā gadā Google pieprasīja, lai ražotāji piedāvātu vismaz divus gadus tālruņu drošības atjauninājumus. (Pixel telefoniem tiek garantēts trīs gadu ilgs laiks). Tam ir nepieciešami tikai “vismaz četri” atjauninājumi gada laikā. Tas ir reizi ceturksnī, ne reizi mēnesī, un tas ir tieši tas, ko dara vairums ražotāju. Minimālais minimums. Un tas vienkārši nav pietiekami labs.
Kāpēc? Tā kā jaunas neaizsargātības ir pakļautas visu laiku. Es nevēlos, lai mani dati tiktu potenciāli apdraudēti, kamēr es gaidīšu, lai tālruņa ražotājs nokļūtu līdz trīs mēnešu vērtībai, kas saistīta ar drošības uzlabojumiem vienā atjauninājumā - es to gribu, tiklīdz Google tos izlaidīs, un jums arī vajadzētu.
Šī PNG ievainojamība ir taisnīga vienu piemērs. Mēnesi pēc mēneša šie atrisinājumi tiek atrasti, un vairums ražotāju, kas vēlāk izdzēš drošības atjauninājumus, atstāj jūsu datus daudz ilgāk, nekā tas ir pieņemams.
Lai gan es vēlos, lai būtu vienkārša atbilde par to, kā to novērst, diemžēl nav. Līdz brīdim, kad ražotāji sāk lietot jūsu informāciju nopietnāk, ir tikai viena reāla atbilde: nopirkt citu tālruni. Apple un Google ir regulāri pierādījuši, ka viņi rūpējas par lietotāju datiem, tāpēc iPhone un Pixel tālruņi ir gan lieliska izvēle lietotājiem, kuri vēlas darīt visu iespējamo, lai aizsargātu savus datus.
Kā klišeja, kā tas izklausās (un es esmu godīgi slims to dzirdēt): ir pienācis laiks balsot ar savu maku. Nepērciet tālruņus no ražotājiem, kas nerūp jūsu datus. Tas ir vienīgais veids, kā viņi zinās, ka tas ir nopietns.