Masalah Keselamatan Sebenar Android adalah Pengilang
Jika anda menjalankan telefon bimbit Google Pixel, telefon anda selamat dari lubang keselamatan yang boleh membiarkan fail PNG sepenuhnya menghancurkan sistem. Jika anda menggunakan hampir semua telefon bimbit Android yang lain, maka telefon anda terdedah. Ini masalah.
Google baru-baru ini mengeluarkan kemas kini keselamatan Februari untuk peranti Pixel, yang menutup lubang yang membolehkan fail PNG berniat jahat untuk "melaksanakan kod sewenang-wenang dalam konteks proses yang istimewa." Dalam istilah yang lebih mudah, kod tersebut boleh berjalan pada tahap yang tinggi dan mencuri info-semua yang perlu anda lakukan ialah membuka fail. Itu sahaja.
Ini bermakna mana-mana PNG yang datang kepada anda-sama ada dalam e-mel, pelanggan pesanan, atau bahkan lebih dari MMS-boleh berpotensi merampas sistem dan mencuri data berharga. Iaitu, pada mana-mana telefon yang bukan Pixel, kerana ia dilindungi sekarang. Samsung, LG, OnePlus, dan kebanyakan pengeluar telefon bimbit masih terdedah kepada bug ini. Kita perlu mula mengendalikan pengeluar ke tahap yang lebih tinggi apabila datang ke kemas kini keselamatan. Tempoh.
Pada masa ini, saya mempunyai empat telefon Android dalam jangkauan lengan: Pixel 2 XL, Pixel 1, Samsung Galaxy S9, dan OnePlus 6T. Kedua-dua Pixels ditampal dan dilindungi dengan kemas kini Februari, tetapi S9 dan 6T hanya berada di Disember patch keselamatan. Ini bermakna mana-mana kelemahan yang lebih baru-seperti PNG ini, sebagai contoh-tidak terpakai pada kedua-dua telefon bimbit ini. Memandangkan peranti Samsung Galaxy adalah antara telefon yang paling popular di planet ini, ini menyusahkan.
Cameron SummersonTetapi ia bukan masalah kerana masalah semasa. Ini adalah masalah dinamik yang menjadi kebimbangan berterusan-atau sekurang-kurangnya harusnya. Selagi terdapat kelemahan baru, perkembangan keselamatan yang tertunda akan selalu menjadi masalah. Jadi, untuk meletakkannya dalam istilah yang lebih mudah: ini akan menjadi isu kerana kelemahan terjamin.
Walaupun "pemecahan" Android telah lama menjadi isu (sejak platform diperkenalkan, pada dasarnya) ketika datang ke kemas kini OS penuh, ini harus tidak terpakai untuk kemas kini keselamatan. Ini bukan "ciri baru yang sejuk, dan saya mahu mereka" kemas kini, ini adalah maklumat penting yang melindungi data. Tidak kira sama ada mereka kecil atau tidak, ini bukan sesuatu yang harus diabaikan oleh mana-mana pengguna. Pernah.
Pada masa ini, pengeluar melakukan kerja yang dahsyat untuk melindungi pengguna mereka, berhenti penuh. Walaupun tidak mendapat kemas kini OS penuh (atau pun mengeluarkan siaran) adalah menjengkelkan yang terbaik, tidak mendapat kemas kini keselamatan tidak dapat diterima. Ia menghantar mesej yang tidak boleh diabaikan: ia mengatakan bahawa pengeluar telefon anda tidak peduli dengan data anda. Maklumat anda tidak cukup penting bagi mereka untuk melindungi.
Kemas kini keselamatan tidak besar seperti kemas kini OS penuh atau pun mengeluarkan siaran. Mereka dilancarkan secara bulanan oleh Google, jadi mereka lebih kecil dan lebih mudah untuk membakar sistem itu-walaupun untuk pengeluar pihak ketiga. Sekali lagi, tidak ada alasan sebenar untuk tidak menjadikan keutamaan ini.
Tahun lalu Google telah membuat persediaan bahawa pengeluar menawarkan sekurang-kurangnya dua tahun kemas kini keselamatan untuk telefon bimbit. (Telefon Pixel dijamin mendapat tiga tahun.) Isu dengan itu? Ia hanya memerlukan "sekurang-kurangnya empat" kemas kini dalam tempoh setahun. Itu suku tahunan, bukan bulanan-dan itu adalah apa yang kebanyakan pengeluar lakukan. Terbatas minimum. Dan ia tidak cukup baik.
Mengapa? Kerana kelemahan baru terdedah sepanjang masa. Saya tidak mahu data saya berpotensi dikompromikan sementara saya menunggu pengilang telefon saya untuk berkeliling untuk memasak pembaikan keselamatan bernilai tiga bulan dalam satu kemas kini-saya mahu mereka sebaik sahaja Google melepaskannya, dan anda juga harus.
Kelemahan PNG ini adil satu contohnya. Bulan demi bulan isu-isu jenis ini ditemui, dan dengan kebanyakan pengeluar menolak kemas kini keselamatan beberapa bulan kemudian, yang meninggalkan data anda terdedah lebih lama daripada yang dapat diterima.
Walaupun saya ingin ada jawapan yang mudah mengenai bagaimana untuk membaikinya, malangnya, tidak ada. Sehingga pengilang mula mengambil maklumat anda lebih serius, hanya ada satu jawapan yang sebenar: membeli telefon yang berbeza. Apple dan Google secara rutin membuktikan bahawa mereka mengambil berat tentang data pengguna, jadi iPhone dan Pixel adalah pilihan kedua-duanya sangat baik untuk pengguna yang ingin melakukan segala yang mereka dapat untuk melindungi data mereka.
Sebagai klise seperti bunyi (dan saya benar-benar sakit mendengarnya): sudah tiba masanya untuk mengundi dengan dompet anda. Jangan beli telefon dari pengeluar yang tidak peduli dengan data anda. Itulah satu-satunya cara mereka tahu ini adalah serius.