Android s verkliga säkerhetsproblem är tillverkarna
Om du kör en Google Pixel-handenhet är telefonen säker från ett säkerhetshål som kan låta en PNG-fil fullständigt försvaga systemet. Om du använder nästan alla andra Android-telefoner är din telefon sårbar. Det här är ett problem.
Google släppte nyligen säkerhetsuppdateringen i februari för Pixel-enheter, som stänger ett hål som gör att skadliga PNG-filer kan "utföra godtycklig kod i samband med en privilegierad process". I enklare termer kan koden köras på en hög nivå och stjäla din info-allt du behöver göra är att öppna filen. Det är allt.
Det betyder att PNG som kommer till dig - vare sig det är i ett e-postmeddelande, en meddelandeklient eller till och med över MMS - kan eventuellt kapa systemet och stjäla värdefulla data. Det är på alla telefoner som inte är en Pixel, eftersom de är skyddade nu. Samsung, LG, OnePlus och de flesta andra tillverkares telefoner är fortfarande känsliga för denna bugg. Vi måste börja hålla tillverkarna till en högre standard när det gäller säkerhetsuppdateringar. Period.
Jag har för närvarande fyra Android-telefoner inom räckhåll: Pixel 2 XL, Pixel 1, Samsung Galaxy S9 och OnePlus 6T. De två pixlarna är patchade och skyddade med februariuppdateringen, men S9 och 6T är bara på december säkerhetsfläckar. Det betyder att alla nyare sårbarheter - som den här PNG-en, till exempel - är oförändrade på båda dessa telefoner. Med tanke på att Samsung Galaxy-enheter är bland de mest populära telefonerna på planeten är detta oroväckande.
Cameron SummersonMen det är inte bara ett problem på grund av det aktuella problemet. Detta är ett dynamiskt problem som är en konstant oro - eller åtminstone borde det vara. Så länge som det finns nya sårbarheter är fördröjda säkerhetsuppdateringar alltid ett problem. Så, för att uttrycka det i enklare termer: Detta kommer alltid att vara ett problem eftersom sårbarheter garanteras.
Medan Android "fragmentering" länge varit ett problem (eftersom plattformen introducerades, i huvudsak) när det gäller fullständiga OS-uppdateringar, borde detta inte gäller säkerhetsuppdateringar. Det här är inte "nya funktioner är coola, och jag vill ha dem" uppdateringar, det här är viktiga dataskyddande uppdateringar. Oavsett om de är små eller inte, är det inte något som bör förbises av någon konsument. Någonsin.
För närvarande gör tillverkare ett hemskt jobb för att skydda sina användare, fullstopp. Även om inte fullständiga OS-uppdateringar (eller till och med punktutgåvor) är irriterande i bästa fall är det inte oacceptabelt att få säkerhetsuppdateringar. Det skickar ett meddelande som inte kan ignoreras: det står att din telefonproducent inte bryr sig om dina uppgifter. Din information är inte tillräckligt viktig för att de ska skydda.
Säkerhetsuppdateringar är inte stora som fullständiga OS-uppdateringar eller till och med punktutgåvor. De släpps varje månad av Google, så de är mycket mindre och lättare att baka in i systemet - även för tillverkare från tredje part. Återigen finns det ingen verklig ursäkt för att inte prioritera detta.
Förra året gjorde Google det nödvändigt att tillverkarna erbjuder minst två års säkerhetsuppdateringar för telefoner. (Pixel-telefoner garanteras att få tre år.) Problemet med det? Det kräver bara "minst fyra" uppdateringar inom ett år. det är kvartals, inte månadsvis - och det är precis vad de flesta tillverkare gör. Det minsta minimumet. Och det är bara inte tillräckligt bra.
Varför? Eftersom nya sårbarheter exponeras hela tiden. Jag vill inte att mina data ska kunna komma att äventyras, medan jag väntar på att min telefons tillverkare ska komma runt för att laga upp tre månaders värde av säkerhetsskorrigeringar i en uppdatering. Jag vill ha dem så snart Google släpper ut dem, och du borde också.
Denna PNG-sårbarhet är bara ett exempel. Månad efter månad upptäcks dessa typer av problem, och med de flesta tillverkare som trycker ut säkerhetsuppdateringar månader senare lämnar dina data mycket längre tid än vad som är acceptabelt.
Medan jag önskar fanns det ett enkelt svar på hur man åtgärdar detta, tyvärr finns det inte. Innan tillverkare börjar ta din information mer seriöst, finns det bara ett riktigt svar: köp en annan telefon. Apple och Google har rutinmässigt bevisat att de bryr sig om användarnas data, så iPhone och Pixel-telefoner är båda utmärkta val för användare som vill göra allt de kan för att skydda sina data.
Som kliché som det låter (och jag är ärligt hört av att höra det): det är dags att rösta med din plånbok. Köp inte telefoner från tillverkare som inte bryr sig om dina data. Det är det enda sättet de kommer att få veta detta är allvarligt.