Hvis du kører et Google Pixel-håndsæt, er din telefon sikker fra et sikkerhedshul, der kan lade en PNG-fil ødelægge systemet fuldstændigt . Hvis du bruger næsten ethvert andet Android-håndsæt, er din telefon sårbar. Dette er et problem.
Google for nylig frigav februar-sikkerhedsopdateringen til Pixel-enheder , som lukker et hul, der gør det muligt for ondsindede PNG-filer at "udføre vilkårlig kode inden for rammerne af en privilegeret proces." I enklere termer kan koden køre på et højt niveau og stjæle din info - alt hvad du skal gøre er at åbne filen. Det er det.
Det betyder, at enhver PNG, der kommer til dig - det være sig i en e-mail, en messaging-klient eller endda over MMS - kan muligvis kapre systemet og stjæle værdifulde data. Det vil sige på enhver telefon, der ikke er en Pixel, fordi de er beskyttet nu. Samsung, LG, OnePlus og de fleste andre producenters håndsæt er stadig modtagelige for denne fejl. Vi skal begynde at holde producenterne på en højere standard, når det kommer til sikkerhedsopdateringer. Periode.
Jeg har i øjeblikket fire Android-telefoner inden for rækkevidde: Pixel 2 XL, Pixel 1, Samsung Galaxy S9 og OnePlus 6T. De to pixels er patched og beskyttet med februaropdateringen, men S9 og 6T er kun på sikkerhedsrettelser. Det betyder, at alle nyere sårbarheder - som f.eks. Denne PNG-ene - ikke sendes på begge disse håndsæt. I betragtning af at Samsung Galaxy-enheder er blandt de mest populære telefoner på planeten, er dette bekymrende.
Men det er ikke kun et problem på grund af det nuværende problem. Dette er et dynamisk problem, der er et konstant problem - eller i det mindste burde det være. Så længe der er nye sårbarheder, vil forsinkede sikkerhedsopdateringer altid være et problem. Så for at sige det i enklere termer: dette vil altid være et problem, fordi sårbarheder er garanteret.
Mens Android “fragmenterer” har længe været et problem (siden platformen i det væsentlige blev introduceret) når det kommer til fuld OS-opdateringer, skulle dette ikke gælder for sikkerhedsopdateringer. Disse er ikke "nye funktioner er seje, og jeg vil have dem" opdateringer, disse er vigtige databeskyttende opdateringer. Uanset om de er små eller ej, er dette ikke noget, der skal overses af enhver forbruger. Nogensinde.
RELATEREDE: Fragmentering er ikke Android's fejl, det er producenternes
I øjeblikket laver producenterne et forfærdeligt job med at beskytte deres brugere, punktum. Selvom det ikke er irriterende at få fulde OS-opdateringer (eller endda punktudgivelser), er det ikke acceptabelt at få sikkerhedsopdateringer. Den sender en besked, der ikke kan ignoreres: den siger, at din telefonproducent ikke er ligeglad med dine data. Dine oplysninger er ikke vigtige nok til, at de kan beskytte.
Sikkerhedsopdateringer er ikke enorme som fulde OS-opdateringer eller endda punktudgivelser. De udgives månedligt af Google, så de er meget mindre og lettere at bage i systemet - selv for tredjepartsproducenter. Igen er der ingen reel undskyldning for ikke at gøre dette til en prioritet.
Sidste år gjorde Google det nødvendigt producenter tilbyder mindst to års sikkerhedsopdateringer til håndsæt. (Pixel-telefoner får garanteret tre år.) Problemet med det? Det kræver kun "mindst fire" opdateringer inden for et år. Det er kvartalsvis , ikke månedligt - og det er præcis, hvad de fleste producenter laver. Det absolutte minimum. Og det er bare ikke godt nok.
Hvorfor? Fordi nye sårbarheder udsættes hele tiden. Jeg ønsker ikke, at mine data potentielt bliver kompromitteret, mens jeg venter på, at min telefons producent skal komme i gang med at tilberede tre måneders sikkerhedsløsninger i en opdatering - jeg vil have dem, så snart Google frigiver dem, og det skal du også.
Denne PNG-sårbarhed er retfærdig eksempel. Måned efter måned opdages disse typer problemer, og da de fleste producenter skubber sikkerhedsopdateringer ud måneder senere, bliver dine data eksponeret meget længere end acceptabelt.
Selvom jeg ønsker, at der var et let svar på, hvordan man løser dette, er det desværre ikke. Indtil producenterne begynder at tage dine oplysninger mere alvorligt, er der kun et rigtigt svar: Køb en anden telefon. Apple og Google har rutinemæssigt bevist, at de er interesserede i brugernes data, så iPhone- og Pixel-håndsæt er begge fremragende valg for brugere, der ønsker at gøre alt, hvad de kan for at beskytte deres data.
Så cliche som det lyder (og jeg er ærligt træt af at høre det): det er tid til at stemme med din tegnebog. Køb ikke telefoner fra producenter, der ikke er interesserede i dine data. Det er den eneste måde, de vil vide, at dette er alvorligt.
