Her er en beskidt hemmelighed: De fleste Android-enheder modtager aldrig sikkerhedsopdateringer. Femoghalvfems procent af Android-enheder kan nu kompromitteres via en MMS-besked, og det er bare den mest profilerede fejl. Google har ingen måde at anvende sikkerhedsrettelser på disse enheder, og producenter og operatører er bare ligeglade.
Android-økosystemet bliver et giftigt helvedsbillede af ikke-patchede enheder, der er fyldt med sikkerhedshuller. Til sammenligning, når Apples iOS har et sikkerhedshul, kan Apple bare opdatere alle understøttede iPhones med en ny version. Selv Windows-telefoner er bedre end Android her.
Android-telefoner er ikke garanteret at få sikkerhedsopdateringer
RELATEREDE: Hvorfor får din Android-telefon ikke opdateringer til operativsystemet, og hvad du kan gøre ved det
Den nylige Stagefright MMS bu g giver os en god casestudie, der viser, hvad der sker, når nogen opdager et sikkerhedshul i Android. Google opretter programrettelser og anvender dem på den primære Android open source-projektkode. Google sender derefter disse programrettelser ud til hardwareproducenter - Samsung, HTC, Sony, LG, Motorola, Lenovo og andre. Googles engagement slutter her. De kan ikke tvinge producenter til faktisk at frigive disse programrettelser . Dette synes ofte at være, hvor processen slutter.
Hvis en producent ønsker at anvende disse programrettelser, skal de anvende dem på en enheds Android-kode og opbygge en ny version af Android til den pågældende enhed. Dette er en separat proces for hver eneste telefon og tablet, som producenten understøtter. Hver producent skal derefter kontakte det luftfartsselskab, det solgte telefonerne igennem, og levere hver enkelt enhedsspecifikke patch til hver operatør rundt om i verden. Producentens engagement slutter her. Selv hvis de bliver vanvittige og lapper hver eneste enhed, som de stadig understøtter - meget usandsynligt - kan de ikke tvinge luftfartsselskaber til faktisk at anvende disse programrettelser
Transportører kan derefter vælge at sende den nye, patchede build af Android til deres enheder eller ej. Hvis de gør det, er der en god chance for, at det er efter en omfattende testperiode, hvor sikkerhedshullerne fortsat holder fast. Selvom en operatør ønsker at gøre dette, er der en god chance for, at de kun vil teste opdateringen på et par flagskibstelefoner og ikke ældre enheder.
I praksis modtager de fleste Android-enheder bare ikke sikkerhedsopdateringer og er sårbare. Google har ikke valgt at håndhæve leveringen af sikkerhedsopdateringer, som de håndhæver andre ting i kontrakter med producenter. Producenter skaber mange, mange forskellige enheder og ønsker ikke at udføre arbejdet med at opdatere dem alle. Transportører sender mange, mange forskellige enheder og vil ikke gider at teste dem. I stedet for at levere opdateringer og vedligeholde gamle telefoner vil de hellere skubbe kunder til at købe nye enheder. Disse sikkerhedshuller blev rettet i de nyeste versioner af Android, så en ny enhed vil være sikker - i det mindste indtil flere huller findes og ikke er patched.
Ja, den "check for updates" -funktion på din Android-enhed kontrollerer bare, om der er producent-og-operatør-godkendte opdateringer. Det er ikke en pålidelig måde at sikre, at du har sikkerhedsopdateringer.
iPhones garanteres rettidig sikkerhedsopdatering
RELATEREDE: Advarsel: Din Android-telefons webbrowser får sandsynligvis ikke sikkerhedsopdateringer
Android-opdateringsmodellen er forfærdeligt brudt. Det handler ikke kun om at modtage de nyeste og bedste funktioner. I stedet er der ingen måde at garantere, at du har de aktuelle sikkerhedsrettelser. Der er virkelig ikke engang nogen måde at fortælle nøjagtigt, hvilke sikkerhedshuller der er patched på din enhed, da du er afhængig af, at producenten tilføjer patch til deres brugerdefinerede build af Android og ruller den ud til din enhed.
Google har forsøgt at undgå dette med Google Play Services, som automatisk opdateres på alle Android-enheder . Men det kan kun gøre så meget. Alle Android-enheder, der kører Android 4.4.4 og ældre - det vil sige de fleste Android-enheder - i øjeblikket have en webbrowser fuld af sikkerhedshuller, fordi Google ikke kan opdatere den . Og nu kan næsten alle Android-enheder nu kompromitteres med en MMS.
Det er virkelig forfærdeligt. Forestil dig, hvis Windows-bærbare computere aldrig har modtaget sikkerhedsopdateringer fra Microsoft. I stedet udsendte Microsoft patches til Dell, Lenovo, HP og andre producenter. Producenten vælger muligvis at lappe den eller ej, og hvis de valgte at lappe den, skal den patch godkendes af den butik, hvor du købte den bærbare computer, før den nåede dig. Microsoft ville med rette blive raket over kulene for dette. I stedet frigiver Microsoft en patch, og den leveres til brugere af alle modeller af Windows-pc'er via Windows Update. Selv Googles eget Chrome OS fungerer på denne måde uden producenter at komme i vejen.
Vil du have en faktisk garanti for sikkerhedsopdateringer til din smartphone? Du er stort set nødt til at købe en iPhone, selvom Microsofts Windows-telefoner er foran Android her. Når der opdages et sikkerhedshul i en iPhone, kan Apple frigive en patch til alle iPhone-brugere på én gang - selv transportører kommer ikke i vejen .
Tilladelser og fortrolighedskontrol er også bedre på iOS
RELATEREDE: iOS har også apptilladelser: Og de er uden tvivl bedre end Android
Apptilladelser er et andet tilfælde, hvor iPhones trækker Android-telefoner. Android startede stærkt med at tilbyde "apptilladelser" - du kan se, hvad en app kræver, før du installerer den, og vælger ikke at installere den. iPhones har nu et forbedret tilladelsessystem, hvor du faktisk kan vælge og vælge, hvilke data en app får adgang til. Brug for at bruge en app, men ønsker ikke at give den adgang til dine kontakter eller andre følsomme data? Du kan gøre dette på iOS.
På Android er apptilladelser mere som krav - tag det eller lad det være. Apps beder ofte om mange flere tilladelser, end de virkelig har brug for for at fungere, og du ved aldrig rigtig, om det spil, du har installeret, uploader din kontaktliste til en ekstern server. Google arbejder på at tilføje en tilladelseskontrol til fremtidige versioner af Android, men det er for lidt, for sent. Sådanne funktioner er i øjeblikket kun tilgængelige i tredjeparts tilpassede ROM'er efter Google fjernede Android's skjulte tilladelsesadministration r.
iPhones giver dig faktisk kontrol over, hvad apps kan gøre på din telefon , udsætter apptilladelser som nyttige privatlivskontroller, som alle kan forstå. Dette hjælper med at beskytte dine private data. På Android er det kun op til appen - du kan kun kontrollere, om du bruger den app eller ej.
Apples låste appbutik har gået overbord i at forbyde specifikke typer indhold , men kun tilladelse af apps fra en godkendt kilde giver en vis ekstra sikkerhed mod malware. Mest malware på Android kommer uden for Google Play, ofte når en bruger downloader en piratkopieret app og installerer den. Dette er ikke muligt uden jailbreaking af en iPhone. Godkendelsesprocessen for iOS-appbutikken er også lidt strengere og involverer en person, der faktisk tester appen i stedet for en automatiseret algoritme.
Google er nødt til at løse denne situation. Det er uacceptabelt for de fleste Android-enheder, at de aldrig modtager sikkerhedsopdateringer og forbliver sårbare over for et utalligt antal sikkerhedshuller. Mange enheder har endda låste bootloadere, hvilket forhindrer dig i at lappe fejlen selv installation af en brugerdefineret ROM .
Ja, Android er en åben platform med mange involverede producenter, men det er Windows også. Google har brug for at få sin platform i orden. Vi vil fortsat se stadig forværrede sikkerhedsudbrud i Android-land, indtil hele Android-økosystemet begynder at bekymre sig om sikkerhed og bliver i stand til at lappe sikkerhedsproblemer på en rettidig og konsekvent måde som alle andre moderne operativsystemer.
Billedkredit: Indi samarjeevaon flickr
