Als u een Google Pixel-handset gebruikt, is uw telefoon veilig voor een beveiligingslek waardoor een PNG-bestand het systeem volledig kan vernielen . Als u bijna elke andere Android-handset gebruikt, is uw telefoon kwetsbaar. Dit is een probleem.
Google onlangs heeft de beveiligingsupdate van februari voor Pixel-apparaten uitgebracht , waarmee een gat wordt gedicht waardoor kwaadaardige PNG-bestanden "willekeurige code kunnen uitvoeren binnen de context van een geprivilegieerd proces". In eenvoudiger bewoordingen kan de code op een hoog niveau worden uitgevoerd en uw informatie stelen - het enige dat u hoeft te doen, is het bestand openen. Dat is het.
Dat betekent dat elke PNG die naar je toekomt - of het nu in een e-mail, een messaging-client of zelfs via mms is - het systeem mogelijk kan kapen en waardevolle gegevens kan stelen. Dat wil zeggen, op elke telefoon die geen Pixel is, omdat ze nu worden beschermd. De telefoons van Samsung, LG, OnePlus en de meeste andere fabrikanten zijn nog steeds vatbaar voor deze bug. We moeten fabrikanten aan een hogere standaard houden als het gaat om beveiligingsupdates. Periode.
Ik heb momenteel vier Android-telefoons binnen handbereik: Pixel 2 XL, Pixel 1, Samsung Galaxy S9 en OnePlus 6T. De twee pixels zijn gepatcht en beschermd met de update van februari, maar de S9 en 6T zijn alleen beschikbaar op de beveiligingspatches. Dat betekent dat alle nieuwere kwetsbaarheden, zoals deze PNG-versie, op beide handsets niet gepatcht worden. Gezien het feit dat Samsung Galaxy-apparaten tot de meest populaire telefoons ter wereld behoren, is dit verontrustend.
Maar het is niet alleen een probleem vanwege het huidige probleem. Dit is een dynamisch probleem dat een constante zorg is - of dat zou het tenminste moeten zijn. Zolang er nieuwe kwetsbaarheden zijn, zijn vertraagde beveiligingsupdates altijd een probleem. Simpel gezegd dus: dit zal altijd een issue zijn omdat kwetsbaarheden gegarandeerd zijn.
Terwijl Android "fragmentatie" is al lang een probleem (aangezien het platform in wezen werd geïntroduceerd) als het gaat om volledige OS-updates, zou dit moeten niet toepassen op beveiligingsupdates. Dit zijn geen "nieuwe functies zijn cool, en ik wil ze" updates, dit zijn cruciale gegevensbeschermende updates. Ongeacht of ze klein zijn of niet, dit is niet iets dat door elke consument over het hoofd mag worden gezien. Ooit.
VERWANT: Fragmentatie is niet de fout van Android, het zijn de fabrikanten
Momenteel doen fabrikanten vreselijk werk om hun gebruikers te beschermen, punt uit. Hoewel het niet erg vervelend is om geen volledige OS-updates (of zelfs point-releases) te krijgen, is het niet acceptabel om geen beveiligingsupdates te krijgen. Het stuurt een bericht dat niet kan worden genegeerd: het zegt dat uw telefoonfabrikant niets om uw gegevens geeft. Uw gegevens zijn niet belangrijk genoeg om ze te beschermen.
Beveiligingsupdates zijn niet zo groot als volledige OS-updates of zelfs nieuwe releases. Ze worden maandelijks uitgebracht door Google, dus ze zijn veel kleiner en gemakkelijker in het systeem in te bouwen, zelfs voor externe fabrikanten. Nogmaals, er is geen echt excuus om hier geen prioriteit van te maken.
Vorig jaar heeft Google dit vereist fabrikanten bieden minimaal twee jaar beveiligingsupdates aan voor handsets. (Pixel-telefoons krijgen gegarandeerd drie jaar.) Het probleem daarmee? Het vereist slechts "minimaal vier" updates binnen een jaar. Dat is per kwartaal , niet maandelijks - en dat is precies wat de meeste fabrikanten doen. Het absolute minimum. En het is gewoon niet goed genoeg.
Waarom? Omdat er voortdurend nieuwe kwetsbaarheden worden blootgelegd. Ik wil niet dat mijn gegevens mogelijk in gevaar worden gebracht terwijl ik wacht tot de fabrikant van mijn telefoon eraan komt om voor drie maanden aan beveiligingsoplossingen in één update te koken. Ik wil ze zodra Google ze vrijgeeft, en dat zou jij ook moeten doen.
Deze PNG-kwetsbaarheid is alleen voorbeeld. Maand na maand worden dit soort problemen ontdekt, en omdat de meeste fabrikanten maanden later beveiligingsupdates publiceren, blijven uw gegevens veel langer zichtbaar dan acceptabel is.
Hoewel ik wou dat er een eenvoudig antwoord was om dit op te lossen, is dat helaas niet zo. Totdat fabrikanten uw informatie serieuzer gaan nemen, is er maar één antwoord: koop een andere telefoon. Apple en Google hebben routinematig bewezen dat ze geven om de gegevens van gebruikers, dus iPhone- en Pixel-handsets zijn beide uitstekende keuzes voor gebruikers die er alles aan willen doen om hun gegevens te beschermen.
Hoe cliché het ook klinkt (en ik ben er echt ziek van om het te horen): het is tijd om te stemmen met je portemonnee. Koop geen telefoons van fabrikanten die niets om uw gegevens geven. Dat is de enige manier waarop ze zullen weten dat dit ernstig is.
