Hvis du bruker et Google Pixel-håndsett, er telefonen din trygg fra et sikkerhetshull som kan la en PNG-fil ødelegge systemet helt . Hvis du bruker nesten alle andre Android-håndsett, er telefonen din sårbar. Dette er et problem.
Google nylig ga ut sikkerhetsoppdateringen i februar for Pixel-enheter , som lukker et hull som tillater skadelige PNG-filer å "utføre vilkårlig kode i sammenheng med en privilegert prosess." I enklere termer kan koden løpe på et høyt nivå og stjele informasjonen din - alt du trenger å gjøre er å åpne filen. Det er det.
Det betyr at enhver PNG som kommer til deg - det være seg i en e-post, en meldingsklient eller til og med over MMS - kan potensielt kapre systemet og stjele verdifulle data. Det vil si på en hvilken som helst telefon som ikke er en Pixel, fordi de er beskyttet nå. Samsung, LG, OnePlus og de fleste andre produsenters telefoner er fortsatt utsatt for denne feilen. Vi må begynne å holde produsenter til en høyere standard når det gjelder sikkerhetsoppdateringer. Periode.
For øyeblikket har jeg fire Android-telefoner innen rekkevidde: Pixel 2 XL, Pixel 1, Samsung Galaxy S9 og OnePlus 6T. De to pikslene er lappet og beskyttet med februaroppdateringen, men S9 og 6T er bare på sikkerhetsoppdateringer. Det betyr at eventuelle nyere sårbarheter - som denne PNG-en, for eksempel - ikke er pakket på begge disse håndsettene. Med tanke på at Samsung Galaxy-enheter er blant de mest populære telefonene på planeten, er dette urolig.
Men det er ikke bare et problem på grunn av det nåværende problemet. Dette er et dynamisk problem som er en konstant bekymring - eller i det minste burde det være. Så lenge det er nye sårbarheter, vil forsinkede sikkerhetsoppdateringer alltid være et problem. Så for å si det enklere: dette vil alltid være et problem fordi det er garantert sårbarheter.
Mens Android “fragmenterer” har lenge vært et problem (siden plattformen ble introdusert, i det vesentlige) når det gjelder fullstendige OS-oppdateringer, bør dette ikke gjelder sikkerhetsoppdateringer. Dette er ikke "nye funksjoner er kule, og jeg vil ha dem" -oppdateringer, disse er viktige databeskyttende oppdateringer. Uansett om de er små eller ikke, er dette ikke noe som forbrukere bør overse. Noensinne.
I SLEKT: Fragmentering er ikke Androids feil, det er produsentenes
Foreløpig gjør produsenter en forferdelig jobb med å beskytte brukerne sine, punktum. Selv om du ikke får fullstendige OS-oppdateringer (eller til og med punktutgivelser), er det i beste fall irriterende, men det er ikke akseptabelt å få sikkerhetsoppdateringer. Den sender en melding som ikke kan ignoreres: den sier at telefonprodusenten ikke bryr seg om dataene dine. Informasjonen din er ikke viktig nok for at de skal beskytte.
Sikkerhetsoppdateringer er ikke så store som fullstendige OS-oppdateringer eller til og med punktutgivelser. De utgis månedlig av Google, så de er mye mindre og lettere å bake inn i systemet - selv for tredjepartsprodusenter. Igjen, det er ingen reell unnskyldning for ikke å gjøre dette til en prioritet.
I fjor gjorde Google det nødvendig produsenter tilbyr minst to år med sikkerhetsoppdateringer for håndsett. (Pixel-telefoner får garantert tre år.) Problemet med det? Det krever bare "minst fire" oppdateringer innen ett år. Det er kvartalsvis , ikke månedlig - og det er akkurat det de fleste produsenter gjør. Det absolutte minimum. Og det er bare ikke bra nok.
Hvorfor? Fordi nye sårbarheter blir eksponert hele tiden. Jeg vil ikke at dataene mine potensielt blir kompromittert mens jeg venter på at produsenten av telefonen min skal klare å lage opp tre måneders sikkerhetskorrigeringer i en oppdatering - jeg vil ha dem så snart Google slipper dem, og det bør du også.
Denne PNG-sårbarheten er bare eksempel. Måned etter måned oppdages denne typen problemer, og da de fleste produsenter presser ut sikkerhetsoppdateringer måneder senere, blir dataene dine eksponert mye lenger enn det som er akseptabelt.
Selv om jeg skulle ønske det var et enkelt svar på hvordan jeg kan løse dette, er det dessverre ikke det. Inntil produsenter begynner å ta informasjonen din mer seriøst, er det bare ett reelt svar: Kjøp en annen telefon. Apple og Google har rutinemessig bevist at de bryr seg om brukernes data, så iPhone- og Pixel-telefoner er begge gode valg for brukere som vil gjøre alt de kan for å beskytte dataene deres.
Så cliche som det høres ut (og jeg er ærlig lei av å høre det): det er på tide å stemme med lommeboken. Ikke kjøp telefoner fra produsenter som ikke bryr seg om dataene dine. Det er den eneste måten de kommer til å vite at dette er seriøst.
