Her er en skitten hemmelighet: De fleste Android-enheter mottar aldri sikkerhetsoppdateringer. Nittifem prosent av Android-enhetene kan nå kompromitteres via en MMS-melding, og det er bare den mest profilerte feilen. Google har ingen måte å bruke sikkerhetsoppdateringer på disse enhetene, og produsenter og operatører bryr seg bare ikke.
Android-økosystemet er i ferd med å bli et giftig helvete av upakkede enheter full av sikkerhetshull. Til sammenligning, når Apples iOS har et sikkerhetshull, kan Apple bare oppdatere alle støttede iPhones med en ny versjon. Selv Windows-telefoner er bedre enn Android her.
Android-telefoner garanteres ikke sikkerhetsoppdateringer
I SLEKT: Hvorfor Android-telefonen din ikke får operativsystemoppdateringer, og hva du kan gjøre med det
Det siste Stagefright MMS bu g gir oss en god casestudie som viser hva som skjer når noen oppdager et sikkerhetshull i Android. Google oppretter oppdateringer og bruker dem til hovedkoden for Android-åpen kildekode. Google sender deretter disse oppdateringene til maskinvareprodusenter - Samsung, HTC, Sony, LG, Motorola, Lenovo og andre. Googles engasjement slutter her. De kan ikke tvinge produsenter til å frigjøre disse oppdateringene . Dette ser ofte ut til å være der prosessen slutter.
Hvis en produsent ønsker å bruke disse oppdateringene, må de bruke dem på en enhets Android-kode og bygge en ny versjon av Android for den enheten. Dette er en egen prosess for hver eneste telefon og nettbrett som produsenten støtter. Hver produsent må da kontakte operatøren den solgte telefonene gjennom og gi hver enkelt enhetsspesifikke oppdatering til hver operatør rundt om i verden. Produsentens engasjement slutter her. Selv om de blir sprø og lapper hver eneste enhet de fremdeles støtter - veldig usannsynlig - kan de ikke tvinge transportører til å bruke disse oppdateringene.
Transportører kan da velge å sende den nye, oppdaterte versjonen av Android til enhetene sine, eller ikke. Hvis de gjør det, er det en god sjanse for at det er etter en omfattende testperiode der sikkerhetshullene vil fortsette å holde seg fast. Selv om en operatør ønsker å gjøre dette, er det en god sjanse for at de bare vil teste oppdateringen på noen få flaggskiptelefoner, og ikke eldre enheter.
I praksis mottar de fleste Android-enheter ikke sikkerhetsoppdateringer og blir sårbare. Google har ikke valgt å håndheve levering av sikkerhetsoppdateringer som de håndhever andre ting i kontrakter med produsenter. Produsenter lager mange, mange forskjellige enheter og ønsker ikke å gjøre jobben med å oppdatere dem alle. Transportører sender mange, mange forskjellige enheter og vil ikke bry seg om å teste dem. I stedet for å levere oppdateringer og vedlikeholde gamle telefoner, vil de heller presse kundene til å kjøpe nye enheter. Disse sikkerhetshullene ble løst i de siste versjonene av Android, så en ny enhet vil være sikker - i hvert fall til flere hull blir funnet og ikke lappet.
Ja, funksjonen "sjekk etter oppdateringer" på Android-enheten din sjekker bare om det er noen produsent-og-operatør-godkjente oppdateringer. Det er ikke en pålitelig måte å sikre at du har sikkerhetsoppdateringer.
iPhones garanteres betimelige sikkerhetsoppdateringer
I SLEKT: Advarsel: Android-telefonens nettleser får sannsynligvis ikke sikkerhetsoppdateringer
Android-oppdateringsmodellen er forferdelig ødelagt. Det handler ikke bare om å motta de nyeste og beste funksjonene. I stedet er det ingen måte å garantere at du har de nåværende sikkerhetsoppdateringene. Det er egentlig ikke engang noen måte å fortelle nøyaktig hvilke sikkerhetshull som er lappet på enheten din, ettersom du er avhengig av at produsenten legger til oppdateringen i sin tilpassede versjon av Android og ruller den ut til enheten.
Google har prøvd å unngå dette med Google Play Services, som automatisk oppdateres på alle Android-enheter . Men det kan bare gjøre så mye. Alle Android-enheter som kjører Android 4.4.4 og eldre - det vil si de fleste Android-enheter - for øyeblikket ha en nettleser full av sikkerhetshull fordi Google ikke kan oppdatere den . Og nå kan nesten alle Android-enheter nå kompromitteres med en MMS.
Virkelig, dette er forferdelig. Tenk deg om Windows bærbare datamaskiner aldri mottok sikkerhetsoppdateringer fra Microsoft. I stedet utstedte Microsoft oppdateringer til Dell, Lenovo, HP og andre produsenter. Produsenten kan velge å lappe den eller ikke, og hvis de valgte å lappe den, må den oppdateringen godkjennes av butikken du kjøpte den bærbare datamaskinen fra før den nådde deg. Microsoft vil med rette bli raket over kullene for dette. I stedet utgir Microsoft en oppdatering, og den leveres til brukere av alle modeller av Windows-PCer via Windows Update. Selv Googles eget Chrome OS fungerer på denne måten uten at produsenter kommer i veien.
Vil du ha en faktisk garanti for sikkerhetsoppdateringer for smarttelefonen din? Du må ganske mye kjøpe en iPhone, selv om Microsofts Windows-telefoner er foran Android her. Når et sikkerhetshull oppdages i en iPhone, kan Apple gi ut en oppdatering til alle iPhone-brukere samtidig - selv transportører kommer ikke i veien .
Tillatelser og personvernkontroller er også bedre på iOS
I SLEKT: iOS har også apptillatelser: Og de er uten tvil bedre enn Android-er
Apptillatelser er et annet tilfelle der iPhones troner Android-telefoner. Android startet sterkt, og tilbyr "apptillatelser" - du kan se hva en app krever før du installerer den, og velger å ikke installere den. iPhones har nå et forbedret tillatelsessystem der du faktisk kan velge og velge hvilke data en app får tilgang til. Trenger du å bruke en app, men ikke vil gi den tilgang til kontaktene dine eller andre sensitive data? Du kan gjøre dette på iOS.
På Android er apptillatelser mer som krav - ta det eller la det være. Apper ber ofte om mange flere tillatelser enn de virkelig trenger for å fungere, og du vet aldri om spillet du installerte laster opp kontaktlisten din til en ekstern server. Google jobber med å legge til en tillatelseskontroll i fremtidige versjoner av Android, men det er for lite, for sent. Slike funksjoner er for øyeblikket bare tilgjengelig i tredjeparts tilpassede ROM-er etter Google fjernet Android's skjulte tillatelsesadministrasjon r.
iPhones gir deg faktisk kontroll over hva apper kan gjøre på telefonen din , utsette apptillatelser som nyttige personvernkontroller alle kan forstå. Dette hjelper deg med å beskytte dine private data. På Android er det egentlig bare opp til appen - du kan bare kontrollere om du bruker den appen eller ikke.
Apples låste appbutikk har gått over bord i å forby bestemte typer innhold , men bare å tillate apper fra en godkjent kilde gir ekstra sikkerhet mot skadelig programvare. Mest malware på Android kommer fra utenfor Google Play, ofte når en bruker laster ned en piratkopiert app og installerer den. Dette er ikke mulig uten jailbreaking av en iPhone. Godkjenningsprosessen for iOS-appbutikken er også litt strengere, og involverer en person som faktisk tester appen i stedet for en automatisert algoritme.
Google må fikse denne situasjonen. Det er uakseptabelt for de fleste Android-enheter å aldri motta sikkerhetsoppdateringer og være utsatt for et utallig antall sikkerhetshull. Mange enheter har til og med låste opplastere, noe som forhindrer deg i å lappe feilen selv installere en tilpasset ROM .
Ja, Android er en åpen plattform med mange produsenter involvert, men det er også Windows. Google trenger å få orden på plattformen. Vi vil fortsette å se stadig forverrede sikkerhetsutbrudd i Android-land til hele Android-økosystemet begynner å bry seg om sikkerhet og blir i stand til å lappe sikkerhetsproblemer på en betimelig og konsekvent måte, som alle andre moderne operativsystemer.
Bildekreditt: Indi samarjeevaon flickr
