Если вы используете телефон Google Pixel, ваш телефон защищен от дыра в безопасности, которая может позволить файлу PNG полностью разрушить систему . Если вы используете почти любой другой телефон Android, то ваш телефон уязвим. Это проблема.
Google недавно выпустила февральское обновление безопасности для устройств Pixel , который закрывает дыру, которая позволяет вредоносным файлам PNG «выполнять произвольный код в контексте привилегированного процесса». Проще говоря, код может работать на высоком уровне и красть вашу информацию - все, что вам нужно сделать, это открыть файл. Это оно.
Это означает, что любой PNG, который приходит к вам - будь то электронная почта, клиент обмена сообщениями или даже через MMS - потенциально может захватить систему и украсть ценные данные. То есть на любом телефоне, кроме Pixel, потому что теперь они защищены. Мобильные телефоны Samsung, LG, OnePlus и большинства других производителей по-прежнему подвержены этой ошибке. Мы должны заставить производителей придерживаться более высоких стандартов, когда дело касается обновлений безопасности. Период.
Сейчас у меня под рукой четыре телефона Android: Pixel 2 XL, Pixel 1, Samsung Galaxy S9 и OnePlus 6T. Два пикселя исправлены и защищены февральским обновлением, но S9 и 6T есть только на патчи безопасности. Это означает, что все новые уязвимости, такие как, например, PNG, не исправлены на обоих этих телефонах. Учитывая, что устройства Samsung Galaxy являются одними из самых популярных телефонов на планете, это вызывает беспокойство.
Но это проблема не только из-за текущей проблемы. Это динамическая проблема, которая вызывает постоянную озабоченность - или, по крайней мере, должна быть. Пока есть новые уязвимости, отложенные обновления безопасности всегда будут проблемой. Проще говоря: это всегда будет проблемой, потому что уязвимости гарантированы.
Пока Android «фрагментация» уже давно проблема (поскольку платформа была представлена, по сути), когда дело доходит до полных обновлений ОС, это должно не применяются к обновлениям безопасности. Это не обновления типа «новые функции - это круто, и я хочу их», это важные обновления для защиты данных. Независимо от того, маленькие они или нет, ни один потребитель не должен упускать из виду это. Когда-либо.
СВЯЗАННЫЕ С: Фрагментация - это не вина Android, это вина производителей
В настоящее время производители делают ужасную работу по защите своих пользователей, полная остановка. Хотя отсутствие полных обновлений ОС (или даже точечных выпусков) в лучшем случае раздражает, отказ от получения обновлений безопасности неприемлем. Он отправляет сообщение, которое нельзя игнорировать: в нем говорится, что производитель вашего телефона не заботится о ваших данных. Ваша информация недостаточно важна для их защиты.
Обновления безопасности не такие огромные, как полные обновления ОС или даже точечные выпуски. Google выпускает их ежемесячно, поэтому они намного меньше по размеру и их легче встроить в систему даже для сторонних производителей. Опять же, нет никакого оправдания, чтобы не сделать это приоритетом.
В прошлом году Google потребовал, чтобы производители предлагают обновления безопасности не менее двух лет для мобильных телефонов. (Телефоны Pixel гарантированно получают три года.) Проблема с этим? Для этого требуется всего «минимум четыре» обновления в течение года. Это ежеквартальный , а не ежемесячно - и это именно то, что делают большинство производителей. Самый минимум. И этого просто недостаточно.
Почему? Потому что все время появляются новые уязвимости. Я не хочу, чтобы мои данные были потенциально скомпрометированы, пока я жду, пока производитель моего телефона не успеет подготовить исправления безопасности на три месяца в одном обновлении - я хочу, чтобы они были сразу же после их выпуска Google, и вы должны тоже.
Эта уязвимость PNG просто пример. Месяц за месяцем обнаруживаются подобные проблемы, и, поскольку большинство производителей выпускают обновления безопасности через несколько месяцев, ваши данные остаются открытыми гораздо дольше, чем допустимо.
Хотелось бы, чтобы у меня был простой ответ, как это исправить, но, к сожалению, его нет. Пока производители не начнут относиться к вашей информации более серьезно, есть только один реальный ответ: купите другой телефон. Apple и Google регулярно доказывают, что они заботятся о данных пользователей, поэтому телефоны iPhone и Pixel - отличный выбор для пользователей, которые хотят сделать все возможное для защиты своих данных.
Как бы банально это ни звучало (и мне, честно говоря, надоело это слышать): пора проголосовать кошельком. Не покупайте телефоны у производителей, которые не заботятся о ваших данных. Только так они узнают, что это серьезно.
