Här är en smutsig hemlighet: De flesta Android-enheter får aldrig säkerhetsuppdateringar. Nittiofem procent av Android-enheterna kan nu komprometteras via ett MMS-meddelande, och det är bara det mest uppmärksammade felet. Google har inget sätt att tillämpa säkerhetsuppdateringar på dessa enheter, och tillverkare och operatörer bryr sig bara inte.
Android-ekosystemet håller på att bli ett giftigt helbild av unpatchade enheter som är fyllda med säkerhetshål. För jämförelse, när Apples iOS har ett säkerhetshål kan Apple bara uppdatera alla iPhones som stöds med en ny version. Även Windows-telefoner är bättre än Android här.
Android-telefoner garanteras inte att få säkerhetsuppdateringar
RELATERAD: Varför din Android-telefon inte får uppdateringar av operativsystemet och vad du kan göra åt det
Det senaste Stagefright MMS bu g ger oss en bra fallstudie som visar vad som händer när någon upptäcker ett säkerhetshål i Android. Google skapar korrigeringsfiler och tillämpar dem på den huvudsakliga koden för öppen källkod för Android. Google skickar sedan dessa korrigeringsfiler till hårdvarutillverkare - Samsung, HTC, Sony, LG, Motorola, Lenovo och andra. Googles engagemang slutar här. De kan inte tvinga tillverkare att faktiskt släppa dessa korrigeringsfiler . Det verkar ofta vara där processen slutar.
Om en tillverkare vill använda dessa korrigeringar måste de tillämpa dem på en enhets Android-kod och bygga en ny version av Android för den enheten. Detta är en separat process för varje telefon och surfplatta som tillverkaren stöder. Varje tillverkare måste då kontakta operatören som den sålde telefonerna genom och tillhandahålla varje enskild enhetsspecifik patch till varje operatör runt om i världen. Tillverkarens engagemang slutar här. Även om de blir galna och lappar varje enskild enhet som de fortfarande stöder - mycket osannolikt - kan de inte tvinga bärare att faktiskt tillämpa dessa korrigeringsfiler
Transportörer kan sedan välja att skicka den nya, lappade versionen av Android till sina enheter eller inte. Om de gör det finns det en god chans att det är efter en omfattande testperiod där säkerhetshålen fortsätter att hålla fast. Även om en operatör vill göra det finns det en god chans att de bara vill testa uppdateringen på några få flaggskeppstelefoner och inte äldre enheter.
I praktiken får de flesta Android-enheter bara inte säkerhetsuppdateringar och är sårbara. Google har inte valt att genomdriva leveransen av säkerhetsuppdateringar som de tvingar fram andra saker i avtal med tillverkare. Tillverkare skapar många, många olika enheter och vill inte göra jobbet med att uppdatera dem alla. Transportörer levererar många, många olika enheter och vill inte bry sig om att testa dem. Istället för att leverera uppdateringar och underhålla gamla telefoner vill de hellre driva kunderna att köpa nya enheter. Dessa säkerhetshål fixades i de senaste versionerna av Android, så en ny enhet kommer att vara säker - åtminstone tills fler hål hittas och inte lappas.
Ja, den här funktionen "Sök efter uppdateringar" på din Android-enhet kontrollerar bara om det finns några uppdateringar som godkänts av tillverkare och operatörer. Det är inte ett pålitligt sätt att säkerställa att du har säkerhetsuppdateringar.
iPhones garanteras snabba säkerhetsuppdateringar
RELATERAD: Varning: Din Android-telefons webbläsare får förmodligen inte säkerhetsuppdateringar
Android-uppdateringsmodellen är fruktansvärt trasig. Det handlar inte bara om att få de senaste och bästa funktionerna. Istället finns det inget sätt att garantera att du har de aktuella säkerhetsuppdateringarna. Det finns egentligen inget sätt att berätta exakt vilka säkerhetshål som har lagts i din enhet, eftersom du är beroende av att tillverkaren lägger till plåstret i sin anpassade version av Android och rullar ut den till din enhet.
Google har försökt att undvika detta med Google Play Services, som automatiskt uppdateras på alla Android-enheter . Men det kan bara göra så mycket. Alla Android-enheter som kör Android 4.4.4 och äldre - det vill säga de flesta Android-enheter - för närvarande ha en webbläsare full av säkerhetshål eftersom Google inte kan uppdatera den . Och nu kan nästan alla Android-enheter nu komprometteras med ett MMS.
Det är verkligen hemskt. Tänk dig om Windows-bärbara datorer aldrig fick säkerhetsuppdateringar från Microsoft. Istället skulle Microsoft utfärda korrigeringsfiler till Dell, Lenovo, HP och andra tillverkare. Tillverkaren kanske väljer att lappa den eller inte, och om de valde att lappa den, måste den korrigeringen godkännas av den butik du köpte den bärbara datorn från innan den nådde dig. Microsoft skulle med rätta rakas över kolen för detta. Istället släpper Microsoft en patch och den tillhandahålls användare av alla modeller av Windows-datorer via Windows Update. Till och med Googles eget Chrome OS fungerar på detta sätt utan att tillverkarna kommer i vägen.
Vill du ha en faktisk garanti för säkerhetsuppdateringar för din smartphone? Du måste ganska mycket köpa en iPhone, även om även Microsofts Windows-telefoner ligger före Android här. När ett säkerhetshål upptäcks i en iPhone kan Apple släppa en patch till varje iPhone-användare på en gång - även transportföretag inte kommer i vägen .
Behörigheter och integritetskontroller är också bättre på iOS
RELATERAD: iOS har också appbehörigheter: Och de är förmodligen bättre än Android
Appbehörigheter är ett annat fall där iPhones tränger Android-telefoner. Android började starkt och erbjuder "appbehörigheter" - du kan se vad en app kräver innan du installerar den och väljer att inte installera den. iPhones har nu ett förbättrat tillståndssystem där du faktiskt kan välja vilka data en app får tillgång till. Behöver du använda en app, men vill inte ge den åtkomst till dina kontakter eller annan känslig information? Du kan göra det på iOS.
På Android är appbehörigheter mer som krav - ta det eller lämna det. Appar ber ofta om många fler behörigheter än de verkligen behöver för att fungera, och du vet aldrig riktigt om det spelet du installerade laddar upp din kontaktlista till en fjärrserver. Google arbetar med att lägga till en behörighetskontroll i framtida versioner av Android, men det är för lite, för sent. Sådana funktioner är för närvarande endast tillgängliga i anpassade ROM-skivor från tredje part efter Google tog bort Android: s dolda behörighetshantering r.
iPhones ger dig faktiskt kontroll över vad appar kan göra på din telefon , exponera appbehörigheter som användbara sekretessregler som alla kan förstå. Detta hjälper dig att skydda dina privata data. På Android är det egentligen bara upp till appen - du kan bara styra om du använder den appen eller inte.
Apples låsta appbutik har gått överbord för att förbjuda specifika typer av innehåll , men bara att tillåta appar från en godkänd källa ger viss extra säkerhet mot skadlig kod. De flesta skadliga program på Android kommer från Google Play, ofta när en användare laddar ner en piratkopierad app och installerar den. Detta är inte möjligt utan jailbreaking av en iPhone. Godkännandeprocessen för iOS-appbutiken är också lite mer rigorös och involverar en person som faktiskt testar appen snarare än en automatiserad algoritm.
Google måste åtgärda denna situation. Det är oacceptabelt för de flesta Android-enheter att aldrig ta emot säkerhetsuppdateringar och vara sårbara för ett otalbart antal säkerhetshål. Många enheter har till och med låsta startladdare, vilket skulle förhindra att du själv lappar felet installera en anpassad ROM .
Ja, Android är en öppen plattform med många tillverkare inblandade, men Windows är det också. Google måste ordna sin plattform. Vi fortsätter att se alltmer försämrade säkerhetsutbrott i Android-land tills hela Android-ekosystemet börjar bry sig om säkerhet och blir kapabelt att reparera säkerhetsproblem på ett snabbt och konsekvent sätt, som alla andra moderna operativsystem.
Bildkredit: Indi samarjeevaon flickr
