Het echte beveiligingsprobleem van Android zijn de fabrikanten
Als u een Google Pixel-telefoon gebruikt, is uw telefoon beschermd tegen een beveiligingslek waardoor een PNG-bestand het systeem volledig kan beschadigen. Als je bijna elke andere Android-telefoon gebruikt, is je telefoon kwetsbaar. Dit is een probleem.
Google heeft onlangs de beveiligingsupdate voor Pixel-apparaten van februari vrijgegeven, waarmee een gat wordt dichtgezet waardoor kwaadwillende PNG-bestanden "willekeurige code kunnen uitvoeren binnen de context van een bevoorrecht proces." In eenvoudiger bewoordingen kan de code op een hoog niveau worden uitgevoerd en uw site stelen. info - alles wat je hoeft te doen is het bestand openen. Dat is het.
Dat betekent dat elke PNG die bij u binnenkomt, of het nu in een e-mail, een berichtenclient of zelfs via MMS, het systeem kan kapen en waardevolle gegevens kan stelen. Dat wil zeggen, op elke telefoon die geen Pixel is, omdat ze nu worden beveiligd. Samsung, LG, OnePlus en de handsets van de meeste andere fabrikanten zijn nog steeds gevoelig voor deze bug. We moeten fabrikanten gaan houden aan een hogere standaard als het gaat om beveiligingsupdates. Periode.
Ik heb momenteel vier Android-telefoons binnen handbereik: Pixel 2 XL, Pixel 1, Samsung Galaxy S9 en OnePlus 6T. De twee pixels zijn gepatcht en beschermd met de update van februari, maar de S9 en 6T zijn alleen op de december beveiligingspatches. Dat betekent dat nieuwere beveiligingslekken, zoals deze PNG-versie, op beide handsets niet zijn opgeslagen. Gezien het feit dat Samsung Galaxy-apparaten tot de populairste telefoons ter wereld behoren, is dit verontrustend.
Cameron SummersonMaar het is niet alleen een probleem vanwege het huidige probleem. Dit is een dynamisch probleem dat een constante zorg is - of dat zou het tenminste moeten zijn. Zolang er nieuwe kwetsbaarheden zijn, zullen vertraagde beveiligingsupdates altijd een probleem zijn. Dus, om het eenvoudiger te zeggen: dit zal altijd een probleem zijn, omdat kwetsbaarheden worden gegarandeerd.
Terwijl de "fragmentatie" van Android al lang een probleem was (aangezien het platform in wezen werd geïntroduceerd) als het gaat om volledige OS-updates, moet dit niet van toepassing op beveiligingsupdates. Dit zijn geen "nieuwe functies zijn cool, en ik wil ze" updates, dit zijn cruciale gegevensbeveiligingsupdates. Ongeacht of ze klein zijn of niet, dit is niet iets dat door elke consument over het hoofd moet worden gezien. Ooit.
Momenteel doen fabrikanten een vreselijke taak om hun gebruikers volledig te beschermen. Hoewel niet-volledige OS-updates (of zelfs puntreleases) vervelend zijn, is het niet acceptabel om geen beveiligingsupdates te krijgen. Het verzendt een bericht dat niet kan worden genegeerd: het zegt dat uw telefoonfabrikant niet om uw gegevens geeft. Uw info is niet belangrijk genoeg voor hen om te beschermen.
Beveiligingsupdates zijn niet zo groot als volledige OS-updates of zelfs puntreleases. Ze worden maandelijks uitgegeven door Google, dus ze zijn veel kleiner en eenvoudiger in het systeem te bakken, zelfs voor fabrikanten van derden. Nogmaals, er is geen echt excuus om dit geen prioriteit te maken.
Vorig jaar maakte Google het noodzakelijk dat fabrikanten minstens twee jaar beveiligingsupdates voor handsets aanbieden. (Pixel-telefoons krijgen gegarandeerd drie jaar.) Het probleem daarmee? Het vereist slechts "minstens vier" updates binnen een jaar. dat is per kwartaal, niet maandelijks - en het is precies wat de meeste fabrikanten doen. Het absolute minimum. En het is gewoon niet goed genoeg.
Waarom? Omdat nieuwe kwetsbaarheden voortdurend worden blootgelegd. Ik wil niet dat mijn gegevens mogelijk worden gehackt terwijl ik wacht tot de fabrikant van mijn telefoon rondgaat om drie maanden aan beveiligingsfixes te koken in één update - ik wil ze zodra Google ze vrijgeeft, en je moet ook.
Deze PNG-kwetsbaarheid is rechtvaardig een voorbeeld. Maand na maand worden dit soort problemen ontdekt en met de meeste fabrikanten die maanden later beveiligingsupdates uitduwen, blijven uw gegevens veel langer zichtbaar dan acceptabel is.
Hoewel ik wou dat er een eenvoudig antwoord was om dit op te lossen, helaas is dat niet het geval. Totdat fabrikanten je info serieuzer nemen, is er maar één echt antwoord: koop een andere telefoon. Apple en Google hebben routinematig bewezen dat ze om de gegevens van gebruikers geven, dus iPhone- en Pixel-handsets zijn beide uitstekende keuzes voor gebruikers die alles willen doen om hun gegevens te beschermen.
Zo cliché als het klinkt (en ik ben er eerlijk gezegd zo slecht over om het te horen): het is tijd om met je portemonnee te stemmen. Koop geen telefoons van fabrikanten die niet om uw gegevens geven. Dat is de enige manier waarop ze zullen weten dat dit serieus is.