Ако използвате телефон Google Pixel, телефонът ви е в безопасност дупка в сигурността, която може да позволи на PNG файл напълно да разруши системата. Ако използвате почти всеки друг телефон с Android, тогава телефонът ви е уязвим. Това е проблем.
Google наскоро пусна февруарската актуализация за сигурност за устройства Pixel, което затваря дупка, която би позволила на злонамерените PNG файлове да „изпълнят произволен код в контекста на привилегирован процес“. По-просто казано, кодът може да работи на високо ниво и да открадне вашата информация – всичко, което трябва да направите, е да отворите файла. Това е.
Това означава, че всеки PNG, който идва при вас – било то в имейл, клиент за съобщения или дори през MMS – може потенциално да отвлече системата и да открадне ценни данни. Тоест на всеки телефон, който не е Pixel, защото сега са защитени. Samsung, LG, OnePlus и телефони на повечето други производители все още са податливи на този бъг. Трябва да започнем да държим производителите на по-висок стандарт, когато става въпрос за актуализации на сигурността. Месечен цикъл.
В момента имам четири телефона с Android на една ръка разстояние: Pixel 2 XL, Pixel 1, Samsung Galaxy S9 и OnePlus 6T. Двата пиксела са коригирани и защитени с февруарската актуализация, но S9 и 6T са само в кръпките за сигурност през декември. Това означава, че всички по-нови уязвимости – като този PNG, например – са премахнати и на двата телефона. Като се има предвид, че устройствата Samsung Galaxy са сред най-популярните телефони на планетата, това е обезпокоително.
Но това не е проблем само поради настоящия проблем. Това е динамичен проблем, който е постоянна грижа – или поне трябва да бъде. Докато има нови уязвимости, забавените актуализации на сигурността винаги ще бъдат проблем. Така че, казано по-просто: това винаги ще бъде проблем, защото уязвимостите са гарантирани.
Докато „фрагментацията“ на Android отдавна е проблем (по същество откакто платформата беше представена), когато става въпрос за пълни актуализации на операционната система, това не трябва да се отнася за актуализации на сигурността. Това не са актуализации „новите функции са страхотни и аз ги искам“, това са важни актуализации за защита на данните. Независимо дали са малки или не, това не е нещо, което трябва да се пренебрегва от всеки потребител. някога.
В момента производителите вършат ужасна работа за защита на потребителите си, точка. Въпреки че да не получавате пълни актуализации на операционната система (или дори точкови версии) е досадно в най-добрия случай, липсата на актуализации за сигурност е неприемливо. Той изпраща съобщение, което не може да бъде игнорирано: казва, че производителят на вашия телефон не се интересува от вашите данни. Вашата информация не е достатъчно важна, за да ги защити.
Актуализациите на сигурността не са големи като пълни актуализации на операционната система или дори точкови версии. Те се пускат ежемесечно от Google, така че са много по-малки и по-лесни за вкарване в системата – дори за производители на трети страни. Отново, няма истинско извинение това да не е приоритет.
Миналата година Google го направи необходимо производителите предлагат най-малко две години актуализации за сигурност за телефони. (Телефоните Pixel гарантирано ще получат три години.) Проблемът с това? Изисква само „поне четири“ актуализации в рамките на една година. Това е тримесечно, а не месечно – и точно това правят повечето производители. Минималният минимум. И просто не е достатъчно добро.
Защо? Защото непрекъснато се откриват нови уязвимости. Не искам данните ми да бъдат потенциално компрометирани, докато чакам производителят на телефона ми да приготви тримесечни корекции за сигурност в една актуализация — искам ги веднага щом Google ги пусне, и вие също трябва.
Тази PNG уязвимост е само един пример. Месец след месец тези типове проблеми се откриват и тъй като повечето производители пускат актуализации за сигурност месеци по-късно, това оставя данните ви изложени за много по-дълго, отколкото е приемливо.
Макар че ми се иска да има лесен отговор как да поправя това, за съжаление няма. Докато производителите не започнат да приемат информацията ви по-сериозно, има само един реален отговор: купете друг телефон. Apple и Google рутинно доказаха, че ги е грижа за данните на потребителите, така че телефоните iPhone и Pixel са отличен избор за потребители, които искат да направят всичко възможно, за да защитят данните си.
Колкото и клише да звучи (и честно казано ми писна да го слушам): време е да гласувате с портфейла си. Не купувайте телефони от производители, които не се интересуват от вашите данни. Това е единственият начин да разберат, че това е сериозно.