Iată un secret murdar: majoritatea dispozitivelor Android nu primesc niciodată actualizări de securitate. Nouăzeci și cinci la sută din dispozitivele Android pot fi acum compromise printr-un mesaj MMS, și asta e doar cea mai mare eroare de profil. Google nu are nici o modalitate de a aplica patch-uri de securitate acestor dispozitive, iar producătorii și transportatorii pur și simplu nu le pasă.
Ecosistemul Android devine un ecou toxic al dispozitivelor nepatchate, pline de găuri de securitate. Pentru comparație, atunci când Apple iOS are o gaură de securitate, Apple poate doar să actualizeze toate iPhone-urile acceptate cu o versiune nouă. Chiar și telefoanele Windows sunt mai bune decât Android aici.
Actuala eroare Stagefright MMS ne oferă un studiu de caz bun, care demonstrează ce se întâmplă când cineva descoperă o gaură de securitate în Android. Google creează patch-uri și le aplică la codul principal al proiectului open source Android. Google trimite apoi aceste patch-uri către producătorii de hardware - Samsung, HTC, Sony, LG, Motorola, Lenovo și altele. Implicarea Google se încheie aici. Ei nu pot forța producătorii să elibereze efectiv aceste patch-uri. Acest lucru pare adesea acolo unde se termină procesul.
Dacă un producător dorește să aplice aceste patch-uri, trebuie să le aplice pe codul dispozitivului Android și să construiască o nouă versiune de Android pentru dispozitivul respectiv. Acesta este un proces separat pentru fiecare telefon și tabletă pe care producătorul le suportă. Fiecare producător trebuie să contacteze purtătorul care a vândut telefoanele și să furnizeze fiecărui patch specific fiecărui dispozitiv pentru fiecare operator de transport din întreaga lume. Implicarea producătorului se încheie aici. Chiar dacă acestea devin nebune și patch fiecare dispozitiv pe care îl susțin încă - foarte puțin probabil - ei nu pot forța purtătorii să aplice efectiv aceste patch-uri
Transportatorii pot alege apoi să trimită noul patch-uri de Android la dispozitivele lor sau nu. Dacă o fac, există o șansă bună după o perioadă de testare extinsă în care găurile de securitate vor continua să rămână în jur. Chiar dacă un operator de transport dorește să facă acest lucru, există o șansă bună că vor încerca doar să testeze actualizarea pe câteva telefoane emblematice și nu pe dispozitive mai vechi.
În practică, majoritatea dispozitivelor Android nu primesc actualizări de securitate și sunt lasate vulnerabile. Google nu a ales să pună în aplicare livrările de actualizări de securitate, cum ar fi acestea impun alte lucruri în contractele cu producătorii. Producătorii creează multe, multe dispozitive diferite și nu doresc să facă lucrarea de a le actualiza pe toate. Operatorii transportă multe, multe dispozitive diferite și nu doresc să le deranjeze. În loc să difuzeze actualizări și să păstreze telefoanele vechi, ar prefera să-i împingă pe clienți să cumpere dispozitive noi. Aceste găuri de securitate au fost fixate în ultimele versiuni de Android, deci un dispozitiv nou va fi sigur - cel puțin până când vor fi găsite mai multe găuri și nu vor fi patch-uri.
Da, acea caracteristică "verificați pentru actualizări" de pe dispozitivul dvs. Android verifică doar dacă există actualizări aprobate de producător și transportator. Nu este o modalitate sigură de a vă asigura că aveți actualizări de securitate.
Modelul de actualizare Android este rupt oribil. Nu este vorba doar de primirea celor mai noi și mai bune caracteristici. În schimb, nu există nicio modalitate de a vă garanta că aveți patch-urile de securitate actuale. Nu există chiar nici o modalitate de a spune exact ce găuri de securitate au fost patch-uri în dispozitivul dvs., deoarece depindeți de producătorul care a adăugat patch-ul la construcția personalizată de Android și a rulat-o pe dispozitiv.
Google a încercat să evite acest lucru prin intermediul serviciilor Google Play, care se actualizează automat pe toate dispozitivele Android. Dar nu poate face decât atât de mult. Toate dispozitivele Android care rulează Android 4.4.4 și peste - mai multe dispozitive Android - au în prezent un browser web plin de găuri de securitate, deoarece Google nu le poate actualiza. Și acum, aproape toate dispozitivele Android pot fi acum compromise cu un MMS.
Într-adevăr, acest lucru este teribil. Imaginați-vă dacă laptopurile Windows nu au primit niciodată actualizări de securitate de la Microsoft. În schimb, Microsoft ar lansa patch-uri către Dell, Lenovo, HP și alți producători. Producătorul ar putea alege să o patcheze sau nu, iar dacă au ales să o patch-uri, acel plasture ar trebui să fie aprobat de magazinul pe care l-ați cumpărat de la laptop înainte de a ajunge la tine. Microsoft ar fi în mod corect raked peste cărbuni pentru acest lucru. În schimb, Microsoft eliberează un patch și este oferit utilizatorilor tuturor modelelor de PC-uri Windows prin Windows Update. Chiar și sistemul de operare Chrome propriu Google funcționează în acest fel, fără ca producătorii să treacă în cale.
Doriți o garanție reală a actualizărilor de securitate pentru telefonul dvs. smartphone? Trebuie să cumpărați un iPhone, deși chiar și telefoanele Windows de pe Windows sunt înaintea Androidului. Atunci când o gaură de securitate este descoperită într-un iPhone, Apple poate elibera un patch la fiecare utilizator iPhone toate dintr-o dată - chiar și transportatorii nu se împotmolește.
App permisiuni sunt un alt caz în cazul în care iPhones trounce telefoane Android. Android a început să fie puternic, oferind "permisiuni pentru aplicații" - puteți vedea ce cere o aplicație înainte de ao instala și alege să nu o instalați. iPhone-urile au acum un sistem de permisiuni îmbunătățite, de unde puteți selecta și alege în mod particular datele la care accesează o aplicație. Trebuie să utilizați o aplicație, dar nu doriți să îi acordați acces la persoanele de contact sau alte date sensibile? Puteți face acest lucru pe iOS.
Pe Android, permisiunile aplicațiilor sunt mai degrabă solicitante - luați-le sau lăsați-le. Aplicațiile solicită de multe ori mai multe permisiuni decât trebuie într-adevăr să funcționeze și niciodată nu știți cu adevărat dacă jocul pe care l-ați instalat încarcă lista de contacte într-un server de la distanță. Google lucrează la adăugarea unui control al permisiunilor pentru versiunile viitoare de Android, însă este prea puțin, prea târziu.Astfel de funcții sunt disponibile în prezent numai în ROM-uri personalizate de la terțe părți după ce Google a eliminat managerul de permisiune ascuns al Android.
iPhone-urile vă oferă, de fapt, control asupra aplicațiilor pe telefon, expunând permisiunile pentru aplicații ca elemente de control de confidențialitate utile, pe care cineva le poate înțelege. Acest lucru vă ajută să păstrați datele dvs. private protejate. Pe Android, este într-adevăr doar până la aplicație - puteți controla numai dacă utilizați acea aplicație sau nu.
Magazinul de aplicații blocat Apple a trecut peste bord în interzicerea anumitor tipuri de conținut, dar numai permiterea aplicațiilor dintr-o sursă aprobată oferă o anumită securitate suplimentară împotriva programelor malware. Cele mai multe programe malware de pe Android provin din afara Google Play, adesea când un utilizator descarcă o aplicație piratată și o instalează. Acest lucru nu este posibil fără jailbreaking un iPhone. Procesul de aprobare a magazinului de aplicații iOS este, de asemenea, un pic mai riguros, implicând o persoană care testează mai degrabă aplicația decât un algoritm automat.
Google trebuie să repare această situație. Este inacceptabil ca majoritatea dispozitivelor Android să nu primească niciodată actualizări de securitate și să rămână vulnerabile la un număr nesemnificativ de găuri de securitate. Multe dispozitive chiar au blocat încărcătoarele de boot, ceea ce te-ar împiedica să instalezi un bug personalizat.
Da, Android este o platformă deschisă cu mulți producători implicați, dar este și Windows. Google trebuie să-și facă platforma în ordine. Vom continua să vedem focare de securitate tot mai înrăutățitoare în Android, până când întregul ecosistem Android va începe să se îngrijească de securitate și va deveni capabil să răspândească problemele de securitate în timp util și consecvent, ca orice alt sistem de operare modern.
Credit de imagine: Indi Samarajiva pe Flickr