Jeśli używasz telefonu Google Pixel, Twój telefon jest zabezpieczony przed luka w zabezpieczeniach, która może pozwolić plikowi PNG całkowicie zniszczyć system. Jeśli używasz prawie każdego innego telefonu z Androidem, Twój telefon jest podatny na ataki. To jest problem.
Google ostatnio wydał lutową aktualizację zabezpieczeń dla urządzeń Pixel, który zamyka lukę, która pozwoliłaby złośliwym plikom PNG na „wykonanie dowolnego kodu w kontekście procesu uprzywilejowanego”. Mówiąc prościej, kod może działać na wysokim poziomie i wykraść Twoje informacje – wszystko, co musisz zrobić, to otworzyć plik. Otóż to.
Oznacza to, że każdy plik PNG, który przychodzi do Ciebie – czy to w wiadomości e-mail, kliencie do obsługi wiadomości, czy nawet przez MMS – może potencjalnie przejąć system i ukraść cenne dane. Oznacza to, że na każdym telefonie, który nie jest Pixelem, ponieważ są teraz chronione. Telefony Samsung, LG, OnePlus i większości innych producentów są nadal podatne na ten błąd. Musimy zacząć utrzymywać producentów na wyższym poziomie, jeśli chodzi o aktualizacje zabezpieczeń. Kropka.
Obecnie mam w zasięgu ręki cztery telefony z Androidem: Pixel 2 XL, Pixel 1, Samsung Galaxy S9 i OnePlus 6T. Te dwa piksele są załatane i chronione w lutowej aktualizacji, ale S9 i 6T mają tylko grudniowe poprawki bezpieczeństwa. Oznacza to, że wszystkie nowsze luki – na przykład ta w formacie PNG – nie zostały załatane na obu tych telefonach. Biorąc pod uwagę, że urządzenia Samsung Galaxy należą do najpopularniejszych telefonów na świecie, jest to niepokojące.
Ale to nie tylko problem z powodu obecnego problemu. Jest to dynamiczny problem, który jest przedmiotem nieustannej troski – a przynajmniej powinien. Dopóki pojawiają się nowe luki, opóźnione aktualizacje zabezpieczeń zawsze będą stanowić problem. Mówiąc prościej: zawsze będzie to problem, ponieważ gwarantowane są luki w zabezpieczeniach.
Chociaż „fragmentacja” Androida od dawna stanowi problem (zasadniczo od czasu wprowadzenia platformy), jeśli chodzi o pełne aktualizacje systemu operacyjnego, nie powinno to dotyczyć aktualizacji zabezpieczeń. Nie są to aktualizacje typu „nowe funkcje są fajne i chcę ich”, są to kluczowe aktualizacje chroniące dane. Niezależnie od tego, czy są małe, czy nie, nie jest to coś, czego każdy konsument powinien przeoczyć. Zawsze.
Obecnie producenci wykonują okropną robotę chroniąc swoich użytkowników, kropka. Nie otrzymywanie pełnych aktualizacji systemu operacyjnego (a nawet wersji punktowych) jest w najlepszym przypadku irytujące, ale brak aktualizacji zabezpieczeń jest niedopuszczalny. Wysyła wiadomość, której nie można zignorować: mówi, że producent telefonu nie dba o Twoje dane. Twoje informacje nie są dla nich wystarczająco ważne, by je chronić.
Aktualizacje zabezpieczeń nie są ogromne, jak pełne aktualizacje systemu operacyjnego, a nawet wydania punktowe. Są wydawane co miesiąc przez Google, więc są znacznie mniejsze i łatwiejsze do wprowadzenia do systemu – nawet dla zewnętrznych producentów. Ponownie, nie ma prawdziwej wymówki, aby nie traktować tego priorytetowo.
W zeszłym roku firma Google tego wymagała producenci oferują co najmniej dwa lata aktualizacji zabezpieczeń do słuchawek. (Telefony Pixel mają gwarancję na trzy lata.) Problem z tym? Wymaga jedynie „co najmniej czterech” aktualizacji w ciągu roku. To co kwartał, a nie co miesiąc – i dokładnie to robi większość producentów. Absolutne minimum. I to nie wystarczy.
Czemu? Ponieważ nowe luki są cały czas ujawniane. Nie chcę, aby moje dane były potencjalnie zagrożone, gdy czekam, aż producent mojego telefonu przygotuje trzy miesięczne poprawki zabezpieczeń w jednej aktualizacji – chcę, aby były one dostępne, gdy tylko Google je udostępni, a Ty też powinieneś.
Ta luka w formacie PNG to tylko jeden przykład. Miesiąc po miesiącu tego typu problemy są wykrywane, a większość producentów publikuje aktualizacje zabezpieczeń miesiące później, co powoduje, że dane są narażone znacznie dłużej, niż jest to dopuszczalne.
Żałuję, że nie ma łatwej odpowiedzi, jak to naprawić, ale niestety nie ma. Dopóki producenci nie zaczną poważniej traktować twoich informacji, jest tylko jedna prawdziwa odpowiedź: kup inny telefon. Apple i Google rutynowo udowadniają, że dbają o dane użytkowników, więc telefony iPhone i Pixel są doskonałym wyborem dla użytkowników, którzy chcą zrobić wszystko, co w ich mocy, aby chronić swoje dane.
Choć brzmi to banalnie (i mam już dość słuchania tego): czas zagłosować za pomocą portfela. Nie kupuj telefonów od producentów, którzy nie dbają o Twoje dane. Tylko w ten sposób dowiedzą się, że to poważna sprawa.