Oto brudny sekret: większość urządzeń z Androidem nigdy nie otrzymuje aktualizacji zabezpieczeń. Dziewięćdziesiąt pięć procent urządzeń z Androidem może teraz zostać zainfekowanych za pomocą wiadomości MMS, a to tylko najbardziej poważny błąd. Google nie ma możliwości zastosowania poprawek zabezpieczeń na tych urządzeniach, a producenci i dostawcy po prostu ich nie obchodzą.
Ekosystem Androida staje się toksycznym pejzażem niezałatwionych urządzeń wyposażonych w luki w zabezpieczeniach. Dla porównania, kiedy Apple iOS ma dziurę bezpieczeństwa, Apple może po prostu zaktualizować wszystkie obsługiwane iPhone'y o nową wersję. Nawet telefony z systemem Windows są lepsze od Androida.
Niedawny błąd StageMSMMS MMS daje nam dobre studium przypadku, pokazujące, co dzieje się, gdy ktoś odkryje lukę bezpieczeństwa w systemie Android. Google tworzy poprawki i stosuje je do głównego kodu źródłowego Androida open source. Następnie Google wysyła te poprawki do producentów sprzętu - Samsung, HTC, Sony, LG, Motorola, Lenovo i innych. Zaangażowanie Google kończy się tutaj. Nie mogą zmusić producentów do wydania tych poprawek. Często zdarza się, że proces się kończy.
Jeśli producent chce zastosować te poprawki, musi zastosować je do kodu Android urządzenia i zbudować nową wersję Androida dla tego urządzenia. Jest to oddzielny proces dla każdego obsługiwanego telefonu i tabletu. Każdy producent musi następnie skontaktować się z operatorem, z którym sprzedał telefony, i dostarczyć każdemu urządzeniu indywidualną poprawkę do każdego operatora na całym świecie. Zaangażowanie producenta kończy się tutaj. Nawet jeśli oszaleją i załatują każde urządzenie, które nadal obsługują - bardzo nieprawdopodobne - nie mogą zmusić operatorów do rzeczywistego zastosowania tych poprawek
Przewoźnicy mogą następnie wysłać nową, naprawioną wersję Androida na swoje urządzenia lub nie. Jeśli tak, istnieje duża szansa, że po długim okresie testowania luki w zabezpieczeniach będą nadal występować. Nawet jeśli przewoźnik chce to zrobić, istnieje spora szansa, że będą chcieli przetestować aktualizację tylko na kilku flagowych telefonach, a nie na starszych urządzeniach.
W praktyce większość urządzeń z Androidem po prostu nie otrzymuje aktualizacji zabezpieczeń i jest podatna na ataki. Firma Google nie zdecydowała się na wymuszanie dostarczania aktualizacji zabezpieczeń, tak jak egzekwuje inne kwestie w umowach z producentami. Producenci tworzą wiele, wiele różnych urządzeń i nie chcą wykonywać ich aktualizacji. Przewoźnicy wysyłają wiele, wiele różnych urządzeń i nie chcą ich testować. Zamiast dostarczać aktualizacje i utrzymywać stare telefony, będą raczej zachęcać klientów do zakupu nowych urządzeń. Te luki w zabezpieczeniach zostały naprawione w najnowszych kompilacjach Androida, więc nowe urządzenie będzie bezpieczne - przynajmniej do momentu znalezienia więcej dziur i nie do poprawienia.
Tak, ta funkcja "sprawdź dostępność aktualizacji" na urządzeniu z Androidem sprawdza, czy są jakieś aktualizacje zatwierdzone przez producenta i operatora. Nie jest to niezawodny sposób na zapewnienie aktualizacji zabezpieczeń.
Model aktualizacji Androida jest przerażająco uszkodzony. Nie chodzi tylko o otrzymywanie najnowszych i najlepszych funkcji. Zamiast tego nie ma sposobu, aby zagwarantować, że masz aktualne poprawki zabezpieczeń. Naprawdę nie ma nawet sposobu, aby dokładnie powiedzieć, które luki w zabezpieczeniach zostały załatane w twoim urządzeniu, ponieważ polegasz na tym, że producent dodaje łatkę do swojej niestandardowej wersji Androida i przenosi ją na twoje urządzenie.
Google próbowało tego uniknąć dzięki Usługom Google Play, które są automatycznie aktualizowane na wszystkich urządzeniach z Androidem. Ale może tylko tyle. Wszystkie urządzenia z Androidem w wersji 4.4.4 i starszej - czyli większość urządzeń z Androidem - mają obecnie przeglądarkę internetową pełną luk w zabezpieczeniach, ponieważ Google nie może jej zaktualizować. Teraz niemal wszystkie urządzenia z Androidem mogą zostać naruszone za pomocą wiadomości MMS.
Naprawdę, to jest okropne. Wyobraź sobie, że komputery przenośne z systemem Windows nigdy nie otrzymywały aktualizacji zabezpieczeń od firmy Microsoft. Zamiast tego Microsoft wydaje łatki dla firm Dell, Lenovo, HP i innych producentów. Producent może je załatać lub nie, a jeśli zdecydują się to załatać, łatka musi zostać zatwierdzona przez sklep, w którym kupiłeś komputer, zanim dotarł do ciebie. Microsoft słusznie zgarnąłby za to węgle. Zamiast tego Microsoft wydaje łatkę i jest dostarczana użytkownikom wszystkich modeli komputerów z systemem Windows za pośrednictwem witryny Windows Update. Nawet własny system operacyjny Chrome działa w ten sposób, a producenci nie wchodzą mu w drogę.
Chcesz faktycznej gwarancji aktualizacji zabezpieczeń na smartfonie? Prawie musisz kupić iPhone'a, chociaż nawet telefony firmy Microsoft z systemem Windows wyprzedzają Androida. Po wykryciu luki w zabezpieczeniach iPhone'a, Apple może wydać łatkę dla każdego użytkownika iPhone'a naraz - nawet przewoźnicy nie wchodzą w drogę.
Uprawnienia aplikacji to kolejny przypadek, w którym iPhone huczy telefony z Androidem. Android zaczął działać bardzo prężnie, oferując "uprawnienia aplikacji" - możesz zobaczyć, czego wymaga aplikacja, zanim ją zainstalujesz i nie instalujesz jej. iPhone ma teraz ulepszony system uprawnień, w którym można wybrać i wybrać dane, do których aplikacja ma dostęp. Chcesz skorzystać z aplikacji, ale nie chcesz jej przyznać swoim kontaktom lub innym poufnym danym? Możesz to zrobić na iOS.
W przypadku Androida uprawnienia aplikacji są bardziej podobne do żądań - weź je lub odrzuć. Aplikacje często pytają o wiele więcej uprawnień, niż naprawdę potrzebują, i nigdy nie wiadomo, czy zainstalowana gra przesyła listę kontaktów na serwer zdalny. Google pracuje nad dodaniem kontroli uprawnień do przyszłych wersji Androida, ale to za mało, za późno.Takie funkcje są obecnie dostępne tylko w niestandardowych ROM-ach po usunięciu przez Google ukrytego menedżera uprawnień Androida.
iPhone w rzeczywistości daje kontrolę nad tym, co aplikacje mogą robić na telefonie, ujawniając uprawnienia do aplikacji, jako pomocne elementy kontroli prywatności, które każdy może zrozumieć. Pomaga to chronić dane prywatne. Na Androidzie to naprawdę zależy od aplikacji - możesz kontrolować, czy korzystasz z tej aplikacji, czy nie.
Zablokowany sklep z aplikacjami firmy Apple wyszedł za burtę, blokując określone typy treści, ale tylko zezwalanie aplikacjom z zatwierdzonego źródła zapewnia dodatkowe zabezpieczenia przed złośliwym oprogramowaniem. Większość złośliwego oprogramowania na Androida pochodzi spoza Google Play, często gdy użytkownik pobiera piracką aplikację i instaluje ją. Nie jest to możliwe bez jailbreakingu iPhone'a. Proces zatwierdzania sklepu z aplikacjami iOS jest również nieco bardziej rygorystyczny, ponieważ dotyczy osoby, która faktycznie testuje aplikację, a nie zautomatyzowany algorytm.
Google musi naprawić tę sytuację. Niedopuszczalne jest, aby większość urządzeń z Androidem nigdy nie otrzymywała aktualizacji zabezpieczeń i pozostawała podatna na niezliczoną liczbę luk w zabezpieczeniach. Wiele urządzeń ma nawet zablokowane bootloadery, co uniemożliwiłoby łatanie błędu przez zainstalowanie niestandardowej pamięci ROM.
Tak, Android to otwarta platforma z udziałem wielu producentów, ale tak samo jest z Windows. Google musi uporządkować swoją platformę. Nadal będziemy obserwować coraz większe wybuchy epidemii bezpieczeństwa w obszarach Androida, dopóki cały ekosystem Androida nie zacznie dbać o bezpieczeństwo i będzie mógł szybko i konsekwentnie łatać problemy z bezpieczeństwem, tak jak każdy inny nowoczesny system operacyjny.
Image Credit: Indi Samarajiva na Flickr