Ja izmantojat Google Pixel tālruni, tālrunis ir drošībā drošības caurums, kas var ļaut PNG failam pilnībā sagraut sistēmu. Ja izmantojat gandrīz jebkuru citu Android tālruni, tālrunis ir neaizsargāts. Tā ir problēma.
Google nesen izlaida februāra drošības atjauninājumu Pixel ierīcēm, kas aizver caurumu, kas ļautu ļaunprātīgiem PNG failiem “izpildīt patvaļīgu kodu priviliģēta procesa kontekstā”. Vienkāršāk sakot, kods var darboties augstā līmenī un nozagt jūsu informāciju — viss, kas jums jādara, ir atvērt failu. Tieši tā.
Tas nozīmē, ka jebkurš PNG, kas jums tiek nosūtīts — neatkarīgi no tā, vai tas ir e-pastā, ziņojumapmaiņas klientā vai pat ar MMS palīdzību, var potenciāli nolaupīt sistēmu un nozagt vērtīgus datus. Tas ir, jebkurā tālrunī, kas nav Pixel, jo tie tagad ir aizsargāti. Samsung, LG, OnePlus un vairums citu ražotāju tālruņu joprojām ir jutīgi pret šo kļūdu. Mums jāsāk ražotājiem izvirzīt augstākus standartus attiecībā uz drošības atjauninājumiem. Periods.
Pašlaik man rokas stiepiena attālumā ir četri Android tālruņi: Pixel 2 XL, Pixel 1, Samsung Galaxy S9 un OnePlus 6T. Divi pikseļi ir laboti un aizsargāti ar februāra atjauninājumu, bet S9 un 6T ir tikai decembra drošības ielāpi. Tas nozīmē, ka visas jaunākās ievainojamības, piemēram, šīs PNG, abos šajos tālruņos nav novērstas. Ņemot vērā, ka Samsung Galaxy ierīces ir vieni no populārākajiem tālruņiem uz planētas, tas ir satraucoši.
Taču tā nav tikai problēma pašreizējās problēmas dēļ. Šī ir dinamiska problēma, kas pastāvīgi satrauc — vai vismaz tai vajadzētu būt. Kamēr pastāv jaunas ievainojamības, aizkavēti drošības atjauninājumi vienmēr būs problēma. Tātad vienkāršāk sakot: tā vienmēr būs problēma, jo ievainojamības ir garantētas.
Lai gan Android “sadrumstalotība” jau sen ir bijusi problēma (būtībā kopš platformas ieviešanas), kad runa ir par pilniem OS atjauninājumiem, tam nevajadzētu attiekties uz drošības atjauninājumiem. Tie nav atjauninājumi “jaunas funkcijas ir foršas, un es tos vēlos”, tie ir būtiski datu aizsardzības atjauninājumi. Neatkarīgi no tā, vai tie ir mazi vai nē, nevienam patērētājam to nevajadzētu aizmirst. Kādreiz.
Pašlaik ražotāji dara šausmīgu darbu, lai aizsargātu savus lietotājus, punkts. Lai gan pilnu OS atjauninājumu (vai pat izlaidumu) nesaņemšana labākajā gadījumā ir kaitinoša, drošības atjauninājumu nesaņemšana ir nepieņemama. Tas nosūta ziņojumu, kuru nevar ignorēt: tajā teikts, ka tālruņa ražotājam nerūp jūsu dati. Jūsu informācija nav pietiekami svarīga, lai viņi to aizsargātu.
Drošības atjauninājumi nav tik lieli kā pilni OS atjauninājumi vai pat punktveida izlaidumi. Google tos izlaiž katru mēnesi, tāpēc tie ir daudz mazāki un vieglāk iekļaujami sistēmā — pat trešo pušu ražotājiem. Atkal, nav īsta attaisnojuma, lai to nenoteiktu par prioritāti.
Pagājušajā gadā Google to pieprasīja ražotāji piedāvā drošības atjauninājumus vismaz divus gadus klausulēm. (Pixel tālruņiem tiek garantēts trīs gadi.) Vai ir problēma? Tam nepieciešami tikai “vismaz četri” atjauninājumi gada laikā. Tas notiek reizi ceturksnī, nevis reizi mēnesī, un tieši to dara lielākā daļa ražotāju. Pats minimums. Un tas vienkārši nav pietiekami labs.
Kāpēc? Jo visu laiku tiek atklātas jaunas ievainojamības. Es nevēlos, lai mani dati tiktu potenciāli apdraudēti, kamēr es gaidu, līdz mana tālruņa ražotājs vienā atjauninājumā sagatavos trīs mēnešus vērtus drošības labojumus — es vēlos, lai tie tiktu veikti, tiklīdz Google tos izlaidīs, un arī jums tas jādara.
Šī PNG ievainojamība ir tikai viens piemērs. Mēnesi pēc mēneša tiek atklātas šāda veida problēmas, un, tā kā lielākā daļa ražotāju izspiež drošības atjauninājumus mēnešus vēlāk, jūsu dati tiek atklāti daudz ilgāk, nekā tas ir pieņemams.
Lai gan es vēlos, lai būtu vienkārša atbilde par to, kā to novērst, diemžēl tādas nav. Kamēr ražotāji sāk nopietnāk uztvert jūsu informāciju, ir tikai viena reāla atbilde: iegādājieties citu tālruni. Apple un Google regulāri ir pierādījuši, ka viņiem rūp lietotāju dati, tāpēc iPhone un Pixel tālruņi ir lieliska izvēle lietotājiem, kuri vēlas darīt visu iespējamo, lai aizsargātu savus datus.
Lai arī cik klišejiski tas neizklausītos (un, godīgi sakot, man ir apriebies to dzirdēt): ir pienācis laiks balsot ar savu maku. Nepērciet tālruņus no ražotājiem, kuriem nerūp jūsu dati. Tas ir vienīgais veids, kā viņi sapratīs, ka tas ir nopietni.