10Aug
Itt egy piszkos titok: A legtöbb Android-eszköz soha nem kap biztonsági frissítést. Az Android készülékek kilencvenöt százaléka kompromittálható MMS-üzenet útján, és ez csak a legmagasabb szintű hiba. A Google semmilyen módon nem alkalmazhat biztonsági javításokat ezekre az eszközökre, és a gyártók és a szolgáltatók nem érdekelnek.
Az Android ökoszisztémája mérgező hellscape-nek tűnik a biztonsági lyukakkal feltörhetetlen, nem beillesztett eszközöknek.Összehasonlításképpen, amikor az Apple iOS-nak biztonsági lyukak vannak, az Apple csak frissítheti az összes támogatott iPhone-ot egy új verzióval. Még a Windows telefonok is jobbak, mint az Android.
Android telefonok nem garantáltak biztonsági frissítések beszerzéséhez
A közelmúltban bemutatott Stagefright MMS-hiba jó esettanulmányt nyújt, bemutatva mi történik, ha valaki felfedez egy biztonsági lyukat az Androidban. A Google létrehozza a javításokat és alkalmazza azokat a fő Android nyílt forráskódú projektkódra. A Google ezután elküldi ezeket a javításokat a hardvergyártóknak - a Samsungnak, a HTC-nek, a Sony-nak, az LG-nek, a Motorola-nak, a Lenovo-nak és másoknak. A Google részvétele itt véget ér. Nem kényszeríthetik a gyártókat arra, hogy ténylegesen felszabadítsák ezeket a javításokat. Ez gyakran úgy tűnik, hogy a folyamat véget ér.
Ha egy gyártó nem akarja alkalmazni ezeket a javításokat, alkalmaznia kell őket egy eszköz Android-kódjára, és új verziót kell telepítenie az eszközre. Ez egy különálló folyamat minden olyan telefonhoz és táblagéphez, amelyet a gyártó támogat. Ezután minden gyártónak fel kell vennie a kapcsolatot a fuvarozóval, hogy eladta a telefonokat, és minden egyes eszköz-specifikus patch-ot minden egyes fuvarozó számára világszerte. Itt fejeződik be a gyártó részvétele. Még ha meg is őrülnek és megcsinálják azokat az eszközöket, amelyek még mindig támogatják - nagyon valószínűtlen - nem kényszeríthetik a fuvarozókat arra, hogy ténylegesen alkalmazzák ezeket a javításokat. Az
A szállítók ezután választhatják, hogy elküldik az új, feltöltött Android verziókat az eszközükre, vagy sem. Ha igen, jó esély van arra, hogy egy kiterjedt vizsgálati időszak után, ahol a biztonsági lyukak továbbra is ott maradnak. Még ha a fuvarozó is ezt akarja tenni, jó esély van arra, hogy csak néhány zászlóshajóra, és nem régebbi eszközre próbálják tesztelni a frissítést.
A gyakorlatban a legtöbb Android-eszköz egyszerűen nem kap biztonsági frissítést, és sérülékeny marad. A Google nem úgy döntött, hogy érvényesíteni fogja a biztonsági frissítések kézbesítését, ahogyan a más gyártókkal kötött szerződések érvényesítését. A gyártók sok, sok különböző eszközt hoznak létre, és nem szeretnék mindent frissíteni. A fuvarozók sok, sok különböző eszközt szállítanak, és nem akarják tesztelni őket. A frissítések és a régi telefonok karbantartása helyett inkább az új eszközök vásárlására kényszerítik az ügyfeleket. Ezeket a biztonsági lyukakat az Android legfrissebb verzióiban rögzítették, így egy új eszköz biztonságos lesz - legalábbis addig, amíg több lyuk nem található, és nem javítva.
Igen, az Android-eszközön a "frissítések ellenőrzése" funkció csak akkor ellenőrzi, hogy van-e gyártó és szállító által jóváhagyott frissítés. Ez nem megbízható módszer a biztonsági frissítések biztosítására. Az
iPhones Garantált Timely Biztonsági frissítések
Az Android frissítési modell szörnyen sérült. Nem csak arról van szó, hogy megkapja a legújabb és legnagyobb szolgáltatásokat. Ehelyett nincs mód garantálni a jelenlegi biztonsági javításokat. Valójában még nem lehet pontosan megmondani, hogy mely biztonsági lyukak lettek beillesztve a készüléken, hiszen attól függ, hogy a gyártó hozzáadta-e a javítást a saját Android-alapú verziójához, és kijavította az eszközre.
A Google megpróbálta elkerülni ezt a Google Play Services szolgáltatással, amely automatikusan frissül az összes Android-eszközön. De csak annyit tehet. Az Android 4.4.4-es vagy annál régebben futó Android-eszközök - vagyis a legtöbb Android-eszköz - jelenleg biztonsági résekkel ellátott böngészővel rendelkeznek, mert a Google nem tudja frissíteni.És most, szinte az összes Android-eszköz mostantól kompromisszumos az MMS-mel.
Tényleg, ez szörnyű.Képzeld el, hogy a Windows laptopok soha nem kaptak biztonsági frissítéseket a Microsofttól. Ehelyett a Microsoft kiadna javításokat a Dell, a Lenovo, a HP és más gyártók számára. A gyártó dönthet úgy, hogy javításra vagy nem, és ha úgy döntenek, hogy javításra kerül, akkor azt a javítócsomagot jóvá kell hagynia a boltban, ahonnan megvásárolta a laptopot, mielőtt elérte volna. A Microsoft helyesen döntötte volna el a szenet. Ehelyett a Microsoft kiadja a javítást, és a Windows Update szolgáltatáson keresztül a Windows PC-k összes modelljének használója. Még a Google saját Chrome OS is működik, anélkül, hogy a gyártók bejutnának az útba.
Szeretné a biztonsági frissítések aktuális garanciáját az okostelefonjára? Nagyon sok iPhone-t kell megvásárolnia, bár még a Microsoft Windows telefonja is az Android előtt van. Ha egy iPhone-ban egy biztonsági lyukat fedeznek fel, az Apple bármikor felszabadíthat egy patchet minden iPhone-felhasználó számára - még a fuvarozók sem jutnak be az útba. Az
engedélyek és az adatkezelés szabályai jobbak az iOS-n túl, túl
Az alkalmazásengedélyek egy másik eset, amikor az iPhones megköti az Android telefonokat. Az Android erőteljesen elindult, és "app engedélyeket" kínál. Megtekintheti, hogy az alkalmazás milyen telepítést igényel, és nem kívánja telepíteni. Az iPhone-oknak jelenleg van egy továbbfejlesztett engedélyezési rendszere, ahol ténylegesen kiválaszthatja és kiválaszthatja, hogy az adott alkalmazáshoz mely adatokhoz fér hozzá.Alkalmazást szeretne használni, de nem szeretné hozzáférni a kapcsolattartókhoz vagy egyéb érzékeny adatokhoz? Ezt teheted iOS rendszeren.
Android-on az alkalmazásengedélyek jobban hasonlítanak az igényekre - vegye be vagy hagyja el. Az alkalmazások gyakran több engedélyt kérnek, mint amennyire valóban szükségük van, és soha nem igazán tudják, hogy a telepített játék feltölti-e a névjegyzékét egy távoli kiszolgálóra. A Google azon dolgozik, hogy engedélyezzen engedélyt az Android jövőbeli verzióihoz, de ez túl kicsi, túl késő.Az ilyen funkciók jelenleg csak harmadik féltől származó egyedi ROM-okban érhetők el, miután a Google eltávolította az Android rejtett engedélykezelőjét. Az
iPhones ténylegesen megadja az irányítást, hogy milyen alkalmazások tehetnek a telefonján, és az alkalmazásengedélyeket olyan hasznos adatvédelmi ellenőrzésekként jelenítheti meg, amelyeket bárki meg tudja érteni. Ez segít megőrizni a személyes adatait. Android-on valóban csak az alkalmazásig érhető el - csak akkor tudja ellenőrizni, hogy használja-e az alkalmazást, akár nem.
Az Apple lefagyott alkalmazásboltja bizonyos fajta tartalmak betiltását elmozdította, de csak az engedélyezett forrásokból származó alkalmazások engedélyezése nyújt további védelmet a rosszindulatú programok ellen. Az Android legtöbb rosszindulatú programja kívül esik a Google Playen kívül, gyakran, amikor a felhasználó letölti a kalózalkalmazást és telepíti azt. Ez nem lehetséges anélkül, hogy a jailbreaking egy iPhone. Az iOS app store jóváhagyási folyamata egy kicsit szigorúbb is, amely magában foglalja azt a személyt, aki valójában teszteli az alkalmazást, nem pedig egy automatizált algoritmust.
A Googlenak javítania kell ezt a helyzetet. Elfogadhatatlan, hogy a legtöbb Android-eszköz soha nem kap biztonsági frissítéseket, és sebezhetővé válik számtalan biztonsági résnek. Számos eszköz még zárolt rendszerindító eszközöket is tartalmaz, amelyek megakadályozzák Önnek, hogy saját hibaüzenettel telepítse a hibát.
Igen, az Android egy nyitott platform, amely számos gyártóval foglalkozik, de a Windows is így van. A Googlenak meg kell szereznie a platformját. Továbbra is látni fogjuk az egyre súlyosabban növekvő biztonsági felrokat az Android földjein, amíg a teljes Android ökoszisztéma elkezdi védeni a biztonságot, és időben és következetesen képes lesz biztonsági problémák megoldására, mint minden más modern operációs rendszer.
képarány: Indi Samarajiva a Flickr
-en