10Aug
Hier is een vies geheim: de meeste Android-apparaten ontvangen nooit beveiligingsupdates. Vijfennegentig procent van Android-apparaten kan nu worden aangetast via een MMS-bericht, en dat is gewoon de meest opvallende bug. Google kan op geen enkele manier beveiligingspatches op deze apparaten toepassen en fabrikanten en providers maken zich er gewoon niet druk om.
Het Android-ecosysteem wordt een giftig hellandschap van niet-gepatchte apparaten die vol zitten met veiligheidslekken. Ter vergelijking: wanneer Apple's iOS een gat in de beveiliging heeft, kan Apple gewoon alle ondersteunde iPhones bijwerken met een nieuwe versie. Zelfs Windows-telefoons zijn hier beter dan Android.
Android-telefoons zijn niet gegarandeerd om beveiligingsupdates te krijgen
De recente Stagefright MMS-bug geeft ons een goede case study, die aantoont wat er gebeurt wanneer iemand een beveiligingslek in Android ontdekt. Google maakt patches en past deze toe op de belangrijkste Android open source projectcode. Google stuurt deze patches vervolgens naar hardwarefabrikanten - Samsung, HTC, Sony, LG, Motorola, Lenovo en anderen. De betrokkenheid van Google eindigt hier. Ze kunnen fabrikanten niet dwingen deze patches daadwerkelijk vrij te geven. Dit lijkt vaak het einde van het proces te zijn.
Als een fabrikant deze patches wil toepassen, moeten ze deze toepassen op de Android-code van een apparaat en een nieuwe versie van Android voor dat apparaat bouwen. Dit is een afzonderlijk proces voor elke afzonderlijke telefoon en tablet die door de fabrikant wordt ondersteund. Elke fabrikant moet dan contact opnemen met de aanbieder van de telefoons en elke individuele apparaatspecifieke patch aan elke vervoerder over de hele wereld verstrekken. De betrokkenheid van de fabrikant eindigt hier. Zelfs als ze gek worden en elk afzonderlijk apparaat patchen dat ze nog steeds ondersteunen - zeer onwaarschijnlijk - kunnen ze luchtvaartmaatschappijen niet dwingen om deze patches daadwerkelijk toe te passen
-providers kunnen er vervolgens voor kiezen de nieuwe, gepatchte Android-build naar hun apparaten te verzenden of niet. Als ze dat doen, is de kans groot dat het na een uitgebreide testperiode is, waarin de gaten in de beveiliging blijven hangen. Zelfs als een koerier dit wel wil doen, is de kans groot dat ze de update alleen willen testen op een paar vlaggenschiptelefoons en niet op oudere apparaten.
In de praktijk ontvangen de meeste Android-apparaten geen beveiligingsupdates en blijven ze kwetsbaar. Google heeft er niet voor gekozen de levering van beveiligingsupdates af te dwingen, zoals het afdwingen van andere dingen in contracten met fabrikanten. Fabrikanten maken vele, veel verschillende apparaten en willen niet het werk doen om ze allemaal bij te werken. Vervoerders verzenden veel, veel verschillende apparaten en willen ze niet testen. In plaats van updates uit te voeren en oude telefoons te onderhouden, pushen ze liever dat klanten nieuwe apparaten kopen. Die gaten in de beveiliging zijn opgelost in de nieuwste builds van Android, dus een nieuw apparaat is veilig - tenminste tot er meer gaten worden gevonden en niet gepatcht.
Ja, die "controleer op updates" -functie op uw Android-apparaat controleert alleen of er updates zijn van fabrikanten en providers. Het is geen betrouwbare manier om te zorgen dat u beveiligingsupdates heeft.
iPhones zijn gegarandeerd tijdige beveiligingsupdates
Het Android-updatemodel is gruwelijk gebroken. Het gaat niet alleen om het ontvangen van de nieuwste en beste functies. In plaats daarvan is er geen manier om te garanderen dat u de huidige beveiligingspatches hebt. Er is eigenlijk geen manier om precies te vertellen welke beveiligingslekken zijn geratcht op uw apparaat, omdat u afhankelijk bent van de fabrikant die de patch toevoegt aan hun aangepaste Android-build en deze uitbreidt naar uw apparaat.
Google heeft geprobeerd dit te voorkomen met Google Play Services, dat automatisch wordt bijgewerkt op alle Android-apparaten. Maar het kan alleen zoveel doen. Alle Android-apparaten met Android 4.4.4 en ouder - de meeste Android-apparaten - hebben momenteel een webbrowser vol gaten in de beveiliging omdat Google deze niet kan bijwerken. En nu kunnen bijna alle Android-apparaten nu worden gehackt met een MMS.
Echt, dit is verschrikkelijk. Stel je voor dat Windows-laptops nooit beveiligingsupdates van Microsoft hebben ontvangen. In plaats daarvan zou Microsoft patches afgeven aan Dell, Lenovo, HP en andere fabrikanten. De fabrikant kan ervoor kiezen om het te patchen of niet, en als ze ervoor kiezen om het te patchen, zou die patch moeten worden goedgekeurd door de winkel waar je de laptop hebt gekocht voordat deze jou bereikte. Microsoft zou hiervoor terecht voor de kolen worden geharkt. In plaats daarvan geeft Microsoft een patch uit en wordt deze via Windows Update aan gebruikers van alle modellen Windows-pc's geleverd. Zelfs het eigen Chrome OS van Google werkt op deze manier zonder dat fabrikanten in de weg lopen.
Wilt u een actuele garantie voor beveiligingsupdates voor uw smartphone? Je moet zo'n beetje een iPhone kopen, hoewel de Windows-telefoons van Microsoft nu voor op Android staan. Wanneer een gat in de beveiliging in een iPhone wordt ontdekt, kan Apple in één keer een patch aan elke iPhone-gebruiker geven - zelfs dragers staan niet in de weg.
-machtigingen en privacybeheer zijn ook beter op iOS,
App-machtigingen zijn een ander geval waarin iPhones Android-telefoons gebruiken. Android is sterk begonnen en biedt "app-rechten" - je kunt zien wat een app vereist voordat je het installeert en kies ervoor om het niet te installeren.iPhones hebben nu een verbeterd toestemmingssysteem waarmee u daadwerkelijk kunt kiezen en kiezen tot welke gegevens een app toegang heeft. Wilt u een app gebruiken, maar wilt u hem geen toegang geven tot uw contacten of andere gevoelige gegevens? Je kunt dit op iOS doen.
Op Android lijken app-rechten meer op eisen - neem het of laat het staan. Apps vragen vaak om veel meer rechten dan ze echt nodig hebben om te functioneren en je weet nooit echt of die game die je hebt geïnstalleerd je contactenlijst uploadt naar een externe server. Google werkt aan het toevoegen van een machtigingsbeheer aan toekomstige versies van Android, maar dat is te weinig, te laat. Dergelijke functies zijn momenteel alleen beschikbaar in aangepaste aangepaste ROM's van derden nadat Google de verborgen permissiemanager van Android heeft verwijderd.
iPhones geven je eigenlijk controle over wat apps kunnen doen op je telefoon, waardoor app-machtigingen worden weergegeven als nuttige privacy-instellingen die iedereen kan begrijpen. Dit helpt uw privégegevens veilig te houden. Op Android is het eigenlijk alleen maar de app - je kunt alleen bepalen of je die app gebruikt of niet.
De vergrendelde appwinkel van Apple is overboord gegooid bij het verbieden van specifieke soorten inhoud, maar alleen toestaan dat apps van een goedgekeurde bron enige extra beveiliging tegen malware bieden. De meeste malware op Android komt van buiten Google Play, vaak als een gebruiker een illegale app downloadt en deze installeert. Dit is niet mogelijk zonder een iPhone te jailbreaken. Het goedkeuringsproces van de iOS-app store is ook een beetje strenger, waarbij iemand betrokken is die de app daadwerkelijk test in plaats van een geautomatiseerd algoritme.
Google moet deze situatie oplossen. Het is onaanvaardbaar dat de meeste Android-apparaten nooit beveiligingsupdates ontvangen en kwetsbaar blijven voor een ontelbaar aantal beveiligingslekken. Veel apparaten hebben zelfs vergrendelde bootloaders, waardoor u de patch zelf niet kunt patchen door een aangepaste ROM te installeren.
Ja, Android is een open platform met veel fabrikanten, maar ook Windows. Google moet zijn platform op orde krijgen. We zullen doorgaan met het zien van steeds verslechterende beveiligingsuitbraken in Android land totdat het volledige Android-ecosysteem zich begint te bekommeren om de beveiliging en in staat is beveiligingsproblemen op een tijdige en consistente manier te patchen, zoals elk ander modern besturingssysteem.
Image Credit: Indi Samarajiva op Flickr