Користувачі телефонів Google Pixel мають перевагу: їх пристрої захищені від небезпечної вразливості, яка дозволяла PNG-файлам руйнувати систему. Власники майже всіх інших Android-телефонів, на жаль, залишаються під загрозою. Це серйозне питання.
Компанія Google нещодавно випустила лютневий патч безпеки для Pixel. Він усуває вразливість, через яку шкідливі PNG-файли могли виконувати довільний код, отримуючи доступ до привілейованих процесів. Простіше кажучи, зловмисники могли б запустити код з високими правами, що дозволило б їм викрасти вашу особисту інформацію. Достатньо було просто відкрити файл.
Це означає, що будь-яке зображення у форматі PNG, отримане вами через електронну пошту, месенджер або навіть MMS, потенційно може дозволити зловмисникам захопити контроль над вашим пристроєм і викрасти ваші цінні дані. Звісно, якщо ви не є власником Pixel, адже ці смартфони тепер захищені. Samsung, LG, OnePlus та інші виробники залишаються вразливими до цієї загрози. Настав час вимагати від виробників вищих стандартів в питаннях своєчасних оновлень безпеки.
Наразі в моєму розпорядженні є чотири смартфони Android: Pixel 2 XL, Pixel 1, Samsung Galaxy S9 та OnePlus 6T. Обидва Pixel отримали лютневе оновлення і є захищеними, тоді як S9 і 6T працюють лише на грудневих патчах безпеки. Це означає, що нові вразливості, такі як проблема з PNG-файлами, залишаються невирішеними на цих пристроях. Враховуючи, що телефони Samsung Galaxy є одними з найпоширеніших у світі, це викликає серйозне занепокоєння.
Проблема не обмежується лише поточною вразливістю. Це постійна динамічна проблема, яка повинна нас хвилювати. Поки існують нові загрози, затримки з оновленнями безпеки завжди будуть актуальними. Простіше кажучи, це завжди буде проблемою, тому що нові вразливості неминучі.
Хоча фрагментація Android вже давно є проблемою, особливо коли мова йде про великі оновлення операційної системи, вона не повинна поширюватись на оновлення безпеки. Це не питання “хочу нових функцій”, це питання надійного захисту даних. Незалежно від того, наскільки малі ці оновлення, їх не можна ігнорувати.
На даний момент, виробники роблять жахливу роботу щодо захисту своїх користувачів. Відсутність великих оновлень ОС може бути прикрою, але відсутність оновлень безпеки є неприпустимою. Це чіткий сигнал: виробник вашого телефону не дбає про ваші дані. Ваша інформація недостатньо цінна, щоб її захищати.
Оновлення безпеки не такі великі, як оновлення ОС. Google випускає їх щомісяця, тому вони є набагато меншими та простішими для інтеграції в систему, навіть для сторонніх виробників. Знову ж таки, немає жодного виправдання, щоб не ставити їх в пріоритет.
Минулого року Google вимагав від виробників забезпечення мінімум двох років оновлень безпеки для своїх телефонів. (Телефони Pixel гарантовано отримують три роки). У чому проблема? Вимога полягає лише в “щонайменше чотирьох” оновленнях на рік. Це щоквартально, а не щомісячно, і саме так робить більшість виробників. Це мінімум, і цього недостатньо.
Чому? Тому що нові вразливості виявляються постійно. Я не хочу, щоб мої дані були під загрозою, поки виробник мого телефону не підготує тримісячні виправлення безпеки в одному пакеті. Я хочу отримувати їх одразу, як тільки Google їх випускає, і ви також повинні цього вимагати.
Проблема з PNG-файлами – це лише один приклад. Щомісяця з’являються схожі загрози, а більшість виробників випускають оновлення безпеки з затримкою в декілька місяців, що залишає ваші дані вразливими набагато довше, ніж це є прийнятним.
На жаль, немає простого рішення. Поки виробники не почнуть ставитись до безпеки даних користувачів з більшою відповідальністю, є лише один вихід: купувати телефони від більш надійних виробників. Apple і Google регулярно доводять, що вони дбають про безпеку даних своїх користувачів, тому iPhone та Pixel є хорошим вибором для тих, хто хоче захистити свою інформацію.
Можливо, це звучить банально, але настав час голосувати своїм гаманцем. Не купуйте телефони у виробників, які не турбуються про ваші дані. Тільки так вони зрозуміють, що це серйозна проблема.