Якщо ви використовуєте телефон Google Pixel, ваш телефон захищений діра в безпеці, яка може дозволити файлу PNG повністю зруйнувати систему. Якщо ви використовуєте майже будь-який інший телефон Android, ваш телефон вразливий. Це проблема.
Google нещодавно випустила лютневе оновлення безпеки для пристроїв Pixel, що закриває діру, яка дозволить шкідливим файлам PNG «виконувати довільний код у контексті привілейованого процесу». Простіше кажучи, код може працювати на високому рівні та вкрасти вашу інформацію — все, що вам потрібно зробити, це відкрити файл. Це воно.
Це означає, що будь-який PNG, який надходить до вас — будь то в електронному листі, клієнті обміну повідомленнями чи навіть через MMS — потенційно може захопити систему та вкрасти цінні дані. Тобто на будь-якому телефоні, який не є Pixel, тому що тепер вони захищені. Samsung, LG, OnePlus та телефони більшості інших виробників все ще вразливі до цієї помилки. Ми повинні почати підтримувати виробників до вищих стандартів, коли справа доходить до оновлень безпеки. Період.
Зараз у мене під рукою є чотири телефони Android: Pixel 2 XL, Pixel 1, Samsung Galaxy S9 та OnePlus 6T. Два пікселі виправлені та захищені лютневим оновленням, але S9 і 6T доступні лише в грудневих виправленнях безпеки. Це означає, що будь-які нові вразливості, як, наприклад, цей PNG, не виправлені на обох цих телефонах. Враховуючи, що пристрої Samsung Galaxy є одними з найпопулярніших телефонів на планеті, це викликає занепокоєння.
Але це проблема не лише через поточну проблему. Це динамічна проблема, яка постійно хвилює – або, принаймні, має бути. Поки є нові вразливості, відкладені оновлення безпеки завжди будуть проблемою. Отже, простіше кажучи: це завжди буде проблемою, тому що вразливості гарантовані.
Хоча «фрагментація» Android вже давно є проблемою (по суті, з моменту появи платформи), коли справа доходить до повних оновлень ОС, це не повинно застосовуватися до оновлень безпеки. Це не оновлення типу «нові функції – це круто, і я хочу їх», це важливі оновлення для захисту даних. Незалежно від того, маленькі вони чи ні, це не те, що не повинно бути пропущено будь-яким споживачем. Колись.
Наразі виробники роблять жахливу роботу із захисту своїх користувачів, крапка. Хоча не отримувати повні оновлення ОС (або навіть точкові випуски) у кращому випадку дратує, не отримувати оновлення безпеки є неприйнятним. Він надсилає повідомлення, яке не можна проігнорувати: воно говорить, що виробник телефону не піклується про ваші дані. Ваша інформація недостатньо важлива для їх захисту.
Оновлення безпеки не такі великі, як повні оновлення ОС або навіть точкові випуски. Google випускає їх щомісяця, тому вони набагато менші та легші для використання в системі — навіть для сторонніх виробників. Знову ж таки, немає реального виправдання не робити це пріоритетом.
Минулого року Google зробив це необхідною умовою виробники пропонують щонайменше два роки оновлення безпеки для телефонів. (Телефони Pixel гарантовано отримають три роки.) У чому проблема? Для цього потрібно лише «принаймні чотири» оновлення протягом року. Це щоквартально, а не щомісяця — і це саме те, що робить більшість виробників. Мінімум. І це просто недостатньо добре.
Чому? Тому що постійно відкриваються нові вразливі місця. Я не хочу, щоб мої дані були потенційно скомпрометовані, поки я чекаю, доки виробник мого телефону підготує тримісячні виправлення безпеки в одному оновленні — я хочу, щоб вони були, як тільки Google випустить їх, і ви також повинні.
Ця вразливість PNG є лише одним із прикладів. Місяць за місяцем виявляються подібні проблеми, а більшість виробників випускають оновлення безпеки через кілька місяців, що залишає ваші дані доступними набагато довше, ніж це прийнятно.
Хоча я б хотів, щоб була легка відповідь про те, як це виправити, на жаль, немає. Поки виробники не почнуть ставитися до вашої інформації більш серйозно, є лише одна реальна відповідь: купити інший телефон. Apple і Google регулярно доводили, що вони піклуються про дані користувачів, тому телефони iPhone і Pixel є відмінним вибором для користувачів, які хочуть зробити все можливе, щоб захистити свої дані.
Як би банально це не звучало (і мені, чесно кажучи, набридло це чути): пора голосувати своїм гаманцем. Не купуйте телефони у виробників, які не піклуються про ваші дані. Тільки так вони дізнаються, що це серйозно.