Hvis du kører et Google Pixel-håndsæt, er din telefon beskyttet mod et sikkerhedshul, der kunne lade en PNG-fil ødelægge systemet fuldstændigt. Hvis du bruger næsten ethvert andet Android-håndsæt, er din telefon sårbar. Dette er et problem.
Google for nylig udgav februar sikkerhedsopdateringen til Pixel-enheder, som lukker et hul, der ville tillade ondsindede PNG-filer at “udføre vilkårlig kode inden for konteksten af en privilegeret proces.” I enklere vendinger kan koden køre på et højt niveau og stjæle dine oplysninger – alt du skal gøre er at åbne filen. Det er det.
Det betyder, at enhver PNG, der kommer til dig – det være sig i en e-mail, en meddelelsesklient eller endda via MMS – potentielt kan kapre systemet og stjæle værdifulde data. Det vil sige på enhver telefon, der ikke er en Pixel, fordi de er beskyttet nu. Samsung, LG, OnePlus og de fleste andre producenters håndsæt er stadig modtagelige for denne fejl. Vi skal begynde at holde producenterne til en højere standard, når det kommer til sikkerhedsopdateringer. Periode.
Jeg har i øjeblikket fire Android-telefoner inden for rækkevidde: Pixel 2 XL, Pixel 1, Samsung Galaxy S9 og OnePlus 6T. De to Pixels er lappet og beskyttet med februar-opdateringen, men S9 og 6T er kun på december-sikkerhedsrettelserne. Det betyder, at alle nyere sårbarheder – som for eksempel denne PNG – er upatchede på begge disse håndsæt. I betragtning af at Samsung Galaxy-enheder er blandt de mest populære telefoner på planeten, er dette bekymrende.
Men det er ikke kun et problem på grund af det nuværende problem. Dette er et dynamisk problem, som er en konstant bekymring – eller i det mindste burde det være. Så længe der er nye sårbarheder, vil forsinkede sikkerhedsopdateringer altid være et problem. Så for at sige det mere enkelt: Dette vil altid være et problem, fordi sårbarheder er garanteret.
Mens Android “fragmentering” længe har været et problem (siden platformen blev introduceret, i det væsentlige), når det kommer til fulde OS-opdateringer, bør dette ikke gælde for sikkerhedsopdateringer. Disse er ikke “nye funktioner er fede, og jeg vil have dem”-opdateringer, det er afgørende databeskyttende opdateringer. Uanset om de er små eller ej, er dette ikke noget, der bør overses af enhver forbruger. Nogensinde.
I øjeblikket gør producenterne et forfærdeligt stykke arbejde med at beskytte deres brugere, fuld stop. Selvom det i bedste fald ikke er at få fulde OS-opdateringer (eller endda punktudgivelser) irriterende, er det uacceptabelt at få sikkerhedsopdateringer. Den sender en besked, der ikke kan ignoreres: den siger, at din telefonproducent er ligeglad med dine data. Dine oplysninger er ikke vigtige nok til, at de kan beskytte dem.
Sikkerhedsopdateringer er ikke enorme som komplette OS-opdateringer eller endda punktudgivelser. De udgives hver måned af Google, så de er meget mindre og nemmere at indbygge i systemet – selv for tredjepartsproducenter. Igen, der er ingen reel undskyldning for ikke at prioritere dette.
Sidste år krævede Google det producenter tilbyder mindst to års sikkerhedsopdateringer til håndsæt. (Pixel-telefoner får med garanti tre år.) Problemet med det? Det kræver kun “mindst fire” opdateringer inden for et år. Det er kvartalsvis, ikke månedligt – og det er præcis, hvad de fleste producenter gør. Det absolutte minimum. Og det er bare ikke godt nok.
Hvorfor? Fordi nye sårbarheder afsløres hele tiden. Jeg ønsker ikke, at mine data potentielt bliver kompromitteret, mens jeg venter på, at min telefons producent kommer rundt til at lave tre måneders sikkerhedsrettelser i én opdatering – jeg vil have dem, så snart Google frigiver dem, og det skal du også.
Denne PNG-sårbarhed er blot et eksempel. Måned efter måned opdages disse typer problemer, og med de fleste producenter, der skubber sikkerhedsopdateringer ud måneder senere, efterlader det dine data eksponeret i meget længere tid, end det er acceptabelt.
Selvom jeg ville ønske, at der var et nemt svar på, hvordan man løser dette, er der desværre ikke. Indtil producenterne begynder at tage dine oplysninger mere seriøst, er der kun ét rigtigt svar: Køb en anden telefon. Apple og Google har rutinemæssigt bevist, at de bekymrer sig om brugernes data, så iPhone- og Pixel-telefoner er begge fremragende valg for brugere, der ønsker at gøre alt, hvad de kan for at beskytte deres data.
Hvor kliché det end lyder (og jeg er ærlig talt træt af at høre det): det er tid til at stemme med din tegnebog. Køb ikke telefoner fra producenter, der er ligeglade med dine data. Det er den eneste måde, de vil vide, at dette er alvorligt.