Hvis du bruker et Google Pixel-håndsett, er telefonen din trygg fra et sikkerhetshull som kan la en PNG-fil ødelegge systemet fullstendig. Hvis du bruker nesten alle andre Android-telefoner, er telefonen din sårbar. Dette er et problem.
Google nylig lanserte sikkerhetsoppdateringen for Pixel-enheter i februar, som lukker et hull som ville tillate ondsinnede PNG-filer å «kjøre vilkårlig kode innenfor konteksten av en privilegert prosess.» I enklere termer kan koden kjøre på et høyt nivå og stjele informasjonen din – alt du trenger å gjøre er å åpne filen. Det er det.
Det betyr at enhver PNG som kommer til deg – det være seg i en e-post, en meldingsklient eller til og med via MMS – potensielt kan kapre systemet og stjele verdifull data. Det vil si på alle telefoner som ikke er en Pixel, fordi de er beskyttet nå. Samsung, LG, OnePlus og de fleste andre produsenters håndsett er fortsatt utsatt for denne feilen. Vi må begynne å holde produsentene til en høyere standard når det kommer til sikkerhetsoppdateringer. Periode.
Jeg har for øyeblikket fire Android-telefoner innen rekkevidde: Pixel 2 XL, Pixel 1, Samsung Galaxy S9 og OnePlus 6T. De to pikslene er lappet og beskyttet med februaroppdateringen, men S9 og 6T er bare på sikkerhetsoppdateringene fra desember. Det betyr at eventuelle nyere sårbarheter – som denne PNG-en, for eksempel – ikke er oppdatering på begge disse håndsettene. Tatt i betraktning at Samsung Galaxy-enheter er blant de mest populære telefonene på planeten, er dette urovekkende.
Men det er ikke bare et problem på grunn av det nåværende problemet. Dette er et dynamisk problem som er en konstant bekymring – eller i det minste burde det være det. Så lenge det er nye sårbarheter, vil forsinkede sikkerhetsoppdateringer alltid være et problem. Så for å si det enklere: dette vil alltid være et problem fordi sårbarheter er garantert.
Mens Android «fragmentering» lenge har vært et problem (siden plattformen ble introdusert, i hovedsak) når det kommer til full OS-oppdateringer, bør dette ikke gjelde for sikkerhetsoppdateringer. Dette er ikke «nye funksjoner er kule, og jeg vil ha dem»-oppdateringer, dette er viktige databeskyttende oppdateringer. Uansett om de er små eller ikke, er dette ikke noe som bør overses av enhver forbruker. Noen gang.
For tiden gjør produsenter en forferdelig jobb med å beskytte brukerne sine, punktum. Selv om det i beste fall er irriterende å ikke få fulle OS-oppdateringer (eller til og med punktutgivelser), er det uakseptabelt å ikke få sikkerhetsoppdateringer. Den sender en melding som ikke kan ignoreres: den sier at telefonprodusenten din ikke bryr seg om dataene dine. Informasjonen din er ikke viktig nok til at de kan beskytte dem.
Sikkerhetsoppdateringer er ikke store som fulle OS-oppdateringer eller til og med punktutgivelser. De utgis månedlig av Google, så de er mye mindre og enklere å bygge inn i systemet – selv for tredjepartsprodusenter. Igjen, det er ingen reell unnskyldning for ikke å prioritere dette.
I fjor krevde Google det produsenter tilbyr minst to år med sikkerhetsoppdateringer for håndsett. (Pixel-telefoner får garantert tre år.) Problemet med det? Det krever bare «minst fire» oppdateringer i løpet av et år. Det er kvartalsvis, ikke månedlig – og det er akkurat det de fleste produsenter gjør. Det minste minimum. Og det er bare ikke godt nok.
Hvorfor? Fordi nye sårbarheter avdekkes hele tiden. Jeg vil ikke at dataene mine potensielt skal bli kompromittert mens jeg venter på at telefonprodusenten min skal komme seg rundt for å lage tre måneder med sikkerhetsfikser i én oppdatering – jeg vil ha dem så snart Google slipper dem, og det bør du også.
Denne PNG-sårbarheten er bare ett eksempel. Måned etter måned oppdages denne typen problemer, og med de fleste produsenter som skyver ut sikkerhetsoppdateringer måneder senere, vil dataene dine være eksponert mye lenger enn det som er akseptabelt.
Selv om jeg skulle ønske det var et enkelt svar på hvordan du fikser dette, er det dessverre ikke det. Inntil produsentene begynner å ta informasjonen din mer seriøst, er det bare ett reelt svar: kjøp en annen telefon. Apple og Google har rutinemessig bevist at de bryr seg om brukernes data, så iPhone- og Pixel-telefoner er begge utmerkede valg for brukere som ønsker å gjøre alt de kan for å beskytte dataene sine.
Så klisjé som det høres ut (og jeg er ærlig talt lei av å høre det): det er på tide å stemme med lommeboken. Ikke kjøp telefoner fra produsenter som ikke bryr seg om dataene dine. Det er den eneste måten de kommer til å vite at dette er alvorlig.