Dersom du benytter en Google Pixel-telefon, er enheten din sikret mot en potensiell sikkerhetsrisiko som kan føre til at en PNG-fil totalt ødelegger systemet. Dessverre er de aller fleste andre Android-telefoner fortsatt sårbare for denne trusselen. Dette utgjør et betydelig problem.
Google publiserte nylig februaroppdateringen for Pixel-enheter, som tetter et sikkerhetshull som tillot ondsinnede PNG-filer å «utføre vilkårlig kode i konteksten av en privilegert prosess». Dette innebærer i praksis at skadelig kode kunne operere på et høyt systemnivå og stjele sensitiv informasjon, bare ved at brukeren åpnet en bestemt fil.
Med andre ord, enhver PNG-fil du mottar – enten via e-post, en meldingstjeneste eller MMS – kan i teorien kapre telefonens system og stjele verdifull informasjon. Dette gjelder imidlertid ikke for Pixel-telefoner, som nå er beskyttet. Produsenter som Samsung, LG, OnePlus, og de fleste andre, har imidlertid fortsatt enheter som er sårbare for dette sikkerhetshullet. Det er på tide at vi begynner å kreve høyere standarder av produsentene når det gjelder sikkerhetsoppdateringer, og det raskt.
Jeg har for øyeblikket fire Android-telefoner tilgjengelig: en Pixel 2 XL, en Pixel 1, en Samsung Galaxy S9 og en OnePlus 6T. Mine Pixel-telefoner er oppdatert og beskyttet med februaroppdateringen. Derimot kjører både S9 og 6T fortsatt med sikkerhetsoppdateringer fra desember. Det betyr at alle nye sårbarheter, inkludert den nevnte PNG-sårbarheten, ikke er fikset på disse enhetene. Med tanke på at Samsung Galaxy-enheter er blant de mest utbredte telefonene i verden, er denne situasjonen svært bekymringsfull.
Dette er ikke bare et problem knyttet til denne spesifikke sårbarheten. Det er et vedvarende problem som krever kontinuerlig oppmerksomhet. Så lenge det oppdages nye sikkerhetshull, vil forsinkede sikkerhetsoppdateringer alltid utgjøre en risiko. Enkelt sagt: Dette vil alltid være et problem, fordi sårbarheter er uunngåelige.
Androids «fragmentering» har lenge vært et tema (helt siden plattformen ble lansert), spesielt når det gjelder store OS-oppdateringer. Dette burde imidlertid ikke gjelde sikkerhetsoppdateringer. Vi snakker ikke om «kule nye funksjoner», men om essensielle oppdateringer som beskytter dine data. Uansett om disse oppdateringene er små eller ikke, er dette noe enhver forbruker bør ta på alvor, uten unntak.
I dag er produsentene rett og slett for dårlige til å ivareta brukernes sikkerhet. Selv om det kan være irriterende å ikke motta de nyeste versjonene av operativsystemet, er det rett og slett uakseptabelt å ikke motta sikkerhetsoppdateringer. Dette sender et klart budskap: telefonprodusenten bryr seg ikke om dine data. Din informasjon er tydeligvis ikke verdt å beskytte.
Sikkerhetsoppdateringer er ikke så omfattende som fullstendige OS-oppdateringer. Google publiserer dem månedlig, noe som gjør dem mindre og enklere å implementere, selv for tredjepartsprodusenter. Det finnes ingen god unnskyldning for ikke å prioritere dette.
I fjor krevde Google at produsenter skulle tilby minst to år med sikkerhetsoppdateringer for sine enheter. Pixel-telefoner er garantert tre år. Problemet? Kravet omfatter bare «minst fire» oppdateringer per år. Dette er altså kvartalsvise oppdateringer, ikke månedlige, noe de fleste produsenter følger. De holder seg til det absolutte minimum. Det er rett og slett ikke godt nok.
Hvorfor er det ikke godt nok? Jo, fordi nye sårbarheter oppdages hele tiden. Jeg ønsker ikke at mine data skal være i faresonen mens jeg venter på at min telefonprodusent skal finne tid til å slå sammen tre måneder med sikkerhetsfiks i én oppdatering. Jeg vil ha dem så snart Google publiserer dem, og det burde du også ønske.
Denne PNG-sårbarheten er bare ett eksempel. Måned etter måned dukker det opp lignende problemer. Siden de fleste produsenter venter flere måneder med å lansere sikkerhetsoppdateringer, vil dine data være eksponert i mye lengre tid enn det som er akseptabelt.
Jeg skulle ønske det fantes en enkel løsning på dette, men det gjør det dessverre ikke. Før produsentene begynner å ta dine data mer alvorlig, finnes det egentlig bare én løsning: Kjøp en annen telefon. Både Apple og Google har bevist at de bryr seg om brukernes data, så iPhone og Pixel-telefoner er utmerkede alternativer for deg som vil gjøre alt du kan for å beskytte din informasjon.
Det er kanskje en klisjé (og jeg er ærlig talt lei av å høre det): Det er på tide å stemme med lommeboken. Ikke kjøp telefoner fra produsenter som ikke tar dine data på alvor. Det er den eneste måten de kommer til å innse alvoret i denne situasjonen.