Il vero problema di sicurezza di Android sono i produttori
Se stai utilizzando un telefono Google Pixel, il tuo telefono è al sicuro da una falla nella sicurezza che potrebbe consentire a un file PNG di danneggiare completamente il sistema. Se utilizzi quasi tutti gli altri telefoni Android, il tuo telefono è vulnerabile. Questo è un problema.
Google ha recentemente rilasciato l'aggiornamento per la sicurezza di febbraio per i dispositivi Pixel, che chiude un buco che consentirebbe ai file PNG dannosi di "eseguire codice arbitrario nel contesto di un processo privilegiato." In termini più semplici, il codice può essere eseguito a un livello elevato e rubare il tuo info: tutto ciò che devi fare è aprire il file. Questo è tutto.
Ciò significa che qualsiasi PNG che arriva a te, che si tratti di un'e-mail, di un client di messaggistica o persino di un MMS, potrebbe potenzialmente rubare il sistema e rubare dati preziosi. Ovvero, su qualsiasi telefono che non sia un Pixel, perché ora sono protetti. Samsung, LG, OnePlus e la maggior parte dei telefoni di altri produttori sono ancora suscettibili a questo errore. Dobbiamo iniziare a tenere i produttori a uno standard più elevato quando si tratta di aggiornamenti di sicurezza. Periodo.
Al momento ho quattro telefoni Android a portata di mano: Pixel 2 XL, Pixel 1, Samsung Galaxy S9 e OnePlus 6T. I due pixel vengono riparati e protetti con l'aggiornamento di febbraio, ma S9 e 6T sono solo su dicembre patch di sicurezza. Ciò significa che eventuali vulnerabilità più recenti, ad esempio quella PNG, sono prive di patch su entrambi questi telefoni. Considerando che i dispositivi Samsung Galaxy sono tra i telefoni più famosi del pianeta, questo è preoccupante.
Cameron SummersonMa non è solo un problema a causa del problema attuale. Questo è un problema dinamico che è una preoccupazione costante, o almeno dovrebbe esserlo. Finché ci sono nuove vulnerabilità, gli aggiornamenti di sicurezza ritardati saranno sempre un problema. Quindi, per dirla in termini più semplici: questo sarà sempre un problema perché le vulnerabilità sono garantite.
Mentre la "frammentazione" di Android è stata a lungo un problema (dal momento che la piattaforma è stata introdotta, essenzialmente) quando si tratta di aggiornamenti completi del sistema operativo, questo dovrebbe non applicare agli aggiornamenti di sicurezza. Queste non sono "nuove funzionalità sono interessanti e li voglio" aggiornamenti, questi sono aggiornamenti cruciali per la protezione dei dati. Indipendentemente dal fatto che siano piccoli o meno, questo non è qualcosa che dovrebbe essere trascurato da qualsiasi consumatore. Mai.
Attualmente, i produttori stanno facendo un lavoro terribile di proteggere i loro utenti, punto e basta. Anche se non ricevere aggiornamenti completi del sistema operativo (o anche rilasci di punti) è alquanto fastidioso, non è consigliabile ricevere aggiornamenti di sicurezza. Invia un messaggio che non può essere ignorato: dice che il produttore del tuo telefono non si preoccupa dei tuoi dati. Le tue informazioni non sono abbastanza importanti da proteggerle.
Gli aggiornamenti di sicurezza non sono enormi come gli aggiornamenti completi del sistema operativo o anche i rilasci dei punti. Sono pubblicati mensilmente da Google, quindi sono molto più piccoli e più facili da inserire nel sistema, anche per i produttori di terze parti. Ancora una volta, non c'è una vera scusa per non rendere questa una priorità.
L'anno scorso Google ha reso necessario che i produttori offrissero almeno due anni di aggiornamenti di sicurezza per i telefoni. (I telefoni Pixel hanno una garanzia di tre anni.) Il problema con questo? Richiede solo "almeno quattro" aggiornamenti entro un anno. Quello è trimestrale, non mensile - ed è esattamente ciò che la maggior parte dei produttori sta facendo. Il minimo indispensabile. E non è abbastanza buono.
Perché? Perché le nuove vulnerabilità sono sempre esposte. Non voglio che i miei dati siano potenzialmente compromessi mentre aspetto che il produttore del mio telefono riesca a rimediare a tre mesi di correzioni di sicurezza in un unico aggiornamento: li voglio non appena Google li rilascia e anche tu dovresti.
Questa vulnerabilità PNG è giusta uno esempio. Mese dopo mese vengono scoperti questi tipi di problemi e, con la maggior parte dei produttori che rilasciano gli aggiornamenti di sicurezza mesi dopo, i dati vengono esposti per molto più tempo di quanto sia accettabile.
Mentre vorrei che ci fosse una risposta facile su come risolvere questo problema, sfortunatamente, non c'è. Fino a quando i produttori non inizieranno a prendere sul serio le tue informazioni, c'è solo una risposta reale: compra un altro telefono. Apple e Google hanno regolarmente dimostrato di preoccuparsi dei dati degli utenti, quindi i telefoni iPhone e Pixel sono entrambe scelte eccellenti per gli utenti che desiderano fare tutto il possibile per proteggere i propri dati.
Come suona come sembra (e sono onestamente stufo di sentirlo): è il momento di votare con il tuo portafoglio. Non acquistare telefoni da produttori che non si preoccupano dei tuoi dati. Questo è l'unico modo in cui sapranno che è serio.