Vấn đề bảo mật thực sự của Android là các nhà sản xuất

Nếu bạn đang chạy thiết bị cầm tay Google Pixel, điện thoại của bạn sẽ an toàn trước lỗ hổng bảo mật có thể khiến tệp PNG phá hỏng hoàn toàn hệ thống. Nếu bạn đang sử dụng gần như bất kỳ thiết bị cầm tay Android nào khác, thì điện thoại của bạn sẽ dễ bị tấn công. Đây là một vấn đề.

Google gần đây đã phát hành bản cập nhật bảo mật tháng 2 cho các thiết bị Pixel, trong đó đóng một lỗ hổng cho phép các tệp PNG độc hại để thực thi mã tùy ý trong bối cảnh của một quy trình đặc quyền. Thông tin - tất cả những gì bạn cần làm là mở tệp. Đó là nó.

Điều đó có nghĩa là bất kỳ PNG nào đến với bạn - có thể là trong email, ứng dụng khách nhắn tin hoặc thậm chí qua MMS - có thể có khả năng chiếm quyền điều khiển hệ thống và đánh cắp dữ liệu có giá trị. Đó là, trên bất kỳ điện thoại nào không phải là Pixel, vì giờ đây chúng được bảo vệ. Samsung, LG, OnePlus và hầu hết các thiết bị cầm tay của các nhà sản xuất khác vẫn dễ bị lỗi này. Chúng tôi phải bắt đầu giữ các nhà sản xuất với tiêu chuẩn cao hơn khi cập nhật bảo mật. Giai đoạn.

Tôi hiện có bốn điện thoại Android trong tầm tay: Pixel 2 XL, Pixel 1, Samsung Galaxy S9 và OnePlus 6T. Hai Pixels được vá và bảo vệ với bản cập nhật tháng 2, nhưng S9 và 6T chỉ có trên Tháng 12 bản vá bảo mật. Điều đó có nghĩa là bất kỳ lỗ hổng mới hơn - ví dụ như cái PNG này - chẳng hạn - không thể so sánh được trên cả hai thiết bị cầm tay này. Xem xét rằng các thiết bị Samsung Galaxy là một trong những điện thoại phổ biến nhất trên hành tinh, điều này thật rắc rối.

Nhưng nó không chỉ là một vấn đề vì vấn đề hiện tại. Đây là một vấn đề năng động là mối quan tâm thường trực - hoặc ít nhất là nó phải như vậy. Miễn là có lỗ hổng mới, cập nhật bảo mật bị trì hoãn sẽ luôn là một vấn đề. Vì vậy, nói một cách đơn giản hơn: đây sẽ luôn là một vấn đề vì các lỗ hổng được đảm bảo.

Mặc dù phân mảnh Android chín từ lâu đã là một vấn đề (kể từ khi nền tảng được giới thiệu, về cơ bản) khi nói đến các bản cập nhật hệ điều hành đầy đủ, điều này nên không phải áp dụng để cập nhật bảo mật. Đây không phải là những tính năng mới của Viking, và tôi muốn chúng cập nhật, đây là những cập nhật bảo vệ dữ liệu quan trọng. Bất kể chúng nhỏ hay không, đây không phải là thứ mà bất kỳ người tiêu dùng nào cũng phải bỏ qua. Không bao giờ.

Hiện tại, các nhà sản xuất đang làm một công việc khủng khiếp là bảo vệ người dùng của họ, dừng lại hoàn toàn. Mặc dù không nhận được cập nhật hệ điều hành đầy đủ (hoặc thậm chí phát hành điểm) là điều khó chịu nhất, nhưng không nhận được cập nhật bảo mật là không thể chấp nhận được. Nó sẽ gửi một tin nhắn không thể bỏ qua: nó nói rằng nhà sản xuất điện thoại của bạn không quan tâm đến dữ liệu của bạn. Thông tin của bạn không đủ quan trọng để họ bảo vệ.

Cập nhật bảo mật không lớn như cập nhật hệ điều hành đầy đủ hoặc thậm chí phát hành điểm. Chúng được Google phát hành hàng tháng, vì vậy chúng nhỏ hơn và dễ dàng hơn để nướng vào hệ thống - ngay cả đối với các nhà sản xuất bên thứ ba. Một lần nữa, không có lý do thực sự nào để không ưu tiên điều này.

Năm ngoái Google đã yêu cầu các nhà sản xuất cung cấp ít nhất hai năm cập nhật bảo mật cho thiết bị cầm tay. (Điện thoại Pixel được đảm bảo có được ba năm.) Vấn đề với điều đó? Nó chỉ yêu cầu ít nhất bốn bản cập nhật của người dùng trong vòng một năm. Đó là hàng quý, không phải hàng tháng - và đó chính xác là những gì hầu hết các nhà sản xuất đang làm. Tối thiểu trần. Và nó không đủ tốt.

Tại sao? Bởi vì các lỗ hổng mới được phơi bày mọi lúc. Tôi không muốn dữ liệu của mình bị xâm phạm trong khi chờ nhà sản xuất điện thoại của mình xử lý các bản sửa lỗi bảo mật trị giá ba tháng trong một bản cập nhật - Tôi muốn chúng ngay khi Google phát hành chúng và bạn cũng vậy.

Lỗ hổng PNG này chỉ là một thí dụ. Tháng này qua tháng khác, các loại vấn đề này được phát hiện và với hầu hết các nhà sản xuất đưa ra các bản cập nhật bảo mật nhiều tháng sau đó, khiến dữ liệu của bạn bị lộ lâu hơn nhiều so với mức chấp nhận được.

Mặc dù tôi ước có một câu trả lời dễ dàng về cách khắc phục điều này, thật không may, không có. Cho đến khi các nhà sản xuất bắt đầu xem thông tin của bạn nghiêm túc hơn, chỉ có một câu trả lời thực sự: mua một chiếc điện thoại khác. Apple và Google thường xuyên chứng minh rằng họ quan tâm đến dữ liệu của người dùng, vì vậy điện thoại iPhone và Pixel là cả hai lựa chọn tuyệt vời cho người dùng muốn làm mọi thứ có thể để bảo vệ dữ liệu của họ.

Nghe có vẻ sáo rỗng (và tôi thực sự phát ốm khi nghe nó): đã đến lúc bỏ phiếu với ví của bạn. Đừng mua điện thoại từ các nhà sản xuất không quan tâm đến dữ liệu của bạn. Đó là cách duy nhất họ sẽ biết điều này là nghiêm trọng.