Ето мръсна тайна: Повечето устройства с Android никога не получават актуализации за сигурност. Деветдесет и пет процента от устройствата с Android вече могат да бъдат компрометирани чрез MMS съобщение и това е най-голямата грешка. Google няма начин да прилага защитни средства за сигурност на тези устройства, а производителите и превозвачите просто не им пука.
Екосистемата на Android се превръща в токсичен пейзаж на неподходящи устройства, изпъстрени с дупки за сигурност. За сравнение, когато iOS на Apple има дупка за сигурност, Apple може само да актуализира всички поддържани телефони iPhone с нова версия. Дори и Windows телефоните са по-добри от Android тук.
Неотдавнашният програмен проблем на Stagefright MMS ни дава добър случай, демонстрирайки какво се случва, когато някой открие дупка за сигурност в Android. Google създава кръпки и ги прилага към основния код на проекта с отворен код за Android. След това Google изпраща тези пакети на производителите на хардуер - Samsung, HTC, Sony, LG, Motorola, Lenovo и други. Ангажираността на Google завършва тук. Те не могат да принудят производителите действително да пускат тези кръпки. Това често е мястото, където процесът свършва.
Ако производителят иска да приложи тези кръпки, те трябва да ги прилагат към кода на устройството на Android и да създадат нова версия на Android за това устройство. Това е отделен процес за всеки един телефон и таблет, който производителят поддържа. След това всеки производител трябва да се свърже с превозвача, който продаде телефоните, и да предостави на всеки превозвач по целия свят всяка отделна пластир за устройството. Участието на производителя свършва тук. Дори и ако те се побъркат и поправят всяко едно устройство, те все още поддържат - много малко вероятно - те не могат да принудят превозвачите да прилагат тези лепенки
След това превозвачите могат да изберат да изпратят новия пакет за Android на своите устройства или не. Ако го направят, има шанс след дълъг период на тестване, когато дупките за сигурност ще продължат да се задържат. Дори ако превозвачът иска да направи това, има голям шанс те да искат само да тестват актуализацията на няколко водещи телефона, а не на по-стари устройства.
На практика повечето устройства с Android просто не получават актуализации за сигурност и са останали уязвими. Google не е избрал да наложи доставката на актуализации за сигурност, тъй като те налагат други неща в договорите с производителите. Производителите създават много, много различни устройства и не искат да вършат работата по актуализирането им. Носителите доставят много, много различни устройства и не искат да се притесняват да ги тестват. Вместо да доставят актуализации и да поддържат стари телефони, предпочитат да принудят клиентите да купуват нови устройства. Тези отвори за сигурност бяха фиксирани в най-новите версии на Android, така че ново устройство ще бъде сигурно - поне докато не бъдат намерени повече дупки и няма да бъдат защитени.
Да, функцията "проверка за актуализации" на устройството ви с Android просто проверява дали има актуализации, одобрени от производителя и оператора. Това не е надежден начин да се гарантира, че имате актуализации на защитата.
Моделът за актуализиране на Android е ужасно нарушен. Не става въпрос само за получаване на най-новите и най-добрите функции. Вместо това няма начин да гарантирате, че имате текущите кръпки за сигурност. Наистина дори няма начин да се каже точно кои дупки за сигурност са били защитени в устройството ви, тъй като зависи от това, че производителят добави пластира към персонализираната си версия Android и го извади на устройството ви.
Google се опита да избегне това с услугите на Google Play, което се актуализира автоматично на всички устройства с Android. Но тя може да направи толкова много. Всички устройства с Android с версия 4.4.4 и по-стари, т.е. повечето устройства с Android, имат уеб браузър, пълен с дупки в сигурността, тъй като Google не може да го актуализира. И сега почти всички устройства с Android вече могат да бъдат компрометирани с MMS.
Наистина, това е ужасно. Представете си, ако лаптопите на Windows никога не са получавали актуализации за сигурност от Microsoft. Вместо това, Microsoft ще издаде кръпки на Dell, Lenovo, HP и други производители. Производителят може да избере да го залепи или не и ако избере да го залепи, този пластир трябва да бъде одобрен от магазина, на който сте закупили лаптопа преди да стигне до вас. Microsoft би било справедливо заради това въглища. Вместо това, Microsoft пуска кръпка и се предоставя на потребителите на всички модели компютри с Windows чрез Windows Update. Дори собствената Chrome OS на Google работи по този начин, без производителите да пречат на пътя.
Искате ли действителна гаранция за актуализации за сигурност за вашия смартфон? Вие почти трябва да си купите iPhone, въпреки че дори и телефоните с Windows на Windows са пред Android. Когато в iPhone е открит дупка за сигурност, Apple може да пусне кръпка на всеки потребител на iPhone наведнъж - дори и превозвачите да не пречат на пътя.
Разрешенията за приложение са друг случай, в който iPhone използва телефони с Android. Android започна да работи силно, предлагайки "разрешения за приложения" - можете да видите какво се изисква от някое приложение, преди да го инсталирате, и изберете да не го инсталирате. iPhones разполагат с усъвършенствана система за разрешения, в която можете действително да изберете и да изберете кои данни да получават достъп до дадено приложение. Трябва да използвате приложение, но не искате да му дадете достъп до вашите контакти или други чувствителни данни? Можете да направите това в iOS.
В Android, разрешенията за приложения са по-скоро като изисквания - да ги вземете или да ги оставите. Приложенията често изискват много повече разрешения, отколкото действително се нуждаят от тях, и никога не знаете дали инсталираните от вас игри зареждат списъка ви за контакти на отдалечен сървър. Google работи върху добавянето на контрол върху разрешенията за бъдещите версии на Android, но това е твърде малко, твърде късно.Такива функции понастоящем се предлагат само в персонализирани ROM от трети страни, след като Google е премахнал скрития мениджър на разрешения за Android.
iPhones всъщност ви дават контрол върху това, какви приложения могат да направят на телефона ви, като излагат разрешенията за приложения като полезни контроли за поверителност, които всеки може да разбере. Това помага да запазите сигурността на личните си данни. На Android, всъщност е точно до приложението - можете да контролирате само дали използвате това приложение или не.
Магазинът за приложения с блокирани приложения на Apple е излязъл отвъд борда при забрана на конкретни типове съдържание, но само позволяването на приложения от одобрен източник осигурява известна допълнителна защита срещу злонамерен софтуер. Повечето злонамерени програми на Android идват извън Google Play, често когато някой изтегли пиратско приложение и го инсталира. Това не е възможно без отварянето на iPhone. Процесът на одобрение на магазина за приложения за iOS също е малко по-строг, включващ човек, който всъщност тества приложението, а не автоматизиран алгоритъм.
Google трябва да поправи тази ситуация. Неприемливо е повечето устройства с Android никога да не получават актуализации за защитата и да останат уязвими на несметен брой дупки за сигурност. Много устройства дори имат заключени буутлоудъри, което би ви попречило да променяте грешката сами, като инсталирате персонализирана ROM.
Да, Android е отворена платформа с участието на много производители, но това е Windows. Google трябва да получи платформата си в ред. Ще продължим да виждаме все по-влошаващи се взривове на сигурността в Android земята, докато цялата екосистема на Android започне да се грижи за сигурността и ще може да запълни проблемите със сигурността своевременно и последователно, както всяка друга съвременна операционна система.
Image Credit: Индия Самараджива на Flickr