Дата патча бяспекі Samsung Galaxy S9

Калі вы працуеце з трубкай Google Pixel, ваш тэлефон у бяспецы ад дзіркі ў бяспецы, якая можа дазволіць PNG-файл цалкам разбурыць сістэму. Калі вы карыстаецеся практычна любым іншым тэлефонам Android, ваш тэлефон уразлівы. Гэта праблема.

Google нядаўна выпусціў абнаўленне бяспекі лютага для прылад Pixel, якое закрывае дзірку, якая дазволіць шкоднасным файлам PNG "выконваць адвольны код у кантэксце прывілеяванага працэсу". Калі казаць прасцей, код можа працаваць на высокім узроўні і скрасці інфармацыю - усё, што вам трэба зрабіць, гэта адкрыць файл. Вось і ўсё.

Гэта азначае, што любы PNG, які прыходзіць да вас - няхай гэта будзе па электроннай пошце, кліентам абмену паведамленнямі альбо нават праз MMS - можа патэнцыйна сагнаць сістэму і выкрасці каштоўныя дадзеныя. Гэта значыць на любым тэлефоне, які не з'яўляецца Pixel, таму што яны абаронены зараз. Samsung, LG, OnePlus і большасць тэлефонаў іншых вытворцаў па-ранейшаму адчувальныя да гэтай памылкі. Мы павінны пачаць прытрымліваць вытворцаў больш высокага ўзроўню, калі гаворка ідзе пра абнаўленні бяспекі. Перыяд.

У мяне зараз чатыры Android-тэлефоны: Pixel 2 XL, Pixel 1, Samsung Galaxy S9 і OnePlus 6T. Абодва пікселі выпраўлены і абаронены лютаўскім абнаўленнем, але S9 і 6T дзейнічаюць толькі ў снежні. Гэта азначае, што любыя новыя ўразлівасці, напрыклад, PNG, напрыклад, распакаваны на абодвух тэлефонах. Улічваючы, што прылады Samsung Galaxy з'яўляюцца аднымі з самых папулярных тэлефонаў на планеце, гэта выклікае трывогу.

Дата патча бяспекі Google Pixel 2 XL

Але гэта не толькі пытанне з-за цяперашняй праблемы. Гэта дынамічная праблема, якая пастаянна хвалюе - ці, прынамсі, павінна быць. Пакуль ёсць новыя ўразлівасці, несвоечасовае абнаўленне бяспекі заўсёды будзе праблемай. Такім чынам, прасцей кажучы: гэта заўсёды будзе праблемай, бо ўразлівасці гарантаваныя.

У той час як "фрагментацыя" Android ужо даўно застаецца праблемай (бо па сутнасці платформа была ўведзена), калі справа даходзіць да поўных абнаўленняў АС, гэта не павінна тычыцца абнаўленняў бяспекі. Гэта не "новыя функцыі крутыя, і я хачу іх" абнаўлення, гэта важныя абнаўлення для абароны дадзеных. Незалежна ад таго, маленькія яны ці не, гэта не тое, што павінен забываць любы спажывец. Ніколі.

Звязана: Фрагментацыя не віна Android, гэта вытворцы '

У цяперашні час вытворцы робяць жудасную працу па абароне сваіх карыстальнікаў, поўнай прыпынку. Хоць атрыманне поўных абнаўленняў АС (ці нават кропкавых рэлізаў) у лепшым выпадку раздражняе, недаступнасць абнаўленняў бяспекі недапушчальная. Ён адпраўляе паведамленне, якое нельга ігнараваць: у ім гаворыцца, што вытворца вашага тэлефона не хвалюе вашы дадзеныя. Ваша інфармацыя не настолькі важная, каб абараніць іх.

Абнаўленні бяспекі не такія вялікія, як поўныя абнаўленні АС ці нават кропкавыя версіі. Яны штомесяц выпускаюцца Google, таму яны значна меншыя і прасцей выпякаць у сістэме, нават для іншых вытворцаў. Зноў жа, няма сапраўднага апраўдання, каб не зрабіць гэта прыярытэтам.

У мінулым годзе Google устанавіў, што вытворцы прапануюць па меншай меры два гады абнаўлення бяспекі тэлефонаў. (Піксельныя тэлефоны гарантавана атрымаюць тры гады.) Праблема з гэтым? Патрабуецца толькі "па меншай меры чатыры" абнаўлення на працягу года. Гэта штоквартальна, а не штомесяц, і гэта менавіта тое, што робіць большасць вытворцаў. Голы мінімум. І гэта проста недастаткова добра.

Чаму? Таму што новыя ўразлівасці падвяргаюцца ўвесь час. Я не хачу, каб мае дадзеныя пацярпелі пагрозу, пакуль я чакаю, калі вытворца майго тэлефона падыдзе да падрыхтоўкі выпраўленняў бяспекі за тры месяцы за адно абнаўленне - я хачу, каб Google іх выпусціў, і вы таксама павінны.

Гэтая ўразлівасць PNG - толькі адзін прыклад. Месяц за месяцам падобныя праблемы выяўляюцца, і большасць вытворцаў выціскае абнаўленні бяспекі праз некалькі месяцаў, і вашы дадзеныя выкрываюцца значна даўжэй, чым прымальна.

Хоча мне хацелася, што ёсць просты адказ, як гэта выправіць, на жаль, не існуе. Пакуль вытворцы не пачынаюць больш сур'ёзна ўспрымаць вашу інфармацыю, ёсць толькі адзін сапраўдны адказ: купіце іншы тэлефон. Apple і Google рэгулярна даказваюць, што клапоцяцца пра дадзеныя карыстальнікаў, таму тэлефоны iPhone і Pixel - выдатны выбар для карыстальнікаў, якія хочуць зрабіць усё магчымае, каб абараніць свае дадзеныя.

Як клішэ гэта гучыць (і я, шчыра кажучы, балюча чуць): прыйшоў час прагаласаваць са сваім кашальком. Не купляйце тэлефоны ад вытворцаў, якія не хвалююць вашы дадзеныя. Гэта адзіны спосаб, калі яны будуць ведаць, што гэта сур'ёзна.