Если вы используете телефон Google Pixel, ваш телефон защищен от дыра в безопасности, которая может позволить файлу PNG полностью разрушить систему. Если вы используете почти любой другой телефон Android, ваш телефон уязвим. Это проблема.
Google недавно выпустила февральское обновление безопасности для устройств Pixel, который закрывает дыру, позволяющую вредоносным файлам PNG «выполнять произвольный код в контексте привилегированного процесса». Проще говоря, код может работать на высоком уровне и красть вашу информацию — все, что вам нужно сделать, это открыть файл. Вот и все.
Это означает, что любой PNG, который приходит к вам — будь то электронная почта, клиент обмена сообщениями или даже через MMS — потенциально может захватить систему и украсть ценные данные. То есть на любом телефоне, кроме Pixel, потому что теперь они защищены. Телефоны Samsung, LG, OnePlus и большинства других производителей по-прежнему подвержены этой ошибке. Мы должны заставить производителей придерживаться более высоких стандартов, когда дело касается обновлений безопасности. Период.
Сейчас у меня под рукой четыре телефона Android: Pixel 2 XL, Pixel 1, Samsung Galaxy S9 и OnePlus 6T. Два пикселя исправлены и защищены февральским обновлением, но S9 и 6T находятся только в декабрьских исправлениях безопасности. Это означает, что все новые уязвимости, такие как, например, PNG, не исправлены на обоих этих телефонах. Учитывая, что устройства Samsung Galaxy являются одними из самых популярных телефонов на планете, это вызывает беспокойство.
Но это проблема не только из-за текущей проблемы. Это динамическая проблема, которая вызывает постоянное беспокойство — или, по крайней мере, должна быть. Пока есть новые уязвимости, отложенные обновления безопасности всегда будут проблемой. Итак, говоря проще: это всегда будет проблемой, потому что уязвимости гарантированы.
Хотя «фрагментация» Android долгое время была проблемой (по сути, с момента появления платформы), когда дело доходит до полных обновлений ОС, это не должно относиться к обновлениям безопасности. Это не обновления типа «новые функции — это круто, и я хочу их», это важные обновления для защиты данных. Независимо от того, маленькие они или нет, это не то, на что должен обращать внимание любой потребитель. Когда-либо.
В настоящее время производители делают ужасную работу по защите своих пользователей, полная остановка. Хотя отсутствие полных обновлений ОС (или даже точечных выпусков) в лучшем случае раздражает, отказ от получения обновлений безопасности неприемлем. Он отправляет сообщение, которое нельзя игнорировать: в нем говорится, что производитель вашего телефона не заботится о ваших данных. Ваша информация недостаточно важна для их защиты.
Обновления безопасности не такие огромные, как полные обновления ОС или даже точечные выпуски. Они выпускаются Google ежемесячно, поэтому они намного меньше по размеру и их легче встроить в систему даже для сторонних производителей. Опять же, нет никакого оправдания, чтобы не сделать это приоритетом.
В прошлом году Google потребовал, чтобы производители предлагают обновления безопасности не менее двух лет для мобильных телефонов. (Телефоны Pixel гарантированно получают три года.) Проблема с этим? Для этого требуется всего «минимум четыре» обновления в течение года. Это ежеквартально, а не ежемесячно — и это именно то, что делают большинство производителей. Самый минимум. И этого просто недостаточно.
Почему? Потому что все время появляются новые уязвимости. Я не хочу, чтобы мои данные были потенциально скомпрометированы, пока я жду, пока производитель моего телефона подготовит исправления безопасности на три месяца в одном обновлении — я хочу их, как только Google их выпустит, и вы тоже должны.
Эта уязвимость PNG — лишь один из примеров. Месяц за месяцем обнаруживаются подобные проблемы, и, поскольку большинство производителей выпускают обновления безопасности через несколько месяцев, ваши данные остаются открытыми гораздо дольше, чем допустимо.
Хотелось бы, чтобы у меня был простой ответ, как это исправить, но, к сожалению, его нет. Пока производители не начнут относиться к вашей информации более серьезно, есть только один реальный ответ: купите другой телефон. Apple и Google регулярно доказывают, что они заботятся о данных пользователей, поэтому телефоны iPhone и Pixel — отличный выбор для пользователей, которые хотят сделать все возможное для защиты своих данных.
Как бы банально это не звучало (и мне, честно говоря, надоело это слышать): пора проголосовать кошельком. Не покупайте телефоны у производителей, которым не важны ваши данные. Это единственный способ узнать, что это серьезно.