Если Вы используете смартфон Google Pixel, Ваш телефон защищен от дыры в безопасности, которая может позволить PNG-файлу полностью разрушить систему. Если Вы используете практически любой другой смартфон Android, значит, Ваш телефон уязвим. Это проблема.
Google недавно выпустил февральское обновление безопасности для устройств Pixel, которое закрывает дыру, которая позволяла бы вредоносным файлам PNG «выполнять произвольный код в контексте привилегированного процесса». Проще говоря, код может работать на высоком уровне и украсть Вашу информацию — все, что вам нужно сделать, это открыть файл.
Это означает, что любой PNG, который приходит к Вам — по электронной почте, в клиенте обмена сообщениями или даже через MMS — может потенциально взломать систему и украсть ценные данные. То есть на любом телефоне, который не является смартфоном Google Pixel, потому что он сейчас защищен. Телефоны Samsung, LG, OnePlus и большинства других производителей по-прежнему подвержены этой ошибке. Необходимо поддерживать производителей на более высоком уровне, когда речь заходит об обновлениях безопасности.
Учитывая, что производители других устройств не всегда своевременно выпускают патчи безопасности для своих устройств, то это означает, что любые новые уязвимости, такие как, например, эта уязвимость с PNG, не исправлены на многих устройствах и это вызывает беспокойство.
Но это не просто проблема из-за текущей проблемы. Пока появляются новые уязвимости, отложенные обновления безопасности всегда будут проблемой. Итак, проще говоря: это всегда будет проблемой, потому что уязвимости гарантированы.
Хотя «фрагментация» Android долгое время была проблемой (с момента появления платформы) с полными обновлениями ОС, это не должно относиться к обновлениям безопасности. Это не «новые функции — это круто, и я хочу их», это важные обновления для защиты данных. Независимо от того, являются ли они маленькими или нет, это не что-то, что должно быть пропущено любым потребителем.
В настоящее время производители делают ужасную работу по защите своих пользователей. Хотя получение полных обновлений ОС в лучшем случае раздражает, без получения обновлений безопасности. Ваша информация недостаточно важна для их защиты.
Обновления безопасности не такие большие, как полные обновления ОС или даже точечные выпуски. Они ежемесячно выпускаются Google, поэтому их намного меньше, и их легче вносить в систему, даже для сторонних производителей. Опять же, нет никаких реальных оправданий, чтобы не сделать это приоритетом.
В прошлом году Google сделал обязательным, чтобы производители предлагали как минимум два года обновлений безопасности для мобильных телефонов. (устройства Pixel гарантированно получат три года.) Проблема с этим? Требуется только «минимум четыре» обновления в течение года. Это ежеквартально, а не ежемесячно — и это именно то, что делают большинство производителей. И это печально.
Почему? Потому что новые уязвимости появляются все время. Я не хочу, чтобы мои данные были потенциально скомпрометированы, пока я жду, пока производитель моего телефона приступит к подготовке трехмесячных исправлений безопасности в одном обновлении — я хочу, чтобы они появились, как только Google выпустит их.
Эта уязвимость PNG является лишь одним примером. Месяц за месяцем обнаруживаются проблемы такого типа, и большинство производителей выпускают обновления безопасности несколько месяцев спустя, что оставляет Ваши данные открытыми гораздо дольше, чем это допустимо.
Хотелось бы, чтобы был простой ответ о том, как это исправить, но к сожалению его пока нет. Пока производители не начнут воспринимать Вашу информацию более серьезно, есть только один реальный ответ: купить другой телефон. Apple и Google регулярно доказывают, что они заботятся о данных пользователей, поэтому телефоны iPhone и Pixel являются отличным выбором для пользователей, которые хотят сделать все возможное для защиты своих данных.