Ако поседујете Google Pixel телефон, можете бити спокојни, јер је ваш уређај заштићен од
сигурносне рупе која је омогућавала да злонамерна PNG датотека потпуно паралише систем. Међутим, ако користите скоро било који други Андроид телефон, онда је ваш уређај, нажалост, рањив на ову претњу. Ово је проблем који захтева хитну пажњу.
Google је недавно
објавио фебруарску безбедносну закрпу за Pixel уређаје, којом је отклоњена рањивост која је омогућавала злонамерним PNG датотекама да „изврше произвољан код у контексту привилегованог процеса“. Једноставније речено, злонамерни код би могао да се покрене на високом нивоу и да вам украде личне податке – довољно је само да отворите заражену датотеку. То је све што је потребно.
То значи да било која PNG датотека коју примите – путем имејла, апликације за размену порука или чак путем MMS-а – може потенцијално преузети контролу над системом и украсти ваше вредне податке. Ово важи за све телефоне који нису Pixel, јер су они сада заштићени. Телефони компанија као што су Samsung, LG, OnePlus и већина других произвођача су и даље рањиви на ову грешку. Време је да почнемо да захтевамо више стандарде од произвођача када су у питању безбедносна ажурирања.
Тренутно, на дохват руке имам четири Андроид телефона: Pixel 2 XL, Pixel 1, Samsung Galaxy S9 и OnePlus 6T. Два Pixel телефона су заштићена захваљујући фебруарском ажурирању, док Samsung S9 и 6T имају само децембарске безбедносне закрпе. То значи да све новије рањивости, попут ове са PNG датотекама, нису отклоњене на ова два телефона. С обзиром на то да су Samsung Galaxy уређаји међу најпродаванијим телефонима на свету, ова ситуација је изузетно забрињавајућа.
Али ово није само тренутни проблем. Ово је непрекидан проблем који захтева сталну пажњу – или би барем требало да буде. Све док се откривају нове рањивости, кашњење у безбедносним ажурирањима ће увек представљати проблем. Једноставније речено: ово ће увек бити проблем, јер су рањивости неизбежне.
Иако је „фрагментација“ Андроид система одавно познат проблем (практично од самог почетка), када су у питању комплетна ажурирања оперативног система, то не би требало да се односи на безбедносна ажурирања. Ово нису ажурирања у стилу „нове функције су супер, и ја их желим“, већ су то критична ажурирања која штите ваше податке. Без обзира на то колико су мала или велика, ни један корисник не би смео да их занемари, никада.
Тренутно, произвођачи раде ужасан посао када је у питању заштита својих корисника. Иако не добијање комплетних ажурирања оперативног система (или чак мањих ажурирања) може бити фрустрирајуће, недобијање безбедносних ажурирања је неприхватљиво. То шаље јасну поруку: произвођач вашег телефона не брине о вашим подацима. Ваши подаци нису довољно важни да би били заштићени.
Безбедносна ажурирања нису тако обимна као пуна ажурирања оперативног система. Google их објављује на месечном нивоу, што их чини много мањим и лакшим за интеграцију у систем – чак и за произвођаче трећих страна. Дакле, не постоји прави разлог зашто ово не би био приоритет.
Прошле године, Google је захтевао од произвођача да нуде најмање две године безбедносних ажурирања за своје уређаје. (Pixel телефони гарантовано добијају три године). У чему је проблем? Захтев је само „најмање четири“ ажурирања годишње. То је квартално, а не месечно – и то је управо оно што већина произвођача и ради. Најнижи могући минимум. И то је једноставно недовољно добро.
Зашто? Зато што се нове рањивости откривају стално. Не желим да моји подаци буду потенцијално угрожени док чекам да произвођач мог телефона припреми тромсечне безбедносне закрпе у једном ажурирању – желим их чим их Google објави, и ви би требало да их желите.
Ова рањивост са PNG датотекама је само један пример. Из месеца у месец се откривају овакве врсте проблема, а већина произвођача објављује безбедносна ажурирања месецима касније, остављајући ваше податке изложеним много дуже него што је прихватљиво.
Иако бих волео да постоји једноставан одговор о томе како да се ово исправи, нажалост, не постоји. Све док произвођачи не почну озбиљније да схватају заштиту ваших података, остаје само један одговор: купите други телефон. Apple и Google су у континуитету доказали да им је стало до података корисника, тако да су iPhone и Pixel уређаји одличан избор за кориснике који желе да учине све што могу да заштите своје податке.
Колико год то звучало као клише (и искрено ми је досадно да то слушам): време је да гласате својим новцем. Не купујте телефоне од произвођача којима није стало до ваших података. То је једини начин да схвате да је овај проблем озбиљан.