Om du äger en Google Pixel-telefon, kan du vara lugn – den är skyddad mot en allvarlig säkerhetsbrist. Denna brist, som kan utnyttjas via en skadlig PNG-bild, riskerar att fullständigt ta över systemet. Tyvärr är nästan alla andra Android-telefoner mottagliga för detta hot. Det är ett oroväckande problem.
Google har nyligen publicerat en säkerhetsuppdatering för sina Pixel-enheter i februari. Denna uppdatering åtgärdar en sårbarhet som gör det möjligt för illvilliga PNG-filer att exekvera kod med förhöjda privilegier. I praktiken innebär det att en angripare kan få tillgång till känslig information genom att bara få användaren att öppna en manipulerad bildfil. Det räcker med att öppna en fil för att en angripare ska kunna agera.
Detta innebär att alla PNG-bilder som du tar emot, vare sig via e-post, meddelandeappar eller MMS, potentiellt kan kompromettera din telefon och stjäla värdefull information. Detta gäller i princip alla telefoner som inte är Pixel, eftersom dessa nu är skyddade. Telefoner från tillverkare som Samsung, LG och OnePlus är fortfarande sårbara. Vi behöver högre standarder från tillverkarna när det gäller säkerhetsuppdateringar. Punkt slut.
Jag har för närvarande fyra Android-telefoner inom räckhåll: en Pixel 2 XL, en Pixel 1, en Samsung Galaxy S9 och en OnePlus 6T. De två Pixel-telefonerna har fått februariuppdateringen och är därmed skyddade, medan både S9 och 6T endast har säkerhetsuppdateringar från december. Detta innebär att de är sårbara för alla nya säkerhetsbrister, inklusive den här PNG-relaterade. Med tanke på att Samsung Galaxy är bland de mest sålda telefonerna globalt, är detta mycket oroväckande.
Men det här är inte bara ett aktuellt problem. Det är ett fortlöpande bekymmer. Så länge nya sårbarheter upptäcks kommer försenade säkerhetsuppdateringar att vara en risk. För att uttrycka det enkelt: det kommer alltid att vara ett problem, eftersom sårbarheter är ett faktum.
Androids ”fragmentering” har länge varit ett problem, särskilt när det gäller större systemuppdateringar. Detta borde dock inte gälla säkerhetsuppdateringar. Det här handlar inte om ”coola nya funktioner”, utan om grundläggande dataskydd. Oavsett hur små dessa uppdateringar än kan verka, bör de inte ignoreras av någon konsument. Någonsin.
Tillverkarna gör ett dåligt jobb med att skydda sina användare. Att inte få fullständiga systemuppdateringar kan vara irriterande, men att inte få säkerhetsuppdateringar är oacceptabelt. Det sänder ett tydligt budskap: din telefontillverkare bryr sig inte om din data. Din information är inte viktig nog för att skyddas.
Säkerhetsuppdateringar är inte lika omfattande som systemuppdateringar. De publiceras månatligen av Google och är relativt små och enkla att implementera – även för tredjepartstillverkare. Det finns ingen bra ursäkt för att inte prioritera detta.
Förra året krävde Google att tillverkare ska erbjuda minst två års säkerhetsuppdateringar för sina enheter. (Pixel-telefoner är garanterade tre år.) Problemet är dock att det endast krävs ”minst fyra” uppdateringar per år. Det är alltså kvartalsvis, inte månatligen – och det är precis vad de flesta tillverkare gör. De gör absolut minimum, vilket inte är tillräckligt bra.
Varför? Därför att nya sårbarheter avslöjas kontinuerligt. Jag vill inte riskera min data bara för att min telefontillverkare väntar med att samla ihop säkerhetsfixar under tre månader innan de släpper en uppdatering – jag vill ha dem så fort Google har publicerat dem, och det borde du också vilja.
Denna PNG-sårbarhet är bara ett exempel. Månad efter månad upptäcks liknande problem, och när tillverkarna släpper säkerhetsuppdateringar månader i efterhand riskerar din data att vara exponerad alldeles för länge.
Jag önskar att det fanns en enkel lösning, men tyvärr finns det inte det. Tills tillverkarna börjar ta din information på allvar, finns det bara ett svar: köp en annan telefon. Apple och Google har bevisat att de bryr sig om användarnas data, så iPhone- och Pixel-telefoner är utmärkta alternativ för de som vill göra sitt bästa för att skydda sin information.
Klyschigt nog (och jag är trött på att säga det), är det dags att rösta med plånboken. Köp inte telefoner från tillverkare som inte bryr sig om din data. Det är det enda sättet som de kommer att förstå allvaret.