Om du använder en Google Pixel-telefon är din telefon säker från ett säkerhetshål som skulle kunna låta en PNG-fil fullständigt förstöra systemet. Om du använder nästan vilken annan Android-telefon som helst är din telefon sårbar. Det här är ett problem.
Google nyligen släppte säkerhetsuppdateringen för Pixel-enheter i februari, som täpper till ett hål som skulle tillåta skadliga PNG-filer att ”köra godtycklig kod inom ramen för en privilegierad process.” I enklare termer kan koden köras på en hög nivå och stjäla din information – allt du behöver göra är att öppna filen. Det är allt.
Det betyder att alla PNG som kommer till dig – vare sig det är i ett e-postmeddelande, en meddelandeklient eller till och med via MMS – kan potentiellt kapa systemet och stjäla värdefull data. Det vill säga på alla telefoner som inte är en Pixel, eftersom de är skyddade nu. Samsung, LG, OnePlus och de flesta andra tillverkares telefoner är fortfarande mottagliga för denna bugg. Vi måste börja hålla tillverkare till en högre standard när det kommer till säkerhetsuppdateringar. Period.
Jag har för närvarande fyra Android-telefoner inom räckhåll: Pixel 2 XL, Pixel 1, Samsung Galaxy S9 och OnePlus 6T. De två pixlarna är lappade och skyddade med februariuppdateringen, men S9 och 6T finns bara på decembersäkerhetspatcharna. Det betyder att alla nyare sårbarheter – som till exempel den här PNG-en – är opatchade på båda dessa telefoner. Med tanke på att Samsung Galaxy-enheter är bland de mest populära telefonerna på planeten är detta oroande.
Men det är inte bara ett problem på grund av det nuvarande problemet. Detta är ett dynamiskt problem som är ett ständigt bekymmer – eller åtminstone borde det vara det. Så länge det finns nya sårbarheter kommer försenade säkerhetsuppdateringar alltid att vara ett problem. Så, för att uttrycka det i enklare termer: detta kommer alltid att vara ett problem eftersom sårbarheter är garanterade.
Medan Android ”fragmentering” länge har varit ett problem (sedan plattformen introducerades, i huvudsak) när det kommer till fullständiga OS-uppdateringar, bör detta inte gälla säkerhetsuppdateringar. Dessa är inte ”nya funktioner är coola, och jag vill ha dem”-uppdateringar, det här är viktiga dataskyddande uppdateringar. Oavsett om de är små eller inte, är detta inte något som bör förbises av någon konsument. Någonsin.
För närvarande gör tillverkare ett fruktansvärt jobb med att skydda sina användare, full stop. Även om det i bästa fall är irriterande att inte få fullständiga OS-uppdateringar (eller ens punktutgåvor), är det oacceptabelt att inte få säkerhetsuppdateringar. Den skickar ett meddelande som inte kan ignoreras: den säger att din telefontillverkare inte bryr sig om dina data. Din information är inte viktig nog för dem att skydda.
Säkerhetsuppdateringar är inte stora som fullständiga OS-uppdateringar eller till och med punktutgåvor. De släpps varje månad av Google, så de är mycket mindre och lättare att bygga in i systemet – även för tredjepartstillverkare. Återigen, det finns ingen riktig ursäkt för att inte göra detta till en prioritet.
Förra året krävde Google det tillverkare erbjuder minst två års säkerhetsuppdateringar för handenheter. (Pixel-telefoner kommer garanterat att få tre år.) Problemet med det? Det kräver bara ”minst fyra” uppdateringar inom ett år. Det är kvartalsvis, inte månadsvis – och det är precis vad de flesta tillverkare gör. Det absoluta minimum. Och det är bara inte tillräckligt bra.
Varför? För att nya sårbarheter avslöjas hela tiden. Jag vill inte att mina data eventuellt äventyras medan jag väntar på att tillverkaren av min telefon ska komma runt för att koka ihop tre månaders säkerhetskorrigeringar i en uppdatering – jag vill ha dem så snart Google släpper dem, och det borde du också.
Denna PNG-sårbarhet är bara ett exempel. Månad efter månad upptäcks dessa typer av problem, och med de flesta tillverkare som trycker ut säkerhetsuppdateringar månader senare, lämnar det din data exponerad mycket längre än vad som är acceptabelt.
Även om jag önskar att det fanns ett enkelt svar på hur man fixar detta, finns det tyvärr inte. Tills tillverkare börjar ta din information på större allvar finns det bara ett riktigt svar: köp en annan telefon. Apple och Google har rutinmässigt bevisat att de bryr sig om användarnas data, så iPhone- och Pixel-telefoner är båda utmärkta val för användare som vill göra allt de kan för att skydda sin data.
Hur klyschigt det än låter (och jag är ärligt talat trött på att höra det): det är dags att rösta med plånboken. Köp inte telefoner från tillverkare som inte bryr sig om din data. Det är det enda sättet de kommer att veta att det här är allvarligt.