Data de pegat de seguretat del Samsung Galaxy S9

Si teniu un dispositiu de Google Pixel, el vostre telèfon està fora de seguretat d'un forat de seguretat que podria deixar que un fitxer PNG faci estrallar el sistema. Si utilitzeu gairebé qualsevol altre dispositiu Android, el vostre telèfon serà vulnerable. Aquest és un problema.

Google ha llançat recentment l'actualització de seguretat de febrer per a dispositius Pixel, que tanca un forat que permetria als fitxers PNG maliciosos "executar codi arbitrari en el marc d'un procés privilegiat." En termes més senzills, el codi pot funcionar a un nivell elevat i robar-vos informació: tot el que heu de fer és obrir el fitxer. Això és.

Això vol dir que qualsevol PNG que us vingui, ja sigui en un correu electrònic, un client de missatgeria, o fins i tot mitjançant MMS, podria segrestar el sistema i robar dades valuoses. És a dir, en qualsevol telèfon que no sigui un píxel, ja que ara estan protegits. Els telèfons Samsung, LG, OnePlus i la majoria dels fabricants continuen sent susceptibles a aquest error. Hem de començar a mantenir els fabricants amb un nivell més alt quan es tracta d’actualitzacions de seguretat. Període.

Actualment, tinc quatre telèfons Android a l'abast: Pixel 2 XL, Pixel 1, Samsung Galaxy S9 i OnePlus 6T. Els dos píxels estan pegats i protegits amb l'actualització de febrer, però el S9 i el 6T només estan als pegats de seguretat del desembre. Això vol dir que qualsevol vulnerabilitat més nova (com aquesta PNG, per exemple) no es troba en aquests dos telèfons. Tenint en compte que els dispositius Samsung Galaxy són un dels telèfons més populars del planeta, això és preocupant.

Data de pegat de seguretat de Google Pixel 2 XL

Però no és només un problema a causa del problema actual. Aquest és un problema dinàmic que és una preocupació constant, o almenys ho hauria de ser. Sempre que hi hagi noves vulnerabilitats, les actualitzacions de seguretat retardades sempre seran un problema. Per dir-ho en termes més senzills: sempre serà un problema perquè les vulnerabilitats estan garantides.

Tot i que la “fragmentació” d’Android ja fa temps que és un problema (des que es va introduir la plataforma, fonamentalment) quan es tracta d’actualitzacions completes del sistema operatiu, això no s’hauria d’aplicar a les actualitzacions de seguretat. No es tracta de "novetats excel·lents i vull", són actualitzacions crucials per a la protecció de dades. Independentment de si són petits o no, això no és cap cosa que hagi de passar per alt pels consumidors. Sempre.

RELATED: La fragmentació no és la falta d'Android, són els fabricants

Actualment, els fabricants estan fent un terrible treball de protecció als seus usuaris. Tot i que no rebre actualitzacions completes del sistema operatiu (o fins i tot llançar puntuals) és molest en el millor dels casos, no rebre les actualitzacions de seguretat és inacceptable. Envia un missatge que no es pot ignorar: diu que el fabricant de telèfons no li importa les dades. Les teves dades no són prou importants perquè puguin protegir-les.

Les actualitzacions de seguretat no són grans com les actualitzacions completes del sistema operatiu o fins i tot les versions puntuals. Google els llança mensualment, de manera que són molt més petits i fàcils d’enfornar al sistema, fins i tot per a fabricants de tercers. Un cop més, no hi ha cap excusa real per no fer d'aquesta prioritat.

L’any passat Google va exigir que els fabricants oferissin almenys dos anys d’actualitzacions de seguretat per a telèfons. (Els telèfons Pixel tenen tres anys.) Només requereix “almenys quatre” actualitzacions d’aquí a un any. Això és trimestral, no mensual, i és exactament el que fan la majoria de fabricants. El mínim. I no és prou bo.

Per què? Perquè les noves vulnerabilitats estan exposades tot el temps. No vull que les meves dades es vegin potencialment compromeses mentre espero que el fabricant del meu telèfon es posi a punt per solucionar solucions de seguretat per tres mesos en una actualització; les vull tan aviat com les publiqui, i també ho haureu de fer.

Aquesta vulnerabilitat PNG és només un exemple. Mes rere mes es descobreixen aquest tipus de problemes i, amb la majoria de fabricants que es retiren les actualitzacions de seguretat mesos després, això deixa les dades exposades molt més del que és acceptable.

Si bé desitjo que hi hagués una resposta fàcil sobre com solucionar-ho, malauradament, no hi ha. Fins que els fabricants no comencin a prendre-se les dades més seriosament, només hi ha una resposta real: comprar un telèfon diferent. Apple i Google han demostrat habitualment que els importen les dades dels usuaris, de manera que els telèfons iPhone i Pixel són una opció excel·lent per als usuaris que volen fer tot el possible per protegir les seves dades.

Per molt que sembli (i sincerament estic malalt de sentir-ho): és hora de votar amb la cartera. No compreu telèfons de fabricants que no es preocupin de les vostres dades. És l’única manera que sabran que això és seriós.