Problemet med Android-oppdateringer: Å spille skylden

Spør hvilken som helst IT-sikkerhetsvinkler: hva er det viktigste vi som brukere kan gjøre for å sikre vår sikkerhet mens vi krysser Internett? Sammen nå ... "Hold programvaren oppdatert.

Jeg har spurt, og de fleste er enige. Jeg vil til og med si at vi har drukket Kool-Aid, og aktivt oppdatert programvare når det trengs. Hvorfor er ikke enheter som bruker Android-operativsystemer oppdatert (diagram, med tillatelse fra Android Developers)?

Over 50 prosent av Android-telefoner ligger to store revisjoner bak. For å få et inntrykk av hvor mange som er, spår Google antallet Android-aktiveringer vil nå en milliard innen november 2013. (diagram, med tillatelse fra Asymco).

Det betyr at over 500 000 000 telefoner som bruker et Android-operativsystem ikke vil være oppdatert.

Fingerpeking

Meninger om årsaken til at Android er så langt bak er rikelig og grensende anklagende. Den siste anfallen brøt ut i sommer. Randall Stephenson, administrerende direktør i AT & T, startet striden med å skylde på Google. Seth Weintraub fanget Stephensons kommentarer fra denne videoen - nærmere bestemt et medlem av publikum som spurte Stephenson hvorfor telefoner er trege med å få de nyeste versjonene av Android. Stephensons svar:

Google bestemmer hvilken plattform som får de nyeste utgivelsene, og når. Mange ganger er det en forhandlet ordning, og det er noe vi jobber hardt for. Vi vet at det er viktig for kundene våre. Det er et slags tvetydig svar fordi jeg ikke kan gi deg et direkte svar i denne innstillingen.

I den samme bloggen inkluderte Weintraub Googles svar:

Stephensons nøye formulerte sitat fanget vår oppmerksomhet og ærlig talt forstår vi ikke hva han viser til. Google har ikke noen avtaler som krever forhandling før et håndsett lanseres.

Google har alltid gjort den siste utgivelsen av Android tilgjengelig som åpen kildekode på source.android.com så snart den første enheten basert på den har lansert. På denne måten vet vi at programvaren kjører feilfri på maskinvare som er akseptert og godkjent av produsenter, operatører og reguleringsbyråer som FCC. Vi slipper den til verden.

På det neste er Paul Lilly, og innlegget hans for ExtremeTech har tittelen, "Er det noe Google kan gjøre for å løse problemet med treg Android-oppdateringer?" Lilly vasser gjennom flere potensielle årsaker til at oppdateringer ikke skjer, men:

Det er ingen vinnere når de spiller skyldspelet, og hvis Google skal løse problemet, må det finne ut om en løsning til og med eksisterer, og om den bryr seg om å implementere det eller ikke.

Videre i innlegget foreslår Lilly en mulig løsning som ble nevnt i en tidligere ExtremeTech-post-charge brukere for Android-oppdateringer. Deres logikk er at det skal motivere produsentene og mobiltelefoneleverandørene til å lansere oppdateringer. Hva tror du? Har ideen en sjanse? Lilly nevnte noe annet det er verdt å merke seg:

Apple har ikke dette problemet fordi det bygger sin egen maskinvare, og heller ikke Microsoft, som krever at Windows Phone-produsenter skal følge en spesifikk maskinvareplanlegging.

Så der har vi det, millioner av Android-baserte telefoner i tjeneste, hvorav halvparten bruker et utdatert operativsystem og ikke noe middel i sikte.

Selektiv oppdatering?

En nylig situasjon ga bevis for at det er mulig å oppdatere Android OS i rimelig tidsramme. Jeg må si jeg ble overrasket. Hva er disse historiske omstendighetene?

Det startet med at Ravishankar Borgaonkar, en sikkerhetsforsker ved Technical University-Berlin, oppdaget en ny Android-utnyttelse med potensial for å forårsake økonomisk smerte - mer om dette senere. Hindsight viser presentasjonen sin, "Skitten bruk av USSD-koder i mobilnett, " startet tannhjulene til endring. Jeg kontaktet Ravi og ba ham om å forklare:

"Jeg oppdaget en sårbarhet som lar en angriper utføre USSD-koder automatisk uten brukertillatelse / interaksjon. Dette skjer på grunn av:
  • Android-oppringeren klarer ikke å skille mellom et telefonnummer og USSD-kode.
  • Viktige USSD-koder kan kjøres uten behov for å trykke på den grønne valgknappen.

De berørte Android-versjonene er 2.3.x (potensielt tidligere versjoner før 2.3.x også), 3.x (Honeycomb), 4.0.x (Ice Cream Sandwich) og 4.1.x (Jelly Bean). Ravi nevnte også at alle Android-enheter som kjører de nevnte versjonene, er berørt.

Paul Ducklin skrev en utmerket blogg om hvordan utnyttelsen fungerer for Sophos Naked Security: "Står Android-telefoner mot en fjerntørkende hacking-pandemi?" Han nevnte også at Dylan Reeves opprettet en nettside som lar deg sjekke telefonen din.

http://dylanreeve.com/phone.php

Det ser ut til å være en viss forvirring om hvilke ondsinnede gjerninger som er mulig ved å utnytte sårbarheten. De to mest alvorlige jeg har lest om er:

  • Drepe SIM-kortet permanent.
  • Tilbakestill telefonen til fabrikkstand.

Jeg håper du vil tilgi meg, det er jo lenger jeg vil gå på utnyttelse. Andre mer kunnskapsrike, som Paul, har allerede gitt detaljene. Dessuten har jeg noe annet på hodet.

Jeg har hatt tre Android-telefoner nå. Hvorfor? Det var den eneste måten for meg å få den nyeste versjonen av Android - uten fengsel. Da jeg kjøpte den nye SIII (versjon 4.0), var min elskede Infuse fremdeles på versjon 2.3. Hvorfor vet jeg ikke.

Jeg testet hver telefon for Ravis utnyttelse, og begge var sårbare - ingen overraskelse. Overraskelsen kom senere samme dag; tekniske medier utsatte for at Samsung allerede hadde en løsning tilgjengelig, og AT&T (leverandøren min) hadde den klar til å laste ned. Ikke sant. Jeg må se dette.

Det er sikkert nok en 80-pluss meg Over-the-Air-nedlasting.

Rask merknad : Ukjent for meg, sikkerhetsappen min. Lookout stengt av etter oppdateringen installert og obligatorisk omstart. Den eneste måten jeg visste dette på var en e-post fra Lookout som lurte på hvorfor jeg deaktiverte appen deres. Jeg la raskt inn påloggingsinformasjonen min, og Lookout var sikkerhetskopiert. Jeg har nevnt dette for folk på Lookout, og de undersøker det.

Hvis det er så enkelt

Jeg slet i noen dager og prøvde å forstå begrunnelsen bak når og hvordan Android-enheter blir oppdatert. Jeg bestemte meg for å be William Francis, min Android-etterforskningspartner og stipendiat TechRepublic om hans tanker om den raske oppdateringen. Her var hva han hadde å si:

Jeg tror det faktum at denne oppdateringen kom til brukere så raskt påpeker de korte tilkomstene til distribusjonsmodellen for Android-programvare. Til syvende og sist er det telefonprodusentene som driver showet. Og de er bare motivert av utsiktene til å selge flere enheter.

Når Google kommer ut med en sikkerhetsoppdatering, er det enkelt og fordelaktig for en telefonprodusent å si "det var ikke vår feil". Men hei hvis du vil ha den nyeste versjonen av Android, hvorfor ikke bare kjøpe den nyeste telefonen. I dette tilfellet var problemet ikke bare på den nyeste telefonen, men også skylden var Samsungs.

Hvis de ikke presset ut en løsning raskt, vil de kunne betale tilbake kundekjøp, eller la dem velge en ny modelltelefon som ikke hadde dette problemet. Interessant nok tror jeg transportøren må melde seg av på oppdateringen også. Det viser at telefonprodusentene har mye mer utbytte av transportørene enn Google, skaperne av operativsystemet selv. Men igjen handler det om bunnlinjen og penger blir direkte vekslet mellom transportøren og produsenten, mens dette ikke er tilfelle med Google og transportøren - i det minste etter min kunnskap.

Siste tanker

Salg av smarttelefoner falt på datamaskiner i 2011. Hvis jeg vet det, vet de slemme menneskene det også. Ved å bruke historien som guide er det lett å se hvor de skal fokusere sin innsats. Hvis "må holde programvaren oppdatert" er sann, burde vi gjøre det slik.

Jeg vil takke Ravi Borgaonkar for at vi sørget for at vi var klar over dette. Og andre som Dylan Reeve og Paul Ducklin for å hjelpe til med å få ordet ut.

© Copyright 2020 | mobilegn.com