Videó: MHP3RD.EXE #1 (November 2024)
Hacsak nem a közelmúltban vásárolta meg a telefont vagy táblagépet, nagyon valószínű, hogy Android-eszközén az operációs rendszer elavult verziója fut, és komoly biztonsági kockázatoknak teheti ki magát.
A Google legfrissebb adatai azt mutatják, hogy az Android-felhasználók 44 százaléka továbbra is a „Mézeskalács” vagy a 2.3.3–2.3.7 verziókban jelenik meg, amelyet két évvel ezelőtt adtak ki. A mézeskalácsnak számos biztonsági rése van, amelyeket a későbbi verziókban javítottak ki. Az operációs rendszer bontási adatai azon adatok alapján készülnek, amelyeket összegyűjtöttek az Android készülékektől, amelyek február 22. és március 4. között kapcsolódnak a Google Playhez.
A Google szerint az Android-eszközöknek mindössze 16% -a futtatja a mobil operációs rendszer 4.1 vagy 4.2 verzióját. A Jelly Bean néven is ismert legfrissebb Android verzió hat hónappal ezelőtt jelent meg, de az Android felhasználók többsége nem volt képes frissíteni az új operációs rendszerre, mert a folyamatot a szállítmányozók szorosan ellenőrzik.
"Az Android problémája az, hogy a legtöbb embernek régi verziói vannak a telefonjukban" - mondta Collin Mulliner, a bostoni északkeleti egyetem SECLAB-vel posztdoktori kutatója a múlt hónapban az RSA konferencián megrendezett mobil biztonsági panelbeszélgetés során.
A tavaly őszi SecurityWatch csúcstalálkozón Dan Guido, a Trail of Bits vezérigazgatója és társalapítója megjegyezte, hogy az iOS-eszközök nagy részét hetekben, nem pedig napokban frissítik, az Apple az új operációs rendszer kiadása után.
A mobilszolgáltatók késlekednek a frissítésekről
"A szoftverbiztonság egyik legfontosabb dolga a távoli frissítés képessége" - mondta Mulliner a panelen. Míg a felhasználók az iPhone és iPad készülékeken önállóan kezdeményezhetik az operációs rendszer frissítését, a mobilszolgáltatók irányítják az Android készülékek teljes folyamatát. Jelenleg teljesen megdöbbentő, hogy a felhasználók frissítéseket vezetnek be a felhasználók számára.
A probléma az, hogy az Android nyílt platformja lehetővé teszi az eszközgyártóknak és -szolgáltatóknak, hogy az operációs rendszert hozzáigazítsák az extra szoftverek csomagolásához és bizonyos konfigurációs beállítások megadásához. Amikor a Google kiad egy operációs rendszer frissítést, mind a gyártónak, mind a szállítóknak a legfrissebb verzió bevezetése előtt tesztelniük kell a változásokat otthoni verziójukkal összehasonlítva. A fuvarozók szerint ez egy lassú folyamat, ám sok biztonsági szakértő úgy gondolja, hogy a fuvarozók a profit helyett a profitot részesítik előnyben.
Néhány telefon csak nem kapja meg a legfrissebb Android-frissítést, mert megszűnnek vagy régebbi modellek, jelentette ki Chris Soghoian, az adatvédelmi kutató és aktivista. A gyártók arra koncentrálnak, hogy erőfeszítéseiket a jelenleg értékesítésre kerülő és piacra lépő eszközökre koncentrálják, és a vezeték nélküli szolgáltatók "csak kétévente egyszer törődnek veled", amikor a felhasználói szerződés megújításra készül - mondta Soghoian. Például egy LG Android okostelefon nem kapta meg az első operációs rendszer frissítését 16 hónap alatt, és sok telefon soha nem is kapja meg az első frissítést, nem is beszélve a másodikról.
Tekintettel arra, hogy a Google kb. Hathavonta kiadott egy új verziót, könnyen belátható, hogy a felhasználók milyen gyorsan válhatnak elavulttá.
Az előrehaladás támadása, amelyben a felhasználót csak egy rosszindulatú webhely felkeresése veszélyezteti, nem jelenti a legnagyobb veszélyt az Android-felhasználókkal szemben - mondta Charlie Miller, az iOS és az Android biztonságával kapcsolatos munkájáról ismert kutató, ugyanabban a panelen a az RSA konferencia.
"Az emberek azt gondolják, hogy az autópálya nagy veszélyt jelent, de a való életben egyszerűen nem fordul elő" - mondta Miller. Az Android esetében a felhasználókkal szemben a legnagyobb kockázatot az jelenti, hogy eszközeik elavult és nem javított verziójú operációs rendszert futtatnak - mondta. Az Android legújabb verziója biztonsági javításokkal és javított kihasználási lehetőségekkel rendelkezik.
A számítógépes bűnözők tudják, hogy a felhasználók sebezhető operációs rendszereket futtatnak. Minden bűnözőnek meg kell engednie egy rosszindulatú alkalmazást, amely kihasználja az Android régi verziójának sebezhetőségét, és megüt a felhasználói bázis jelentős részén.
Mint Soghoian korábban rámutatott: "Ha a fogyasztók 13 hónapos szoftvert futtatnak, akkor nincs szükség nulla napra a legtöbb Android készülék megtámadására."
Sajnos ez a helyzet valószínűleg nem változik meg, ha a szolgáltatók nem kezdik komolyan venni a biztonságot, vagy ha a Google a frissítési folyamat irányítását a szállítóktól távol tartja. A legbiztonságosabb Android készülék a Nexus 4 okostelefon a Google-tól, mivel a cég teljes ellenőrzést gyakorol a frissítések felett.