Koti Securitywatch Androidin suurin tietoturvauhka: os pirstoutuminen

Androidin suurin tietoturvauhka: os pirstoutuminen

Video: 7 VINKKIÄ TIETOTURVAAN (Marraskuu 2024)

Video: 7 VINKKIÄ TIETOTURVAAN (Marraskuu 2024)
Anonim

Ellet ostanut puhelinta tai tablettia äskettäin, todennäköisyys on suuri, että Android-laitteessasi on vanhentunut käyttöjärjestelmän versio, mikä aiheuttaa vakavia tietoturvariskejä.

Viimeisimmät Googlen tiedot osoittavat, että 44 prosenttia Android-käyttäjistä on edelleen "Gingerbread" -versiossa tai versioissa 2.3.3 - 2.3.7, jotka julkaistiin kaksi vuotta sitten. Gingerbreadissa on useita tietoturva-aukkoja, jotka on korjattu myöhemmissä versioissa. OS-erittelytiedot perustuvat tilastoihin, jotka on kerätty Android-laitteilta, jotka yhdistävät Google Playn 22. helmikuuta - 4. maaliskuuta.

Vain 16 prosenttia Android-laitteista käyttää Googlen mukaan mobiili-käyttöjärjestelmän versiota 4.1 tai 4.2. Viimeisin Android-versio, joka tunnetaan myös nimellä Jelly Bean, julkaistiin kuusi kuukautta sitten, mutta suurin osa Android-käyttäjistä ei ole pystynyt päivittämään uuteen käyttöjärjestelmään, koska operaattorit hallitsevat prosessia tiukasti.

"Androidin ongelmana on, että useimmilla ihmisillä on vanhat versiot puhelimessaan", Bostonin Koillis-yliopiston SECLAB: n tutkijatohtori Collin Mulliner sanoi viime kuun RSA-konferenssissa pidetyssä mobiiliturvallisuuspaneelikeskusteluissa.

Viime syksynä järjestetyssä SecurityWatch-huippukokouksessa Trail of Bitsin toimitusjohtaja ja perustaja Dan Guido totesi, että suurin osa iOS-laitteista päivitetään viikkojen, eikä päivien kuluessa siitä, kun Apple julkaisi uuden käyttöjärjestelmän.

Matkapuhelinoperaattorien viive päivityksissä

"Yksi tärkeimmistä asioista ohjelmistoturvassa on nykyään kyky päivittää etäyhteydellä", Mulliner sanoi paneelissa. Vaikka käyttäjät voivat itse käynnistää käyttöjärjestelmän päivityksen iPhonille ja iPadsille, Androidille, matkapuhelinoperaattorit hallitsevat koko prosessia Android-laitteille. Tällä hetkellä heidän kollektiivinen ennätys päivitysten lähettämisestä käyttäjille on täysin surkea.

Ongelmana on, että Androidin avoin alusta antaa laitevalmistajille ja operaattoreille säätää käyttöjärjestelmää niputtamaan ylimääräisiä ohjelmistoja ja asettamaan tietyt kokoonpanoasetukset. Aina kun Google julkaisee käyttöjärjestelmäpäivityksen, sekä toimittajan että operaattorien on testattava muutokset homebrew-järjestelmiensä suhteen ennen uusimman version käyttöönottoa. Lentoliikenteen harjoittajat väittävät, että tämä on hidas prosessi, mutta monet turvallisuusasiantuntijat uskovat, että liikenteenharjoittajat asettavat etusijalle voiton turvallisuuteen nähden.

Jotkut puhelimet eivät vain saa uusinta Android-päivitystä, koska ne poistetaan käytöstä tai ovat vanhempia malleja, tietosuojatutkija ja aktivisti Chris Soghoian kertoi erilaisessa tapahtumassa aiemmin tänä vuonna. Valmistajat keskittyvät pyrkimyksiinsä tällä hetkellä myytäviin ja markkinoille tuleviin laitteisiin, ja langattomat operaattorit "välittävät sinusta vain kahden vuoden välein", kun käyttäjäsopimus on uudistettavissa, Soghoian sanoi. Esimerkiksi LG Android-älypuhelin ei saanut ensimmäistä käyttöjärjestelmäpäivitystä 16 kuukauden ajan, ja monet puhelimet eivät koskaan edes saa ensimmäistä päivitystä, puhumattakaan toisesta.

Koska Google on julkaissut uuden version noin kuuden kuukauden välein, on helppo nähdä, kuinka nopeasti käyttäjät voivat vanhentua.

Ajohyökkäys, jossa käyttäjä on vaarantunut vain käymällä haitallisella sivustolla, ei ole suurin uhka Android-käyttäjille, totesi Charlie Miller, tutkija, joka on tunnettu työstään iOS: n ja Android-tietoturvan kanssa, saman paneelin aikana RSA-konferenssi.

"Ihmiset ajattelevat, että ajomatka on suuri uhka, mutta tosielämässä niitä ei vain tapahdu", Miller sanoi. Hänen mukaansa Androidin kohdalla suurin riski käyttäjille on se, että heidän laitteissaan on vanhentuneita ja korjaamattomia käyttöjärjestelmän versioita, hän sanoi. Androidin uusimmissa versioissa on tietoturvakorjauksia ja parannettuja hyötykäyttöä.

Tietoverkkorikolliset tietävät, että käyttäjät käyttävät haavoittuvia käyttöjärjestelmiä. Kaikki rikolliset tarvitsevat vain vapauttaa haittaohjelman, joka hyödyntää Androidin vanhan version haavoittuvuutta, ja osua merkittävään osaan käyttäjäkunnasta.

Kuten Soghoian huomautti aikaisemmin, "sinun ei tarvitse nollapäivää hyökkäyksessä useimpiin Android-laitteisiin, jos kuluttajat käyttävät 13 kuukautta vanhoja ohjelmistoja."

Valitettavasti tämä tilanne ei todennäköisesti muutu, elleivät operaattorit ryhdy ottamaan turvallisuutta vakavasti tai jos Google tarttuu päivitysprosessin hallintaan operaattoreilta. Turvallisin Android-laite on Googlen Nexus 4-älypuhelin, koska yrityksellä on täysi määräysvalta päivityksiin.

Androidin suurin tietoturvauhka: os pirstoutuminen