To właśnie usłyszałem od przyjaciela świadomego bezpieczeństwa, mówiąc o tym, że dostał nowy telefon. Błąd, o którym tu mowa, na wypadek, gdybyś nie był świadomy, wpłynął na ponad miliard telefonów, które korzystają z chipu Broadcom Wi-Fi i byłby to łatwy sposób na zhakowanie ich wszystkich na wiele sposobów.
Najprawdopodobniej telefon, na którym to czytasz, ma paskudny, nadający się do wykorzystania błąd.
Nie musisz się o to martwić, jeśli masz iPhone'a lub Pixela (lub dowolnego Nexusa, który jest nadal obsługiwany) lub BlackBerry z systemem Android, ponieważ został załatany, zanim został udostępniony publicznie. Ale Pixel, późny model Nexuses i Android BlackBerry sprzedawane są w niewielkich ilościach w porównaniu do wszystkich innych telefonów z Androidem (jestem tutaj bardzo hojny). Oznacza to, że miliony milionów telefonów z systemem Android są nadal narażone na ataki. W tym Galaxy S8, mimo że każdy partner Androida miał dostęp do łatki tak długo, jak Google, BlackBerry i Apple.
W „prawdziwym życiu” jest to problem, a nie problem. Jedna rzecz idzie w parze z każdym ogłoszeniem złośliwego oprogramowania lub innych sztuczek i narzędzi, których można użyć do zdalnego włamania się do telefonu: prawie nigdy się nie zdarza. Ale nadal może. Prosta logika mówi, że kiedyś tak będzie. I niestety, poza jakimś rządowym nadzorem nad oprogramowaniem telefonu (którego nikt nie chce), nie ma sposobu, aby to naprawić.
Niedługo po wydaniu HTC Dream / T-Mobile G1 znaleziono lukę w zabezpieczeniach, w której każdy mógł przejąć kontrolę za pośrednictwem oprogramowania zewnętrznego. Wszystkie wczesne iPhone'y używały tych samych poświadczeń administratora do zdalnego logowania. Tego rodzaju rzeczy pochodzą z terytorium - całe oprogramowanie zawiera błędy lub dziury, które można wykorzystać. Te wczesne błędy zostały natychmiast naprawione i aktualizacje zostały wysłane na telefony. Tak już nie działa, przynajmniej dla Androida.
Wszystkie programy, które kiedykolwiek napisano, zawierają błędy. Dobre oprogramowanie ma je załatać.
Ponieważ system Android jest udzielany na podstawie licencji typu open source, Google nie ma kontroli nad tym, w jaki sposób jest używany poza wymogami dostępu do Google Play i powiązanych aplikacji. Wiem, że trudno jest się tym zająć, chyba że znasz oprogramowanie open source. Ale Google po prostu nie może zmusić firmy, która sprawia, że telefony z Androidem robią coś więcej niż spełnienie kilku minimalnych wymagań zaprojektowanych w celu zapewnienia ich zgodności z interfejsami API, z których twórcy aplikacji Play Store piszą aplikacje. Nawet te są kwestionowane przez sądy w Europie.
Dzięki temu inna firma kontroluje większość oprogramowania, które nazywamy Androidem, a kontrola wiąże się z dużą odpowiedzialnością. Naprawdę wierzę, że Samsung (na przykład i ponieważ jest to tak duża część Androida) dba o to, aby wszyscy jego klienci byli odporni na takie rzeczy, jak błąd Broadcomm. Ale to wymaga pracy i zaangażowania, których nie jest w stanie dać. Nie chodzi o to, że Samsung nie dba o to, po prostu nie jest w stanie naprawić go tak szybko, jak działa jego biznes. To samo dotyczy każdej firmy produkującej telefony z Androidem, być może nawet bardziej, ponieważ żadna nie ma zasobów, które ma Samsung.
Na pudełku jest napisane Android, więc to jest problem Google.
Oprogramowanie jest trudne. Zrobienie tego dobrze - załatanie każdego znanego błędu, gdy tylko zostanie ujawniony - jest jeszcze trudniejsze. Dodanie kolejnego pośrednika oznacza, że jest cholernie niemożliwe.
Ostatecznie wszystko to spoczywa na barkach Google. Nazwa Androida znajduje się na pudełku, w telefonie i na głowie, gdy kupujesz nowy telefon. Może to nie być sprawiedliwe dla pracowników Google, którzy ciężko pracują nad łataniem błędów i wydawaniem aktualizacji lub biuletynów bezpieczeństwa, ale to nie ma znaczenia. Android jest dzieckiem Google'a. Gdy zupełnie nowe telefony dowolnej firmy mają system Android i mają poważne luki, wszystkie oczy spoglądają w stronę Mountain View.
Google zrobił wiele rzeczy, aby rozwiązać ten problem, i robi jeszcze więcej dzięki Project Treble. Jestem pewien, że jednym z długoterminowych celów jest jakoś rozwiązanie tego problemu, niezależnie od tego, czy oznacza to całkowite przepisanie podstaw Androida, zmianę licencji użytkowania lub wyciągnięcie królika z kapelusza. Równie dobrze wie, jak my, że jest właścicielem tego problemu, i zamiast płakać, próbuje go rozwiązać.
Mam nadzieję, że uda się to zrobić, zanim będzie za późno, ponieważ „nie chcieć używać niczego innego niż iPhone lub Pixel” to sentyment, którego nikt nie chce usłyszeć.
