Als u een Google Pixel-handset gebruikt, is uw telefoon veilig voor een beveiligingslek waardoor een PNG-bestand het systeem volledig kan verwoesten. Als u bijna elk ander Android-toestel gebruikt, is uw telefoon kwetsbaar. Dit is een probleem.
Google onlangs heeft de beveiligingsupdate van februari voor Pixel-apparaten uitgebracht, waarmee een gat wordt gedicht waardoor kwaadaardige PNG-bestanden “willekeurige code kunnen uitvoeren binnen de context van een geprivilegieerd proces”. In eenvoudiger bewoordingen kan de code op een hoog niveau worden uitgevoerd en uw informatie stelen – u hoeft alleen maar het bestand te openen. Dat is het.
Dat betekent dat elke PNG die naar je toekomt, of het nu in een e-mail, een berichtenclient of zelfs via MMS is, het systeem kan kapen en waardevolle gegevens kan stelen. Dat wil zeggen, op elke telefoon die geen Pixel is, omdat ze nu worden beschermd. Samsung, LG, OnePlus en de meeste handsets van andere fabrikanten zijn nog steeds vatbaar voor deze bug. We moeten fabrikanten aan een hogere standaard gaan houden als het gaat om beveiligingsupdates. Periode.
Ik heb momenteel vier Android-telefoons binnen handbereik: Pixel 2 XL, Pixel 1, Samsung Galaxy S9 en OnePlus 6T. De twee Pixels zijn gepatcht en beschermd met de update van februari, maar de S9 en 6T staan alleen op de beveiligingspatches van december. Dat betekent dat nieuwere kwetsbaarheden, zoals deze PNG, niet zijn gepatcht op beide handsets. Gezien het feit dat Samsung Galaxy-apparaten tot de meest populaire telefoons ter wereld behoren, is dit verontrustend.
Maar het is niet alleen een probleem vanwege het huidige probleem. Dit is een dynamisch probleem dat een constante zorg is – of dat zou het tenminste moeten zijn. Zolang er nieuwe kwetsbaarheden zijn, zullen vertraagde beveiligingsupdates altijd een probleem zijn. Dus om het simpeler te zeggen: dit zal altijd een probleem blijven omdat kwetsbaarheden gegarandeerd zijn.
Hoewel Android “fragmentatie” al lang een probleem is (sinds het platform in wezen werd geïntroduceerd) als het gaat om volledige OS-updates, zou dit niet van toepassing moeten zijn op beveiligingsupdates. Dit zijn geen “nieuwe functies zijn cool, en ik wil ze”-updates, dit zijn cruciale updates voor gegevensbescherming. Ongeacht of ze klein zijn of niet, dit is niet iets dat door een consument over het hoofd moet worden gezien. Ooit.
Momenteel doen fabrikanten verschrikkelijk werk om hun gebruikers te beschermen, punt uit. Hoewel het niet krijgen van volledige OS-updates (of zelfs puntreleases) op zijn best vervelend is, is het niet krijgen van beveiligingsupdates onaanvaardbaar. Het stuurt een bericht dat niet kan worden genegeerd: het zegt dat je telefoonfabrikant niets om je gegevens geeft. Uw informatie is niet belangrijk genoeg om te beschermen.
Beveiligingsupdates zijn niet enorm, zoals volledige OS-updates of zelfs puntreleases. Ze worden maandelijks vrijgegeven door Google, dus ze zijn veel kleiner en gemakkelijker in het systeem in te bouwen, zelfs voor externe fabrikanten. Nogmaals, er is geen echt excuus om hier geen prioriteit van te maken.
Vorig jaar stelde Google dat verplicht fabrikanten bieden beveiligingsupdates van minimaal twee jaar voor handsets. (Pixeltelefoons krijgen gegarandeerd drie jaar.) Het probleem daarmee? Het vereist slechts “minimaal vier” updates binnen een jaar. Dat is driemaandelijks, niet maandelijks – en dat is precies wat de meeste fabrikanten doen. Het absolute minimum. En het is gewoon niet goed genoeg.
Waarom? Omdat er voortdurend nieuwe kwetsbaarheden worden blootgelegd. Ik wil niet dat mijn gegevens in gevaar komen terwijl ik wacht tot de fabrikant van mijn telefoon klaar is om drie maanden aan beveiligingsoplossingen in één update te koken – ik wil ze zodra Google ze vrijgeeft, en jij zou dat ook moeten doen.
Deze PNG-kwetsbaarheid is slechts één voorbeeld. Maand na maand worden dit soort problemen ontdekt, en aangezien de meeste fabrikanten beveiligingsupdates maanden later uitbrengen, blijven uw gegevens veel langer zichtbaar dan acceptabel is.
Hoewel ik wou dat er een eenvoudig antwoord was om dit op te lossen, is dat helaas niet het geval. Totdat fabrikanten uw informatie serieuzer gaan nemen, is er maar één echt antwoord: koop een andere telefoon. Apple en Google hebben routinematig bewezen dat ze om de gegevens van gebruikers geven, dus iPhone- en Pixel-handsets zijn beide uitstekende keuzes voor gebruikers die er alles aan willen doen om hun gegevens te beschermen.
Hoe cliché het ook klinkt (en ik ben het echt zat om het te horen): het is tijd om met je portemonnee te stemmen. Koop geen telefoons van fabrikanten die niet om uw gegevens geven. Alleen zo zullen ze weten dat dit serieus is.
