Pokud jste si telefon nebo tablet nekoupili nedávno, je pravděpodobné, že vaše zařízení Android používá zastaralou verzi operačního systému, což vás vystavuje vážným bezpečnostním rizikům.
Nejnovější data od společnosti Google ukazují, že 44 procent uživatelů systému Android je stále na „perníku“ nebo ve verzích 2.3.3 až 2.3.7, která byla vydána před dvěma lety. Perník má řadu bezpečnostních chyb, které byly opraveny v novějších verzích. Údaje o rozdělení operačního systému jsou založeny na statistikách shromážděných ze zařízení Android připojujících se k Google Play od 22. února do 4. března.
Podle společnosti Google používá pouze 16 procent zařízení Android verzi 4.1 nebo 4.2 mobilního operačního systému. Poslední verze Androidu, známá také jako „Jelly Bean“, byla vydána před šesti měsíci, ale většina uživatelů systému Android nebyla schopna upgradovat na nový operační systém, protože proces je přísně řízen dopravci.
„Problém s Androidem je, že většina lidí má ve svém telefonu staré verze, “ řekl Collin Mulliner, postdoktorandský výzkumník se SECLAB na Northeastern University v Bostonu, během diskuse na mobilním bezpečnostním panelu na konferenci RSA minulý měsíc.
Na našem SecurityWatch Summitu loni na podzim poznamenal Dan Guido, generální ředitel a spoluzakladatel Trail of Bits, že většina zařízení iOS je aktualizována během několika týdnů, ne dní, po uvolnění nového operačního systému společností Apple.
Mobilní operátoři zaostávají při aktualizaci
"Jednou z nejdůležitějších věcí v oblasti softwarového zabezpečení dnes je schopnost vzdáleně aktualizovat, " řekl Mulliner na panelu. I když uživatelé mohou zahájit aktualizaci operačního systému samostatně pro telefony iPhone a iPad, Android, mobilní proces ovládají celý proces zařízení Android. V současné době je jejich kolektivní záznam pro šíření aktualizací pro uživatele naprosto skličující.
Problém je v tom, že otevřená platforma Android umožňuje výrobcům zařízení a operátorům vyladit operační systém tak, aby sdružoval další software a nastavoval určitá nastavení konfigurace. Kdykoli společnost Google vydá aktualizaci operačního systému, musí prodejce i operátoři před uvedením nejnovější verze otestovat změny na svých homebrew systémech. Dopravci tvrdí, že se jedná o pomalý proces, ale mnoho odborníků v oblasti bezpečnosti se domnívá, že dopravci upřednostňují zisk před zabezpečením.
Některé telefony prostě nedostanou nejnovější aktualizaci pro Android, protože jsou postupně vyřazovány nebo jsou starší modely, řekl Chris Soghoian, výzkumník a aktivista v oblasti ochrany osobních údajů, na jiné události na začátku tohoto roku. Výrobci zaměřují své úsilí na zařízení, která jsou v současné době na prodej a přicházejí na trh, a bezdrátové operátory „se o vás starají pouze jednou za dva roky“, když je smlouva s uživatelem obnovena, řekl Soghoian. Například chytrý telefon LG Android nedostal svou první aktualizaci operačního systému po dobu 16 měsíců a mnoho telefonů tuto první aktualizaci ani nedostalo, natož druhou.
Vzhledem k tomu, že společnost Google přibližně každých šest měsíců vytlačila novou verzi, je snadné zjistit, jak rychle se mohou uživatelé stát zastaralými.
Útok typu drive-by, kde je uživatel ohrožen pouze návštěvou škodlivého webu, není největší hrozbou pro uživatele Android, Charlie Miller, výzkumník dobře známý pro svou práci na zabezpečení systémů iOS a Android, uvedl během stejného panelu na konference RSA.
"Lidé si myslí, že projížďka je velká hrozba, ale ve skutečném životě se to prostě nestane, " řekl Miller. Pokud jde o Android, největším rizikem, kterému uživatelé čelí, je skutečnost, že jejich zařízení používají zastaralé a neopravené verze operačního systému. Nejnovější verze systému Android mají bezpečnostní záplaty a vylepšené možnosti zneužití.
Počítačoví zločinci vědí, že uživatelé používají zranitelné operační systémy. Všichni zločinci musí vydat škodlivou aplikaci využívající zranitelnost ve staré verzi systému Android a zasáhnout podstatnou část uživatelské základny.
Jak Soghoian zdůraznil dříve, „k útokům na většinu zařízení Android nepotřebujete nulový den, pokud spotřebitelé používají 13měsíční software.“
Bohužel se tato situace pravděpodobně nezmění, pokud operátoři nezačnou brát zabezpečení vážně nebo pokud společnost Google nezpochybní kontrolu nad procesem aktualizace od dopravců. Nejbezpečnější zařízení Android v okolí je smartphone Nexus 4 od společnosti Google, protože společnost má plnou kontrolu nad aktualizacemi.
