Na de ontdekking van verschillende gevaarlijke fouten in een paar weken tijd, is de beveiliging van Android - of het ontbreken daarvan - groot nieuws geweest. Google heeft snel gehandeld om de Stagefright-fout te elimineren die 95% van de Android-apparaten kwetsbaar maakte voor aanvallen, maar anderen hebben zich sindsdien uit het houtwerk ontwormd.
Nu vragen fans zich af hoe deze fouten hun weg vonden naar openbare Android-releases, waardoor de veiligheid van meer dan 1 miljard gebruikers wereldwijd in gevaar kwam. Zou Google meer kunnen doen om dit te voorkomen? En doen de hardwarepartners er alles aan om gaten in hun eigen software te dichten?
Doe mee met de Friday Night Fight tussen deze week Cultus van Android en Cult of Mac terwijl we het uitvechten over deze vragen en meer!
Luke Dormehl (schrijver, Cult of Mac): Sorry dat ik de stemming naar beneden haal door je Android te laten verdedigen, maar er is een onderwerp dat ik al eeuwenlang wil bespreken - en dat is beveiliging.
Er is de laatste tijd veel in het nieuws geweest over malware en beveiligingsproblemen. De grote, zoals je vast wel weet, is:
de Stagefright-fout - waardoor aanvallers toegang kregen tot Android-apparaten met een enkele kwaadaardige MMS. Het was een afschuwelijke beveiligingsfout, die 95 procent van de apparaten met Android 2.2 tot en met 51 trof.Begrijp me nu niet verkeerd: er zijn in de loop der jaren een paar beveiligingsfouten geweest in iOS en Mac, maar de situatie met Android is aanzienlijk slechter. En het wordt nog serieuzer gemaakt door het feit dat, zelfs als Google geïnteresseerd lijkt in het verhelpen van een fout, Het nachtmerrieachtige fragmentatieprobleem van Android betekent dat OEM's ze niet noodzakelijk de moeite waard vinden om door te geven gebruikers.
Wat zegt u over de aanklacht?
Killian Bell (schrijver, Cultus van Android): Het valt niet te ontkennen dat er iets moet worden gedaan aan het malwareprobleem van Android. Google moet meer doen om de gaten te dichten waardoor fouten zoals Stagefight gevaarlijke dingen kunnen doen, en het is hardwarepartners moeten ook harder werken om alle gebruikers oplossingen te bieden — niet alleen degenen met een recente handset.
Maar het probleem wordt niet genegeerd. Dat hebben Google, LG en Samsung al aangekondigd ze zullen binnenkort maandelijkse beveiligingspatches leveren in een poging om Android zo veilig mogelijk te maken en problemen op te lossen zodra ze zich voordoen - en als andere fabrikanten enig idee hebben, zullen ze hetzelfde doen.
Android zal altijd een doelwit zijn omdat het zo'n groot platform is en het is ontworpen om gebruikers vrijheid te geven. Het is dezelfde reden waarom Windows altijd een groter doelwit is geweest dan OS X. Maar aanvallers kunnen worden ontmoedigd door een sterkere beveiliging, dat is zeker.
Foto: Killian Bell/Cult of Mac
LD: Nou, ik ben blij dat we het erover eens zijn dat Android slecht is. Wil je de dag afsluiten en een kopje koffie gaan drinken?
KB: Laten we ons hier niet laten meeslepen. Hoewel dit een serieus probleem is, zullen de rapporten die u leest u doen geloven dat de situatie in werkelijkheid veel erger is dan het is.
Stagefright had het potentieel om ongeveer 95% van de Android-apparaten te treffen, maar de fout werd ontdekt door beveiligingsexperts - niet een tienerhacker die ieders naaktfoto's wil stelen - dus het is niet alsof aanvallers het hebben gebruikt om toegang te krijgen tot onze telefoons. Bovendien erkende Google het probleem en begon het op te lossen voordat Stagefright openbaar werd gemaakt.
Dit soort dingen maken Android veiliger. Elk platform wordt geleverd met gebreken - het is onmogelijk om ze allemaal te elimineren voordat ze in het wild zijn - en naarmate er meer worden gedetecteerd en geëlimineerd, wordt het platform veiliger.
Laten we niet vergeten dat elke versie van iOS ook een groot aantal gebreken bevat. Het komt niet vaak voor dat ze leiden tot malware en kwaadaardige apps – gelukkig voor de gebruikers van Apple – maar elke… jailbreak maakt gebruik van een fout in iOS om toegang te krijgen tot delen van het systeem die moeten worden verzegeld uit.
LD: Dat is een terecht punt, maar is het echt een verdediging om te zeggen dat het goed is omdat het door de juiste mensen is ontdekt? Ik kwam er een paar weken geleden achter dat ik de deur aan de achterkant van mijn huis kon openen door er hard op te drukken - zelfs als hij op slot zou moeten zijn. Ben ik blij dat ik het heb ontdekt in plaats van een dief? Natuurlijk. Als het een nieuw geïnstalleerde deur was die dat deed, zou ik dan de volgende keer nog steeds een nieuwe bouwer willen hebben? Absoluut.
Je hebt gelijk dat niets volledig probleemloos wordt verzonden. Het is een reden waarom updates via de ether zo goed zijn - wanneer bedrijven ervoor kiezen om ze te gebruiken. Maar het idee dat beveiliging door iOS-gebruikers buiten proportie is opgeblazen, is belachelijk. Het is een enorm, gapend gat in Android en een reden waarom veel mensen er vanaf blijven als ze de optie hebben. Ja, een redelijk slimme gebruiker kan deze problemen vaak omzeilen door voorzichtig te zijn bij het installeren van apps of door goed te controleren of een sms een phishingbericht is. Maar dat zou niet moeten.
Het is een fundamenteel probleem met Android's benadering van openheid. Net als een deur die iedereen kan openen, is het van nature niet veilig.
Foto: Killian Bell/Cult of Mac
KB: Wat was je adres ook al weer?
Het punt is dat je je achterdeur kunt repareren voordat anderen erachter komen en het een echt probleem wordt - net zoals Google Stagefright kan repareren voordat aanvallers er misbruik van maken. Maar als het je zo lang heeft gekost om achter je onbetrouwbare deur te komen, hoe verwacht je dan dat de ontwikkelaars van Google op de hoogte zijn van elke fout in miljoenen regels code voordat deze naar gebruikers wordt verzonden? Het is onmogelijk.
Ik heb niet gezegd dat het probleem door iOS-gebruikers buiten proportie werd opgeblazen; Ik zeg dat het probleem door de meeste mensen buiten proportie wordt opgeblazen. Zelfs Android-fanboys keren het platform hierdoor de rug toe. En ik verwerp het niet - ik accepteer dat het een probleem is dat moet worden opgelost - ik wijs er alleen op dat Google eraan werkt en dat zal blijven doen om Android zo veilig mogelijk te maken.
Nogmaals, iOS heeft ook een groot aantal "gapende gaten", ze worden gewoon niet op dezelfde manier uitgebuit. Tal van kwaadaardige apps hebben hun weg gevonden naar Cydia en hebben problemen veroorzaakt op gejailbreakte apparaten, maar we horen er niet veel over omdat ze slechts een klein aantal mensen treffen.
Als Google dit probleem negeerde, zou ik kunnen begrijpen waarom mensen zo overstuur zijn, maar dat is het niet.
Het andere waar ik op wil wijzen, is dat het zelfs voor beginnende Android-gebruikers ongelooflijk eenvoudig is om zichzelf te beschermen. Download geen onbetrouwbare apps van niet-vertrouwde bronnen en maak geen verbinding met onveilige wifi-netwerken, dan komt het wel goed.
LD: Klinkt mij als victimblaming in de oren. Uiteindelijk is het een probleem dat moet worden opgelost - en ondanks de beloften die we horen, moet het nog worden opgelost. Google is goed voor 99 procent van de mobiele malware, wat slechts een gruwelijke statistiek is. Sommige mensen zullen het verdragen omdat, om terug te gaan naar mijn huisanalogie, het goedkoper is om een huis te hebben zonder slot op je deur dan om er een te kopen. Maar dat maakt het niet goed.
Maar laten we de lezers deze laten beslissen, zullen we? Laat hieronder uw opmerkingen achter en vertel wie u denkt dat dit specifieke debat heeft gewonnen - en waarom ik dat deed.
Vrijdagavond gevechten is een reeks wekelijkse death-matches tussen twee no-mercy brawlers die tot de dood zullen vechten - of op zijn minst het erover eens zijn om het oneens te zijn - over wat beter is: Apple of Google, iOS of Android?
