Google: „Ponad połowa urządzeń z Androidem nie otrzymała łatek bezpieczeństwa”. I jak tu ich traktować poważnie?

I znowu wracamy do tego tematu. W skrócie, dla porządku, dla tych, co z jakichś względów jeszcze nie wiedzą. Opracowywany przez Google system Android jest na tyle otwarty i elastyczny, że producenci urządzeń mogą go dowolnie przerabiać i modyfikować na swoje potrzeby. To wspaniała cecha Androida, ale to też oznacza, że za każdym razem jak Google go uaktualni, to potem producent musi przerabiać i testować na własną rękę również i te aktualizacje.

To długotrwały i kosztowny proces. Niektórzy producenci mimo tego bardzo się starają. Większość jednak odpuszcza sobie temat, uznając, że skoro sprzedali już sprzęt to mogą dalsze jego losy mieć w nosie. Jedyne urządzenia, na których możemy faktycznie polegać jeśli chodzi o opiekę nad oprogramowaniem, to te z linii Nexus i Pixel.

Google sprytnie marginalizuje ten problem poprzez stosowanie modułu usług Play, który jest aktualizowany za pośrednictwem Sklepu Play i który w zasadzie odpowiada za znaczną część funkcjonalności Androida. I w sumie nie byłoby tragedii. Może i byśmy nie mieli nowych funkcji z nowych wersji Androida, ale przecież nikt nam ich nie obiecywał. Problem w tym, że to nie takie proste.

Programy komputerowe, a tym bardziej platformy operacyjne, to niesamowicie złożone projekty informatyczne. W zasadzie nie jest możliwym stworzenie w pełni bezpiecznego oprogramowania komputerowego. Android, tak jak każdy jeden konsumencki system operacyjny na rynku, jest dziurawy jak ser szwajcarski. Po prostu ani cyberprzestępcy, ani Google, o tych dziurach jeszcze nie wiedzą.

I za każdym razem, jak usterka w zabezpieczeniach jest wykryta, Google reaguje. Sprawdza gdzie jest problem, usuwa go i publikuje nową wersję swojego oprogramowania. W wielu przypadkach wystarczy uaktualnienie wspomnianych usług Play poprzez Sklep Play. Czasem jednak potrzebna jest aktualizacja samego systemu. Jak już ustaliliśmy, partnerzy sprzętowi Google’a, w myśl wolności i otwartości, mogą ale nie muszą jej stosować. Na pewno już wiecie do czego zmierzam.

Z raportu Google’a wynika, że nawet najlepsi partnerzy publikują aktualizacje z dużym, wielotygodniowym opóźnieniem. Cytując fragment raportu „ponad połowa z 50 najpopularniejszych urządzeń na świecie otrzymała aktualizacje bezpieczeństwa”. To oznacza, że niecała połowa z 50 najpopularniejszych urządzeń z Androidem na świecie tych aktualizacji nie dostała. Że nie wspomnę, że tych urządzeń jest znacznie więcej niż 50.

Najgorsze jednak jest to cytowane z raportu zdanie: „prawie połowa urządzeń z Androidem nie otrzymała w mijającym roku ani jednej aktualizacji bezpieczeństwa”. Firma zapewnia też w raporcie, że pracuje nad tym by partnerzy mogli łatwo i tanio te łatki bezpieczeństwa stosować. Te same zapewnienia słyszę od Google’a od lat.

Jeśli chodzi o popularność, Android jest nowym Windowsem. Raport opisuje analizowaną pulę w formie 735 mln urządzeń od ponad 200 producentów. Znaczna część populacji na naszej planecie polega na Androidzie w swojej codzienności. Wykorzystuje go do flirtów, randek, pracy, mobilnej bankowości, komunikacji, rozrywki, zdobywania informacji, płatności zbliżeniowych…

To bomba z opóźnionym zapłonem. Luka Stagefright była pierwszym poważnym ostrzeżeniem i właściwie cudem nie doszło do globalnej katastrofy. Następnym razem możemy mieć dużo mniej szczęścia.

Model partnerski Androida musi być niezwłocznie zmieniony. Bezpieczeństwo nie jest już rozumiane jako liczba luk bezpieczeństwa w oprogramowaniu, a raczej jako liczba odkrytych luk i czas reakcji na ich załatanie. Google zazwyczaj reaguje szybko. Tyle że na chwilę obecną, nie licząc Pixeli i Nexusów, nic w zasadzie z tego nie wynika.