וִידֵאוֹ: ª (אוֹקְטוֹבֶּר 2024)
אלא אם כן קנית את הטלפון או הטאבלט לאחרונה, הסיכויים הם גדולים כי מכשיר ה- Android שלך מריץ גרסה מיושנת של מערכת ההפעלה, וחושף אותך לסיכוני אבטחה חמורים.
הנתונים האחרונים מגוגל מראים כי 44 אחוז ממשתמשי אנדרואיד עדיין נמצאים ב- "זנגביל", או בגרסאות 2.3.3 עד 2.3.7, שיצא לפני כשנתיים. לג'ינג'ר מספר פגיעויות אבטחה שתוקנו בגירסאות מאוחרות יותר. נתוני פירוט מערכת ההפעלה מבוססים על נתונים סטטיסטיים שנאספו ממכשירי אנדרואיד המתחברים ל- Google Play מה- 22 בפברואר עד ה- 4 במרץ.
רק 16 אחוזים ממכשירי אנדרואיד מריצים את גרסאות 4.1 או 4.2 של מערכת ההפעלה הסלולרית, לפי גוגל. המכונה גם "ג'לי שעועית", גרסת האנדרואיד האחרונה יצאה לפני כחצי שנה, אך רוב משתמשי אנדרואיד לא הצליחו לשדרג למערכת ההפעלה החדשה מכיוון שהתהליך נשלט היטב על ידי הספקים.
"הבעיה עם אנדרואיד היא שלרוב האנשים יש גרסאות ישנות בטלפון שלהם, " אמר קולין מולינר, חוקר פוסט-דוקטורט אצל ה- SECLAB באוניברסיטת נורת'אסטרן בבוסטון, במהלך דיון פאנל האבטחה הנייד בכנס RSA בחודש שעבר.
בפסגת SecurityWatch שלנו בסתיו שעבר, ציין דן גוידו, מנכ"ל ומייסד משותף של Trail of Bits, שרוב מכשירי ה- iOS מתעדכנים תוך שבועות, לא ימים, של אפל לשחרר את מערכת ההפעלה החדשה.
מפעילי הספקים הניידים עדכונים
"אחד הדברים החשובים ביותר בתחום אבטחת התוכנה הוא היכולת לעדכן מרחוק", אמר מולנר בפאנל. בעוד שמשתמשים יכולים ליזום בעצמם את עדכון מערכת ההפעלה עבור מכשירי אייפון ואייפד, אנדרואיד, ספקי הטלפון הניידים שולטים בכל התהליך עבור מכשירי אנדרואיד. כרגע השיא הקולקטיבי שלהם לדחיית עדכונים למשתמשים הוא עגום לחלוטין.
הבעיה היא שהפלטפורמה הפתוחה של אנדרואיד מאפשרת ליצרני המכשירים ולספקים לצבוט את מערכת ההפעלה לקבץ תוכנות נוספות ולקבוע הגדרות תצורה מסוימות. בכל פעם שגוגל מפרסמת עדכון של מערכת הפעלה, גם הספק וגם הספקים צריכים לבחון את השינויים מול מערכות הברגה הביתית שלהם לפני הפעלת הגרסה האחרונה. הספקים טוענים שמדובר בתהליך איטי, אך מומחי אבטחה רבים סבורים כי ספקים מעדיפים עדיפות לרווח על פני אבטחה.
חלק מהטלפונים פשוט לא מקבלים את העדכון האחרון באנדרואיד מכיוון שהם נשלחים או שהם דגמים ישנים יותר, אמר כריס סוחויאן, חוקר ופעילויות בנושא פרטיות, באירוע אחר מוקדם יותר השנה. יצרנים מתמקדים במאמציהם במכשירים הנמצאים כעת למכירה ומגיעים לשוק, וספקים אלחוטיים "דואגים לך רק אחת לשנתיים" כאשר חוזה המשתמש אמור להתחדש, אמר Soghoian. לדוגמה, סמארטפון אנדרואיד של LG לא קיבל את עדכון ההפעלה הראשון שלו במשך 16 חודשים, וטלפונים רבים אף לא מקבלים את העדכון הראשון ההוא, שלא לדבר על עדכון שני.
בהתחשב בכך שגוגל דחפה גרסה חדשה בערך כל חצי שנה, קל לראות באיזו מהירות המשתמשים יכולים להיות מיושנים.
התקפת הכונן, שם המשתמש נפגע רק על ידי ביקור באתר זדוני, אינה האיום הגדול ביותר שעומד בפני משתמשי אנדרואיד, אמר צ'ארלי מילר, חוקר ידוע בעבודתו בתחום אבטחת iOS ואנדרואיד, במהלך אותו פאנל ב- ועידת RSA.
"אנשים חושבים שהדחף הוא איום גדול, אבל בחיים האמיתיים הם פשוט לא קורים, " אמר מילר. כשמדובר באנדרואיד, הסיכון הגדול ביותר שעומד בפני המשתמשים הוא העובדה שהמכשירים שלהם מריצים גרסאות מיושנות ולא מתוקנות של מערכת ההפעלה, הוא אמר. הגרסאות האחרונות של אנדרואיד כוללות תיקוני אבטחה והפחתות ניצול משופרות.
עברייני סייבר יודעים שמשתמשים מנהלים מערכות הפעלה פגיעות. כל שעבריינים צריכים לעשות זה לשחרר אפליקציה זדונית המנצלת פגיעות בגירסה ישנה של אנדרואיד, ולפגוע בגוש משמעותי של בסיס המשתמשים.
כפי שסוגויאן ציין קודם, "אינך צריך יום אפס כדי לתקוף את רוב מכשירי האנדרואיד אם הצרכנים מפעילים תוכנה בת 13 חודשים."
לרוע המזל, מצב זה לא צפוי להשתנות אלא אם ספקי השירות יתחילו להתייחס לאבטחה ברצינות, או שגוגל תאבק בשליטה על תהליך העדכון הרחק מהספקים. מכשיר האנדרואיד המאובטח ביותר בסביבה הוא הטלפון החכם Nexus 4 מגוגל, שכן לחברה יש שליטה מלאה על העדכונים.
