Google теряет контроль над Android

Помните Stagefright, уязвимость Android, которая затронула практически миллиард Android-смартфонов, работающих на версиях от 2,2 до 5,1? Ну, вы, возможно, слышали, что проблема вернулась — и стала гаже, чем раньше.

Если первая версия этой уязвимости могла быть доступной через MMS сообщения, Stagefright 2.0 может путешествовать с помощью специально приспособленных и, видимо, безобидных файлов MP3 / MP4 — и эти файлы могут сохраняться внутри приложений, поэтому просто избегать «бесплатной» музыки или видео-файлов, может быть недостаточно, чтобы защитить себя.

Самое главное в Stagefright не то, что она делает или как путешествует, а то, что уязвимость показывает. А показывает она массивную проблему безопасности, которая затрагивает практически все Android-устройства, ну а Google необходимо решить проблему, потому что существуют все шансы, что следующая уязвимость будет носить гораздо более разрушительный характер.

Весь мир вокруг Stagefright

Вот как решаются уязвимости в системах безопасности:

1. Исследователь находит проблему.
2. Люди, которые занимаются разработкой программного обеспечения, находят решение.
3. Решение становится доступным, в идеале с помощью автоматического обновления.

Именно так поступает Windows, именно так решает проблемы Apple. Не всегда так быстро, как нужно, но, по крайней мере, исправление приходит и становится доступным практически мгновенно.

Вот как это происходит с Android:

1. Исследователь находит уязвимость.
2. Google говорит: «Ла-ла-ла, не слышу вас» на протяжении года или около того.
3. После большого освещения в СМИ, Google говорит, что информация получена.
4. Google создает исправление и обещает поставить его на диапазон продуктов Nexus в течение 2-3 месяцев.
5. Google выпускает исправление для производителей, которое обещает выкатить в какой-то момент времени.
6. Производители получают исправление и предоставляют уникальные версии обновления для своих смартфонов, но сети сотовой связи обещают адаптировать обновление и выкатить его для своих пользователей в какой-то момент времени, серьезно! (Проблема для США и Европы с их поставщиками связи, которые контролируют рынок смартфонов).
7. Уязвимость, на которую направлено исправление, в конечном итоге эволюционирует так, что исправление больше ничего не исправляет.
8. Google говорит: «Ла-ла-ла, не слышу вас».

Давайте поговорим о Стиве Джобсе, которого так любят поклонники Android

В 2005 году Стив Джобс заявил на конференции D3. что он думает о телефонных сетях, особенно в США. «Поставщики сотовой связи получили слишком много власти в отношениях с производителями мобильных телефонов», сказал он. «И они начинают диктовать, что производители мобильных телефонов должны строить».

И он был прав, поскольку именно в этом кроется причина последних комментариев HTC, объясняющих, что производитель не может выпускать ежемесячные обновления программного обеспечения, как того хочет Google. И дело не в том, что HTC не хочет обновлять свои устройства. Он просто не может гарантировать, что поставщики сотовой связи будут обновлять устройства HTC.

«Мы будем настаивать на этом», сказал президент HTC в Америке, Джейсон Маккензи в Twitter, добавив позже, что «Nexus’ы и независимые от поставщиков устройства (смартфоны в России), это совершенно другая история. Если продукт требует сертификации третьей стороной, о полном контроле не может быть и речи».

И это не просто проблема HTC. Это проблема Android. И это проблема, которой Apple просто не знает.

Если вам так нравится Apple, почему бы вам не выйти за него замуж?

В вопросах безопасности, Apple имеет огромное преимущество над Android: производителю просто не нужно убеждать кого-то, кроме своих пользователей, устанавливать заплатки безопасности. И большинство из них устанавливаются: прошло пять дней с момента запуска iOS 9, а 50% совместимых устройств уже получили обновление (и сразу же столкнулись с множеством раздражающих ошибок, но это уже другая история). Apple собирается выкатить обновление iOS 9.0.1 через пару дней, и мы можем быть уверены, что большинство пользователей iOS 9 установят обновление.

С Android подобного просто не бывает, потому что независимо от того, насколько быстро Google выкатывает заплатки на свою ОС, разработчик вынужден убеждать производителей, поставщиков связи, а то и обоих, выкатить эти патчи. Именно это вызывает фрагментацию обновлений, когда некоторые люди получают обновления, а другие нет.

В августе, аналитика операционных систем показала, что, когда 85% пользователей iOS использовали iOS 8, 13% пользователей использовали iOS 7 и всего 2% пользователей использовали ранние версии (iOS 9 ещё не было), только 12,4% пользователей использовали Android Lollipop. 39,2% пользователей оставались на KitKat, а 37,4% на Jelly Bean, 5,1 % использовали Ice Cream Sandwich и 5,6% пользователей оставались на Gingerbread.

Эта фрагментация также непропорционально влияет на бюджет покупателей: когда вы читаете список устройств, которые будут получать любое исправление Android, флагманы, как правило, стоят в первую очередь. Смартфоны среднего диапазона? Может быть, если вам повезет. Но производители и поставщики сотовой связи редко возятся с дешевыми смартфонами.

Главная особенность Android становится также и главной проблемой

Во многом, отсутствие подавляющего контроля со стороны Google над Android похвально. Это значит, что мы можем выбирать из огромного массива устройств на любой вкус, как правило, в широком диапазоне цен, и никто не говорит нам, какие функции мы можем или не можем иметь, какие приложения мы можем или не можем загружать.

И это здорово. Но отсутствие контроля Google над безопасностью Android является массовой слабостью.

Понятно, что некоторые поставщики сотовой связи и некоторые производители просто не делают достаточно, чтобы поддерживать актуальность Android. Команда Google Project Zero является большим указателем на проблемы безопасности в продуктах конкурентов, но она также бросает камни в собственный огород. Пользователи Android заслуживают лучшего.

Stagefright и HTC выделяют действительно большую проблему безопасности.