Det är dags för Google att fixa sitt Android-säkerhetsuppdateringsproblem

click fraud protection

Android-användare förtjänar snabba, säkra telefoner, men inte ens Samsung kan fortfarande ta sig samman när det gäller Android-säkerhetsuppdateringar som belyser ett branschomfattande problem och det är dags för Google att äntligen gå in på situation.

Om den största, rikaste OEM gör ett fruktansvärt jobb och kommer undan med det, hur kan vi förvänta oss bättre av resten av dem?

Samsung gör ganska bra telefoner - bra sådana, till och med. De är också en av få OEM-tillverkare som faktiskt tjänar på sin enhetsförsäljning, och en av endast två som gör en betydande vinst. Människor gillar sina telefoner, delvis för att de är pålitliga, har funktioner som användarna tycker om, och på sistone har de förbättrat sin programvara avsevärt. Till vår förvåning har de till och med dödat några av deras irriterande dubbletttjänster och bloatware... någon mer som kommer ihåg Milk Music? I mina ögon har de kommit långt, vilket ska vara spännande för Allt Android-användare också eftersom de är en av plattformens fanbärare. Men trots allt detta kan Samsung fortfarande inte ta sig samman när det kommer till säkerhetsuppdateringar i synnerhet, vilket belyser ett branschomfattande problem. Om Samsung inte kan göra det, trots deras enorma satsning på företags- och mjukvarusäkerhet, är det inte oväntat att se andra kommer att få det ännu tuffare. Det är därför det är dags för Google att äntligen gå in på situationen.


Android Security, en aldrig sinande kontrovers

När jag köpte min Galaxy S9+ var jag upphetsad av många anledningar. Efter att ha testat Note8 Oreo-uppdateringen i månader kunde jag utan tvekan säga att Samsung hade förbättrat sitt mjukvaruutbud en hel del. Det kändes snabbare, smidigare, mer presterande under veckorna (och inte bara direkt efter att ha blinkat) än tidigare Nougat-baserade konstruktioner, vilket var ganska uppfriskande. De var också väldigt snabba med sina säkerhetsuppdateringar. Samsung skulle regelbundet ha sina Oreo-betabyggen som kör de senaste säkerhetsuppdateringarna, vanligtvis inom en vecka efter att Google tillkännagav bulletinen. OEM-tillverkare är ofta underrättade och redo att agera en månad framåt av tillkännagivandet, för att ge dem tid att ha dag ett-uppdateringar redo något de flesta inte uppnår. Samsung hade också precis ändrat sina flaggskepp till en mer enhetlig modell och SKU-schema. Istället för G965T, G965A, G965V och så vidare för varje enskild operatör, producerar Samsung en singulär basmodell G965U för Snapdragon-varianten och G965F för Exynos. Det finns fortfarande andra modeller som N- och FD-varianterna och varje operatör får sin egen specifika programvaruversion, men det viktiga är att jag generellt sett kan installera mjukvaran för upplåsningsoperatörsvarianten på min T-Mobile-telefon utan problem (Knox misslyckas, eller annat). Tillbaka i gamla dagar var dina alternativ mer begränsade (T-mobile Note 4-användare kanske minns att de måste flasha de kanadensiska variantbilderna för att få tillgång till snabbare uppdateringar). Att effektivisera modeller är faktiskt något som många OEM-tillverkare har gjort under de senaste åren, eftersom det är mindre vanligt att se enheter med specifik hårdvara för en enskild operatör eller marknad.

Detta borde ha varit ett gediget steg i rätt riktning när det gäller mjukvaruuppdateringar att se att de inte längre skulle behöva stödja enskilda SKU: er utan istället differentiera telefonerna i programvara för varje operatör, och denna programvara kan faktiskt hållas åtskild från det uppdaterade systemet filer. Solid system på papper, men det har fallit platt på ansiktet i verkliga tillämpningar. Även om det är bra att ha den senaste och bästa Android-versionen, är det inte vad jag anser vara riktigt viktigt. Det jag känner är verkligen viktigt hålla sig uppdaterad när det gäller säkerhetsuppdateringar--många IT-avdelningar som behöver dessa uppdateringar för BOYD känner på samma sätt, och Samsung har helt enkelt inte levererat. Det har inte LG heller, inte Motorola heller, inte HTC heller, och inte de flesta andra heller. Jag fokuserar främst på Samsung eftersom de är den största aktören, med mest resurser för att vara ett solidt exempel för resten av marknaden, men nästan alla OEM-partner har misslyckats med att underhålla kontinuerliga säkerhetsuppdateringar för deras enheters liv. Vidare, från lat mjukvarustöd till rent bedrägeri, för bara några veckor sedan visade en stor utredning att även när Android OEM uppdaterade sina enheter, de skulle ibland inte innehålla de uppdateringar de påstod sig leverera. Tyvärr inträffar Android-säkerhetsintrång nästan varje vecka, vilket resulterar i en enorm lista med enheter som går opatchad även om Google redan hade blivit meddelad, skickat uppdateringar till partners, uppdaterat sina Pixel-enheter och meddelat offentlig. Det är också viktigt att komma ihåg varför vi ens har säkerhetskorrigeringar i första hand: Scenskräck.

Stagefright-sårbarheten var en av de största som någonsin upptäckts och spänner över nästan alla Android-enheter vid den tiden. Detta blev offentligt i slutet av juli 2015 och inom en månad tillkännagav Google sitt Program för Android Security Bulletin och har gjort det varje månad sedan dess. Under nästan tre år av bulletiner har säkerhetssårbarheter hanterats i förväg, och innan de blev massiva pinsamma nyheter som lyfter fram de miljontals exponerade Android-enheterna, så Google med deras partner förtjänar lite beröm för att de underhåller detta system. Men att bara ha systemet på plats räcker inte när partner tar flera månader på sig att trycka ut patchar, vilket ger illvilliga individer tid att utveckla, implementera och attackera även helt nya enheter genom dessa säkerhetsbrister. Min Galaxy S9+ saknar dussintals säkerhetskorrigeringar och medan de flesta av dem kanske inte gäller för min enhet, och kan vara för äldre SOC: er eller hårdvara, det går inte en enda månad som inte har en patch som min telefon kan ha nytta av från. Många gånger gillar vi att skylla på operatörer, särskilt i USA, för långsamma eller frånvarande uppdateringar, men Samsung håller inte heller operatörsupplåsta versioner av sina telefoner uppdaterade. Det här är en större problem Samsung... Detta är en lösbar problem, Google.

Det här är den del av historien där vi lägger skulden där den hör hemma, och hur illa som Samsung är, Google har det yttersta ansvaret här, för ärligt talat, de är inte ansvariga för hur de låter andra företag hantera sitt varumärke. Det finns bra partners där ute som Essential, och till och med Razer som har gjort ett gediget jobb med att stödja sina några tusen användare och sin enstaka modellstruktur... Nu innan du kastar Pixel Pixel Pixel i mitt ansikte, hör detta: Google har en skyldighet att se till att deras Android-varumärke är väl representerat, och helt nya flaggskeppsenheter som kör nästan tre månaders uppdateringar bakom gör det inte ordentligt. Varför har inte Google tagit steget och tvingat partners händer är någons gissning, särskilt med tanke på att Android har drabbades av ett katastrofalt säkerhetsproblem efter en annan. Det kan vara så att de är rädda för att Samsung och Huawei ska flytta till sina egna gafflar, med sina egna App Stores, men jag tror inte att det är en giltig oro. Även om dessa partner kan göra sin egen affär, har Google Play Butik mer erkännande, applikationer, och att den slutliga användarbasen delas upp skulle vara skadligt för slutanvändaren och då dessa partners. Det finns dock ett mer olyckligt motiv som kan spela in, ett där Google helt enkelt inte bryr sig, och deras beteendet att låta Android OEMs göra sin egen grej med svaga eller otillämpade standarder lämpar sig för detta argument. Deras slutmål skulle kunna vara att helt enkelt ha fler användare, fälta in och utnyttja mer data, och göra gränsen för inträde nästan obefintlig får partners ombord, särskilt de som inte har några planer på att stödja skräpet de sälja. I slutändan får Google den data de önskar. Oavsett orsakerna måste Google hålla sina partners till acceptabla nivåer av standarder och en av dem bör vara säkerhetsuppdateringar som går ut i tid, varje månad för alla som för närvarande underhålls enheter. Det bör finnas en standard för alla OEM-partners för att behålla nuvarande säkerhetskorrigeringar eller riskera att förlora sin CTS-validering för framtida enheter.

Pixel 2 XL är en solid enhet, men dess hårdvara är underlevererad jämfört med andra flaggskepp

Varumärket Pixel är bra och är Googles sätt att etablera ett riktmärke för partners när det gäller aktuella uppdateringar, men Pixel-varumärket är fortfarande ganska nisch, och Samsung kommer sannolikt inte att ge upp sin kontroll över Androids marknadsandel när som helst snart. Men om man lägger mjukvaran åt sidan för ett ögonblick har Pixel-telefonerna varit relativt underlägsna enheter med liknande priser på marknaden. Oavsett om det är en sen användning av 18:9 eller vattentäthet förra året, eller att LG är en fruktansvärd hårdvarupartner i år, är Pixel-telefonerna, på åtminstone vissa sätt, ett steg nedåt när det gäller hårdvaran erbjuds för priset jämfört med andra flaggskepp som kan köpas. Samsung säljer fler flaggskeppstelefoner under den första månaden än vad Google hoppas kunna sälja totalt – varumärke igenkänning, marknadsföring och hårdvaru- eller mjukvarufunktioner spelar alla en roll, men resultatet är vad slutligen räknas. Pixel-varumärkets inverkan på marknaden och sinnesandel är liten och i slutändan, när folk tänker på Android tänker de på världens Samsung-, LG- och Huawei-enheter: som alla misslyckas med att underhålla ens deras flaggskeppsenheter.


Android-varumärket har blivit utskällt gång på gång för sina säkerhetsbrister och långsamma uppdateringar, till stor del tack vare dessa OEM-partners. Det är äntligen dags för Google att ta kontroll och hålla dessa partner ansvariga för sina beteende och upprätta krav och regler för att säkerställa att alla Android-enheter är lika säkra som de borde vara. Google har överlåtit till tillverkarna att hantera nivån på programvarustödet själva i flera år, nej, w och allt Google har lämnats med är en hård nedsmutsning av deras varumärke och image, vilket resulterar i skada som kanske aldrig blir det uppknäppt.