Android var en som beskrevs som en "giftig helvetesgryta" av sårbarheter, men det är inte längre fallet.
iPhone 14 Pro Max, Google Pixel 7 Pro, Xiaomi 13 Ultra och Galaxy S23 Ultra
Nuförtiden är Android ett av de mest använda och säkra operativsystemen på planeten, men det var inte alltid så. Faktum är att redan 2014, ZDNet kallade Android en "giftig helvete" av sårbarheter, som sedan citerades av Tim Cook vid årets iPhone-lansering. Cook gjorde en poäng att säga att Android var så fragmenterat och uppdateringar var så långsamma att komma att det inte fanns något sätt att göra dem stackars människor som "köpte en Android-telefon av misstag" kunde njuta var som helst nära säkerheten för sin iPhone-ägande bättre.
Det är dock inte hela historien, och det är verkligen inte korrekt nuförtiden.
Ödmjuka begynnelser
När jag tänker tillbaka på den allra första iPhone, kopplade den upp över 2G, hade någonstans i parken med 14 appar och tog bilder med en enorm mängd brus och korn. Fördelen för Apple var dock att företaget tillverkade hårdvaran och mjukvaran, inklusive alla 14 dessa appar, vilket, innan App Store, var allt du kunde använda. Apple styrde hela upplevelsen, vilket också innebar att de kunde pusha ut uppdateringar när de ville.
Däremot var Androids tidigaste dagar lite annorlunda, med mycket fler kockar i det ökända köket. Först skulle Google släppa en ny version av Android, som sedan anpassades av chiptillverkare för att fungera på vilken processor din telefon än använde. Sedan fick tillverkaren ha sin vilja igenom med Android, lägga till nya funktioner eller appar och vanligtvis ändra en massa saker om hur det såg ut - ofta till det sämre. Sedan behövde den gå till din operatör om det var en nätverksmärkt telefon, och de skulle se till att den fungerade på deras nätverk samtidigt som de skottade in Mer bloatware bara för fan.
Sedan, om du hade tur, kanske sex månader efter att en ny Android-version lanserades, du, som en vanlig person, skulle faktiskt få det på din telefon - tillsammans med några extrafunktioner som du kanske har eller inte har efterlyst. För 99 % av Androids ekosystem var det så här uppdateringar fungerade, och det var en stor smärtpunkt. Ungefär som att beställa en tjusig hamburgare på en restaurang och sedan behöva vänta medan franchiseägaren och servern lade till en massa konstiga, grova pålägg som du inte bett om.
De enda personer som inte hade sina Android-smarttelefoner som tog en evighet att få uppdateringar som ofta packade ytterligare programvara också var Google Nexus-ägare. Dessa telefoner körde vanilla Android och fick uppdateringar direkt från Google utan att något lagts till ovanpå. Problemet var att de representerade bara en liten bit av en bit av den ständigt växande Android-pajen.
Fragmentering skapar säkerhetsproblem
Hela den här situationen var ganska dålig av en massa anledningar, och en stor var säkerheten. Uppenbarligen är det inte bra om Google eller Qualcomm behöver fixa en säkerhetsbugg längre upp i näringskedjan, och sedan måste du vänta ytterligare månader för att den faktiskt ska komma ut till de flesta enheter.
Det förvärrades av Androids natur vid den tiden och telefontillverkarnas attityd mot uppdateringar. Mjukvaruuppdateringar för befintliga telefoner sågs ofta som en syssla - nästan som om du skulle ha gjort det var tvungen att göra en eftersom, ja, vad du än fixar eller lägger till borde bara ha funnits i original-ROM. Som ett resultat var uppdateringsrekordet för i stort sett alla i Android-världen då i grunden dumpster-tier enligt dagens standarder. Flaggskepp skulle få en stor OS-uppdatering månader senare om de hade tur. Ännu värre är att säkerhetskorrigeringar inte var något ännu.
Som om det inte kunde bli värre var i stort sett alla viktiga Android-appar fortfarande inbakade i den fasta programvaran vid det här laget. Webbläsaruppdateringar, till exempel, skulle behöva paketeras i en OTA och vänta på att bli certifierade av tillverkaren och operatören. Så om en sårbarhet dök upp i webbläsarens motorkod från t.ex. Google, fanns det inget sätt att få korrigeringar utskjutna brett eller snabbt. Det innebar att olika människor skulle ha fastnat på olika versioner med olika anpassningar och olika nivåer av sårbarhet för skadlig programvara och andra elaka. Därav: Android-fragmentering.
Det är värt att säga att iOS var *på intet sätt* fri från säkerhetsproblem, särskilt under de första generationerna av iPhone. Avsaknaden av en officiell appbutik var ett stort incitament för manusbarn och hackare med vita hattar att öppna iPhone och få den att göra nya och spännande saker. Åtminstone ett viktigt sätt att jailbreaka iPhones då involverade att utnyttja en bugg i webbläsaren. I grund och botten kan en webbsida bryta den ursprungliga iPhones säkerhet.
Skillnaden var att Apple kunde täppa till dessa säkerhetshål mycket snabbare när de dök upp och göra det över en mycket större del av användarbasen. Inte så på Android-sidan.
Google var dåligt, men Android är mycket bättre nu
Allt detta var den "giftiga helvetesgrytan" som Google påstås ha serverat under Android-versionerna 4 och 5. När man ser tillbaka med fördelen av facit i hand är det lätt att säga att Google borde ha gjort mer för att behålla kontrollen över Android... eller sätt system på plats från början för att hjälpa uppdateringarna att flöda mer fritt och oftare.
Det är dock värt att komma ihåg att redan när Android utvecklades för första gången 2007 var världen en annan plats. De smartphones som fanns var huvudsakligen primitiva e-postmöskningsredskap för affärsmän. Mobilbetalningar var inte i närheten av verkligheten. Uber skulle inte grundas förrän om två år. Den ödmjuka retweeten fanns inte ens.
Poängen är att då, det var inte klart hur, under det följande decenniet, så många viktiga vardagliga uppgifter skulle vara knuten till din telefon, inte heller hur den skulle bli en sådan skattkammare av värdefulla, hackbara personliga data. Till Googles förtjänst har oerhört mycket förändrats under de senaste åren för att avsevärt göra Android säkrare och få ut säkerhetsfixar snabbare till fler människor. Det finns ett antal anledningar till detta.
Till exempel är Google Play Services något du kanske har sett uppdateras på din telefon som du kanske inte har ägnat så mycket uppmärksamhet åt. Men det är faktiskt en oerhört viktig del av hur Google håller Android säker och hjälper till att ta med nya funktioner från Android 13 till din mormors gamla Galaxy S7 som inte har fått ny firmware på flera år.
När det gäller Play Services är det en systemapp, så den har privilegierad åtkomst på toppnivå A+ Platinum-nivå till allt på din telefon. Den kan göra mycket mer än en vanlig app som du laddar ner från Play Butik, som att installera eller ta bort andra appar eller till och med fjärrrensa din enhet om den tappas bort eller blir stulen.
Systemappar som Play Services måste laddas in på din telefon av tillverkaren, men när de väl finns där kan de uppdateras automatiskt i bakgrunden. Det betyder att nya versioner säkert kan lägga till nya funktioner och funktionalitet. Och Play Services har tentakler över hela operativsystemet, vilket är anledningen till till exempel Android 13:s säkra fotoväljarfunktion kan rullas ut till telefoner som kör mycket äldre versioner av operativsystemet utan att någon ny firmware behöver installeras.
Play Services inkluderar även Google Play Protect, Androids antimalware-funktion på OS-nivå som kan stoppa skadliga appar innan de installeras eller ta bort dem om de redan finns där. Det andra viktiga med Play Services är att det stöder helt gamla versioner av Android. Google släpper vanligtvis stödet för Play Services på Android-versioner som är runt tio år gamla. Just nu är det sommaren 2023, och den nuvarande versionen av Play Services stöds ända tillbaka till 2013 års Android 4.4 KitKat. Den till synes slumpmässiga biten av nördig trivia är viktig eftersom det hjälper dig att hålla dig någorlunda säker även på mycket äldre versioner av Android. Det i sig är en stor del av Androids säkerhetsstrategi.
Intressant nog spelade Play Services en intressant roll i covid-19-responsen från många länder över hela världen. En uppdatering som distribuerades via Play Services var hur Google kunde rulla ut det exponeringsmeddelandesystem som det hade utvecklat med Apple till i stort sett hela Android-användarbasen i ett svep. Utan Play Services skulle den typen av strävan ha tagit månader och inte nått så många människor.
Faktum är att det är ganska galet att tro att Googles ansträngningar att fixa Android-fragmentering nästan ett decennium tidigare sannolikt indirekt slutade med att rädda en hel del liv under pandemin.
Scenskräck
Skadlig programvara är en sak, men det finns andra sätt som dåliga aktörer kan försöka ta kontroll över din telefon eller stjäla din data på. Webbläsarexploater var en ganska stor del av det, och nu uppdateras både Chrome-webbläsaren och WebView-koden för webbinnehåll i andra appar via Play Butik. Faktum är att detta gäller en hel massa olika delar av Android som en gång krävde en firmwareuppdatering. Andra inkluderar Google Phone-uppringaren, Android Messages och otaliga bakom-kulisserna-appar.
Så säg att en otäck webbläsarmissbruk upptäcks idag 2023 där en skadlig webbsida kan krascha din telefon eller stjäla dina lösenord eller få Starbucks-appen att förstöra din beställning. Det spelar ingen roll vilken version av Android du använder, Google kan skicka ut uppdateringar via Play Butik som täcker både Chrome själv och alla andra appar som visar webbinnehåll. Tillbaka i tiderna av den så kallade giftiga hellstew, skulle en fullständig firmwareuppdatering behövas för att distribuera samma fix till varje Android-telefon: mycket mer arbete för många fler människor, och det skulle ha tagit månader eller till och med år istället för dagar.
En annan typ av exploatering var stora nyheter i Android-säkerhetsvärlden 2015. "Stagefright"-felet påverkade den del av Android som hanterade renderingen av bilder och video: ett foto som hade manipulerats på rätt sätt kunde göra dåliga saker med din telefon. Detta var ett stort problem eftersom den Stagefright-komponenten då inte kunde uppdateras utan en fullständig firmwareuppdatering. Återigen: massor av extra arbete, certifiering och väntan medan den digitala motsvarigheten till en hemsökt målning potentiellt kan spräcka din telefon vidöppen när som helst.
Nedfallet från den kusliga säkerhetsskräcken från Stagefright var tvåfaldig: För det första började Google släppa månatliga säkerhetskorrigeringar för Android, vilket kopplade din säkerhetsnivå till ett specifikt datum. Inte bara det, utan det fick Google att ta det mycket mer allvarligt att göra Android modulärt, så delar av operativsystemet som Stagefright kunde uppdateras via Play Store utan att behöva en fullständig firmwareuppdatering.
Nya säkerhetskorrigeringar för Android släpps fortfarande varje månad än i dag. Och de täcker äldre versioner av operativsystemet, inte bara de senaste, så även om en telefon fortfarande är på Android 11 eller 12 kan den fortfarande skyddas. Allmänt, Google Pixel och Samsungs flaggskepp får säkerhetskorrigeringar först, med andra som Motorola som svettigt joggar bakom resten av ekosystemet, och släpper det kontraktuella minimum av en patch per kvartal.
Det är den andra sidan av denna ekvation: Google kräver nu lagligt att telefontillverkare förbinder sig till en miniminivå av support om de vill ha Android med Google-tjänster på sina enheter. Tillbaka 2018, Gränsen rapporterad att Google kräver två års säkerhetsuppdateringar, som släpps minst en gång var 90:e dag
Nuförtiden lovar populära märken som Samsung och OnePlus fyra år av OS-uppdateringar och fem år av säkerhetskorrigeringar, möjligen med viss uppmuntran från Google bakom kulisserna.
Trots att uppdateringar kommer ut mycket oftare nuförtiden, kräver de fortfarande mycket tekniskt arbete, särskilt när det är en stor uppdatering, som en helt ny OS-version. Android ser inte ut som Samsungs One UI eller Oppos ColorOS när den lämnar Googles Mountain View chokladfabrik, eller hur? Och i början skulle du, som Samsung eller Oppo, behöva införliva den helt nya versionen av Android i din skräddarsydda gaffel av den tidigare versionen. Det är ungefär som att försöka byta ut några av ingredienserna när en måltid redan är tillagad - det slutar med att du nästan måste börja om från början.
Googles lösning? I grund och botten en tv-tallrik: du serverar den måltiden i två olika sektioner. Du separerar tillverkarens anpassningar -- alla One UI eller ColorOS grejer -- från kärnoperativsystemet. Och det betyder att du lättare kan uppdatera den ena utan att bråka med den andra. Hela denna strävan kallas Project Treble, och även om du inte kan se den på din telefon kanske du har märkt hur Android-enheten du äger idag får uppdateringar lite snabbare än en du använde i sju eller åtta år sedan.
Utöver det började Google dela framtida versioner av Android med OEM-tillverkare i ett mycket tidigare skede. Så när den första utvecklaren förhandsgranskar Android 14 var offentliga, hade sådana som Samsung förmodligen kikade på det bakom kulisserna i ett par månader eller så. När det gäller säkerhetskorrigeringar delas de privat en månad tidigare för att ge tillverkarna ett försprång.
Så även om allt det där är bra, behåller människor ofta telefoner längre än bara ett par år. Att trycka ut ny firmware är fortfarande en icke-trivial mängd arbete, och dessa ingenjörer arbetar inte gratis. Projekt huvudlinje 2019 gjorde Android själv mer modulärt, med programvarumoduler för saker som WiFi, Bluetooth, mediahantering och mycket mer. Dessa moduler kan sedan uppdateras direkt av Google eller tillverkaren separat, utan att behöva gå igenom hela firmwareuppdateringsprocessen.
Om du någonsin har sett en systemuppdatering för Google Play på din telefon, är det vad det är. Tänk på det så här: Om det går en glödlampa i ditt hem kan du nu bara byta glödlampa... medan du tidigare gick ut, brände ditt hus till grunden och byggde ett nytt ovanpå det.
Säkerhetsskydden är mycket bättre nu
Android-säkerhetsskräck förekommer fortfarande, även 2023. Men skillnaden i dag, mot de giftiga helvetestiderna, är att det finns gott om verktyg för att neutralisera dem. Ta 2015 års Stagefright-sårbarhet, till exempel. Den del av Android som påverkas av den buggen är en Project Mainline-modul idag, och den uppdateras enkelt hela vägen tillbaka till Android 10 utan en fullständig firmwareuppdatering.
Som ett annat exempel, 2014, kunde buggen "Fake ID" tillåta en skadlig app att imitera en med speciella behörigheter, vilket potentiellt exponerar din data för en angripare. Om något sådant hände idag, skulle Play Protect stoppa det i dess spår, och den underliggande buggen kunde snabbt klämmas i en Mainline-uppdatering till Android runtime-modulen. Utöver det har Google också gjort mycket under huven kring kryptering och minneshantering för att göra det svårare att göra något användbart med framtida Android-sårbarheter om och när de dyker upp.
Ingen programvara är någonsin helt säker. 0-dagars utnyttjande – det vill säga: hemliga, oparpade sårbarheter – finns för alla operativsystem och används av nationalstater och säljs för stora summor på den svarta marknaden. Det finns många nya exempel på högprofilerade individer som har drabbats av läskigt sofistikerad skadlig programvara baserad på 0-dagar: personer som Jeff Bezos, Emmanuel Macron och Liz Truss. År 2022 var den tidigare brittiska premiärministern tvungen att fortsätta byta telefonnummer efter att ha blivit hackad, förmodligen av ryska agenter. Så småningom ansågs hennes enhet vara så fullständigt komprometterad att den låstes in i, i princip, smartphone-motsvarigheten till Tjernobyl-sarkofagen.
Om du undrar varför hon ändrade sitt telefonnummer, är det möjligt att hennes telefon var inriktad på något i stil med Pegasus, det israeliskt tillverkade spionprogrammet som enligt uppgift kan ta över Android- eller iOS-enheter bara genom att ha sin telefon siffra. Ryssland använder enligt uppgift inte utländskt tillverkade spionprogram, men det är troligt att de har sin egen hemmaodlade motsvarighet baserat på liknande 0-dagars utnyttjande.
Allt detta visar att 100 % säkerhet är en illusion – det är ouppnåeligt, oavsett vilken enhet eller operativsystem du använder. Ändå är Android långt förbi att vara en "giftig helvete av sårbarheter" på samma sätt som du kunde ha hävdat att det var ett decennium sedan. Det är mycket bättre lämpat att ta itu med hoten om trädgårdsvariationer som kan mötas av de av oss som inte är regeringschefer eller VD för ett biljonföretag.
Dessutom är den genomsnittliga personen mycket mer benägen att falla offer för social ingenjörskonst eller någon annan bedrägeri i motsats till att bli stucken av telefonbaserad skadlig programvara. Denna typ av bedrägeri ökar i många länder, och i Storbritannien, den ökade med 25 % mellan 2020 och 2022, med de flesta fall som involverar datormissbruk. Eftersom smartphonesäkerheten har förbättrats kan man säga att många skurkar inser att det faktiskt är lättare att utnyttja den squishy, köttiga komponenten som är fäst på skärmen: du.