אנדרואיד היא הפלטפורמה הניידת הנפוצה ביותר בעולם. יותר מ-1.4 מיליארד אנשים משתמשים בסמארטפון או בטאבלט אנדרואיד מדי יום, והעובדה שהוא קוד פתוח וחינמי לשימוש היצרנים היא חלק גדול מהפופולריות הזו. אבל פתיחות היא חרב פיפיות: היא הובילה למצב שבו טלפונים רבים של אנדרואיד אינם מתעדכנים באופן קבוע בתיקוני האבטחה האחרונים.
רוח הרפאים של תוכנות זדוניות הופיעו בגדול דְמוּי אָדָם במשך השנים האחרונות, עם חוקרים שחשפו פגיעויות בפרופיל גבוה מאוד, כמו פחד במה. החדשות השליליות מגיעות כל כך חזקות ומהר שקשה להעמיד אותה בפרספקטיבה. רק בשבוע שעבר דיווחנו על תוכנה זדונית של FalseGuide, אשר עשוי להשפיע על עד 1.8 מיליון דְמוּי אָדָם משתמשים.
אם תיכנס לכותרות לבד, יסלח לך על חששות לגבי דְמוּי אָדָם אבטחה, אבל איפה הגבול בין הגזמה לסיכון אמיתי? האם הפלטפורמה באמת לא מאובטחת?
קָשׁוּר
מהו אחסון UFS 3.0? שאלנו מומחה לגבי SSD לטלפונים
"לא, זה לא חסר ביטחון. אני כן חושב שיש לנו קצת בעיית תפיסה, אבל זה שונה מאוד מסיכון המשתמש בפועל", אדריאן לודוויג, מנהל דְמוּי אָדָם אבטחה, אמר ל-Digital Trends בראיון שנערך לאחרונה. "העבודה הקריפטוגרפית שעשינו, ארגז החול שעשינו והרבה מהעבודה להקשות על הניצול, כולם מסתדרים יפה".
אין ספק שהגרסאות העדכניות ביותר של דְמוּי אָדָם בטוחים יותר מקודמיהם, אבל הבעיה היא שהרבה דְמוּי אָדָם משתמשים אף פעם לא מרגישים את התועלת. במבט לאחור על שנת 2016 בא פוסט בבלוג, ה דְמוּי אָדָם צוות האבטחה הודה שכמחצית מהמכשירים שהיו בשימוש בסוף 2016 לא קיבלו עדכון במשך 12 חודשים לפחות.
"84 אחוז מהטלפונים אינם משודרגים, מה שאומר שרוב המכשירים הניידים עדיין נמצאים בסיכון."
"גרסאות עדכניות של גוגל דְמוּי אָדָם יכול להיחשב בטוח", אמר מאייק מורגנשטרן, מנכ"ל ארגון דירוג האנטי-וירוס AV-Test, ל-Digital Trends. "אבל במיוחד אצל מבוגרים רבים דְמוּי אָדָם גרסאות, יותר ויותר פגיעויות צצות וספקים רבים אינם מספקים עדכונים עבור המכשירים שלהם. נכון לעכשיו, ידועות יותר מ-800 נקודות תורפה".
אם נסתכל על נתוני הפצה רשמיים עבור אנדרואיד נכון לאפריל, אנו מוצאים שרק 4.9 אחוזים מ דְמוּי אָדָם המכשירים מריצים את הגרסאות העדכניות ביותר, נוגט 7.0 או 7.1. זה נתח קטן מאכזב מהסך הכל. במבט יותר אחורה, דְמוּי אָדָם 6.0 מרשמלו פועל על 31.2 אחוז מהמכשירים, דְמוּי אָדָם 5.0 או 5.1, Lollipop, נמצא ב-31 אחוז מהמכשירים, וחמישית מהמכשירים דְמוּי אָדָם המכשירים עדיין פועלים דְמוּי אָדָם 4.4 KitKat. רוב המכשירים הללו מריצים גרסאות ישנות יותר של דְמוּי אָדָם לא סביר שיעודכנו אי פעם.
"שמונים וארבעה אחוז מהטלפונים אינם משודרגים, מה שאומר שרוב המכשירים הניידים עדיין נמצאים בסיכון", ג'ושוע ג'יי. דרייק, סגן נשיא למחקר וניצול פלטפורמות ב-Zimperium, אמר ל-Digital Trends.
Zimperium היא חברת אבטחה ניידת; דרייק חשף את הפגיעות של Stagefright עוד ב-2015. היה לו פוטנציאל לתת להאקרים שליטה ב- דְמוּי אָדָם מכשיר באמצעות קוד זדוני בקובץ אודיו או וידאו - ועד 95 אחוז מהמכשירים היו פגיעים אליו, על פי דיווחים באותה תקופה. דרייק אמר לנו שחלק מהמכשירים עדיין פגיעים היום.
למרות שהנזק הפוטנציאלי היה מפחיד, לא ברור על מה ההשפעה דְמוּי אָדָם המשתמשים היו.
"הנה אנחנו כבר שנה וחצי, כמעט נמשכים שנתיים מאז שגילינו את זה לראשונה, ועדיין לא יודעים שמישהו באמת מושפע", אמר לודוויג.
אבל דרייק לא מסכים.
מאייק מורגנשטרן, מנכ"ל ומנהל טכני של AV Test
"אנחנו יודעים שהיו התקפות ממוקדות באמצעות פגיעויות ב-libstagefright וב-mediaserver", אמר. "אנחנו יודעים שקשה להוכיח שלילי באופן כללי, ואנו מכבדים את המאמצים של גוגל לאבטח טוב יותר את הפלטפורמה שלהם, אבל ללא חיישן במכשיר, אין דרך לאף אחד לדעת את מצב הסיכון או האיום של כל מכשיר - במיוחד א אחד נייד."
הבעיה היא שלא קל לדעת אם הותקפת בהצלחה. בעקבות תגלית Stagefright, חברת האבטחה הקימה את ברית מכשירי Zimperium להגביר את התקשורת בין חוקרים, מפעילי רשתות סלולריות, מפתחי יישומים ניידים וספקי מכשירים.
"צריך לעודד את החוקרים לבדוק עדכוני אבטחה חודשיים ולנסות לנצל את הפגיעויות הללו, כדי לקדם תיקון טוב יותר ועולם נייד בטוח יותר באופן כללי", אמר דרייק.
גוגל נקטה כמה צעדים חשובים כדי להפחית את סיכוני האבטחה, הוצאת תיקונים חודשיים ופירוק אלמנטים של דְמוּי אָדָם כדי להקל על דחיפת עדכונים. אבל גרסאות ישנות יותר של דְמוּי אָדָם נותרו מאחור.
ה בעיית פיצול של אנדרואיד לא פותרים בקלות. לשכנע ספקים ויצרנים לעדכן את שלהם דְמוּי אָדָם התקנים הוכחו כקשים מאוד עבור גוגל. זה שיחק ישירות לידיים של האופוזיציה. טים קוק של אפל התייחס באופן מפורסם ל-א מאמר ZDNet זכאי "דְמוּי אָדָם פיצול שהופך מכשירים לתהום רעיל של פגיעויות" בשקופית ב-WWDC ב-2014. אבל האם iOS באמת הרבה יותר טוב? ואם כן, מדוע?
"היה הרושם שאבטחת iOS עדיפה על דְמוּי אָדָם אבטחה, אבל זה לא בהכרח המקרה", אמר דרייק.
כי דְמוּי אָדָם הוא קוד פתוח, קל יותר לחוקרי אבטחה למצוא פגמים ולהציע תיקונים. האופי הסגור של iOS מקשה על החוקרים לראות מה קורה, אמר. מורגנשטרן מסכים עם הערכה זו, אך מצביע על הבדל חשוב שהופך תוכנות זדוניות לסיכון גדול יותר עבורן דְמוּי אָדָם.
"עד שכל עדכון יגיע לכל המכשירים, אנחנו עדיין בסיכון."
"ל דְמוּי אָדָם למשתמשים, קל להתקין אפליקציות מכל מקור", מסביר מורגנשטרן. "עובדה זו מקלה על הכנסת אפליקציות זדוניות למכשיר. הדרך שבה פלטפורמות אחרות מטפלות בזה היא הרבה יותר מחמירה, על ידי מתן התקנות רק מהשווקים הסגורים שלהן".
דְמוּי אָדָם הוא יעד גדול. עם בסיס משתמשים כה גדול וקוד פתוח, זה טרף אטרקטיבי עבור פושעי סייבר. AV-Test רושם עד 30,000 חדשים דְמוּי אָדָם דגימות תוכנות זדוניות בכל יום. זה מספר מפחיד, אבל מודאג דְמוּי אָדָם משתמשים יכולים לנקוט בפעולה להפחית באופן דרמטי הסיכונים על ידי היצמדות ל-Google Play לאפליקציות, עדכון מכשירים ברגע שהטלאים זמינים ושימוש אפליקציות אבטחה אנדרואיד של צד שלישי.
גם דרייק וגם מורגנשטרן מזהירים מפני חיבור לרשתות לא ידועות ולנקודות חמות של Wi-Fi, לפחות מבלי להשתמש בהגינות אפליקציות VPN לאנדרואיד.
"הנתונים שלנו מראים שרוב ההתקפות הן ברשת, והן אינן מפלות בין iOS, דְמוּי אָדָם, או אחר", מסביר דרייק. "ברגע שתוקף יירט בשקט והפנה מחדש את תעבורת הרשת שלך, כל מכשיר פגיע בצורה מסוכנת ל מעקב פולשני, דיג מותאם אישית של חניתות, מסירת ניצול פלטפורמה או כל מספר אחר של התקפות המשך".
דְמוּי אָדָם האבטחה משתפרת. אנו יכולים להצביע על עדכונים מהירים יותר, הצפנת מכשירים, בקשות הרשאה, ארגז חול של אפליקציות לבידוד אפליקציות אחת מהשנייה, גישה מוגבלת למשאבים וסריקת תוכנות זדוניות אוטומטיות ב-Play חנות. אבל ברור שיש עוד עבודה לעשות.
"בשנה שעברה שילמנו כמעט מיליון דולר לחוקרים", אמר לודוויג של גוגל, כשנשאל על החשיבות של מחקר צד שלישי. אבל למרות תוכנית המחקר הזו, דרייק מרגיש שצריך יותר.
"לשפר דְמוּי אָדָם אבטחה בסך הכל, הכרחי לגוגל לעבוד קרוב יותר עם ספקי אבטחה", אמר. "אפל וספקים אחרים הגדילו את שיתוף הפעולה שלהם, אבל גוגל הפחיתה אותו. הפילוסופיה של גוגל היא שהם יכולים לעשות הכל בעצמם, אבל זה רק פוגע במשתמשים שלהם ולמרבה הצער מועיל למחברי תוכנות זדוניות".
בסופו של דבר, השאלה של דְמוּי אָדָם האבטחה עשויה להיות תלויה במכשיר שבו אתה משתמש. אם יש לך טלפון בן שנתיים או שלוש שמריץ גרסה ישנה יותר של דְמוּי אָדָם ולא עודכן כבר חודשים, יש לך סיבה לדאגה. בעלי ה-Pixel של גוגל, לעומת זאת, מקבלים את עדכוני האבטחה האחרונים בזמן, לפחות לשנתיים הקרובות.
קשה לומר כמה זמן זה ייקח לפני רוב דְמוּי אָדָם במכשירים פועל נוגט, או גרסה מאוחרת יותר של דְמוּי אָדָם, אבל גם אז הקצב האיטי של העדכונים של חלק מהיצרנים והספקים יישאר בעיה.
"עד שכל עדכון יגיע לכל המכשירים, אנחנו עדיין בסיכון", אמר מורגנשטרן.
תוכל למצוא עצות שימושיות נוספות כיצד לשמור על בטיחותך דְמוּי אָדָם טלפון אצלנו מדריך אבטחה לאנדרואיד.
המלצות עורכים
האם קרינת טלפונים סלולריים אכן מסוכנת? שאלנו כמה מומחים
