Android er den mest brukte mobilplattformen på planeten. Mer enn 1,4 milliarder mennesker bruker en Android-smarttelefon eller et nettbrett hver eneste dag, og det faktum at det er åpen kildekode og gratis for produsenter å bruke er en stor del av denne populariteten. Men åpenhet er et tveegget sverd: Det har ført til en situasjon der mange Android-telefoner ikke jevnlig blir oppdatert med de nyeste sikkerhetsoppdateringene.
Spøkelset av skadelig programvare har dukket opp Android de siste årene, med forskere som har avdekket svært høyprofilerte sårbarheter, som Sceneskrekk. De negative nyhetene kommer så tykt og raskt at det kan være vanskelig å sette i perspektiv. Bare forrige uke rapporterte vi om FalseGuide malware, som kan ha påvirket opptil 1,8 millioner kroner Android brukere.
Går du på overskriftene alene, vil du bli tilgitt for å ha bekymringer om Android sikkerhet, men hvor går grensen mellom overdrivelse og reell risiko? Er plattformen virkelig usikker?
I slekt
Hva er UFS 3.0-lagring? Vi spurte en ekspert om SSD for telefoner
«Nei, det er ikke utrygt. Jeg tror vi har litt av et oppfatningsproblem, men det er veldig forskjellig fra faktisk brukerrisiko, sier Adrian Ludwig, direktør for Android Sikkerhet, fortalte Digital Trends i et nylig intervju. "Det kryptografiske arbeidet vi har gjort, sandkassen vi har gjort, og mye av arbeidet for å gjøre utnyttelse vanskeligere, kommer alt sammen fint."
Det er liten tvil om at de nyeste versjonene av Android er sikrere enn sine forgjengere, men problemet er at mange Android brukere føler aldri fordelen. Ser tilbake på 2016 i en blogg innlegg, den Android sikkerhetsteamet innrømmet at omtrent halvparten av enhetene som var i bruk på slutten av 2016 ikke hadde mottatt en oppdatering på minst 12 måneder.
"84 prosent av telefonene er ikke oppgradert, noe som betyr at de fleste mobile enheter fortsatt er i fare."
«Oppdaterte versjoner av Google Android kan betraktes som sikker, sier Maik Morgenstern, administrerende direktør i antivirus-rangeringsorganisasjonen AV-Test, til Digital Trends. «Men spesielt hos mange eldre Android versjoner, flere og flere sårbarheter dukker opp, og mange leverandører leverer ikke oppdateringer for enhetene sine. For tiden er over 800 sårbarheter kjent."
Hvis vi ser på offisielle distribusjonstall for Android per april finner vi at kun 4,9 prosent av Android enheter kjører de nyeste versjonene, Nougat 7.0 eller 7.1. Det er en skuffende liten del av totalen. Ser lenger tilbake, Android 6.0 Marshmallow kjører på 31,2 prosent av enhetene, Android 5.0 eller 5.1, Lollipop, er på 31 prosent av enhetene, og en femtedel av Android enhetene kjører fortsatt Android 4.4 KitKat. De fleste av disse enhetene kjører eldre versjoner av Android vil neppe noen gang bli oppdatert.
"84 prosent av telefonene er ikke oppgradert, noe som betyr at de fleste mobile enheter fortsatt er i fare," Joshua J. Drake, visepresident for Platform Research and Exploitation ved Zimperium, fortalte Digital Trends.
Zimperium er et mobilt sikkerhetsselskap; Drake avdekket Stagefright-sårbarheten tilbake i 2015. Det hadde potensial til å gi hackere kontroll over en Android enhet gjennom ondsinnet kode i en lyd- eller videofil - og opptil 95 prosent av enhetene var sårbare for det, ifølge rapporter på den tiden. Drake fortalte oss at noen enheter fortsatt er sårbare i dag.
Selv om den potensielle skaden var skremmende, er det uklart hva innvirkningen på Android brukere var.
"Her er vi et og et halvt år inne, nesten to år siden vi først fant ut om det, og vi vet fortsatt ikke at noen faktisk er berørt," sa Ludwig.
Men Drake er uenig.
Maik Morgenstern, administrerende direktør og teknisk direktør i AV Test
"Vi vet at det var målrettede angrep ved bruk av sårbarheter i libstagefright og mediaserver," sa han. "Vi vet at det er vanskelig å bevise negativt generelt, og vi respekterer Googles innsats for å bedre sikre plattformen deres, men uten en sensor på enheten, er det ingen måte for noen å vite risikoen eller trusselstatusen til en enhet – spesielt ikke en mobil."
Problemet er at det ikke er lett å si om du har blitt angrepet. I kjølvannet av Stagefright-funnet grunnla sikkerhetsfirmaet Zimperium Handset Alliance for å øke kommunikasjonen mellom forskere, mobilnettverksoperatører, mobilapplikasjonsutviklere og enhetsleverandører.
"Forskere må oppmuntres til å se på månedlige sikkerhetsoppdateringer, og prøve å utnytte disse sårbarhetene, for å fremme bedre oppdatering og en generelt tryggere mobilverden," sa Drake.
Google har tatt noen viktige skritt for å redusere sikkerhetsrisikoen, legge ut månedlige oppdateringer og bryte ned elementer av Android for å gjøre det lettere å presse ut oppdateringer. Men eldre versjoner av Android har blitt etterlatt.
De Android-fragmenteringsproblem er ikke lett løst. Overtale transportører og produsenter til å oppdatere sine Android enheter har vist seg å være svært vanskelige for Google. Det har spilt direkte i opposisjonens hender. Apples Tim Cook refererte berømt til en ZDNet-artikkel har krav på "Android fragmentering som gjør enheter til et giftig helvete av sårbarheter» på et lysbilde på WWDC i 2014. Men er iOS virkelig så mye bedre? Og i så fall, hvorfor?
"Det har vært inntrykk av at iOS-sikkerhet er overlegen Android sikkerhet, men det er ikke nødvendigvis tilfelle, sa Drake.
Fordi Android er åpen kildekode, er det lettere for sikkerhetsforskere å finne feil og foreslå feilrettinger. Den lukkede naturen til iOS gjør det vanskeligere for forskere å se hva som skjer, sa han. Morgenstern er enig i denne vurderingen, men peker på en viktig forskjell som gjør skadevare til en større risiko for Android.
"Inntil hver oppdatering når alle enheter, er vi fortsatt i fare."
"Til Android brukere, er det enkelt å installere apper fra alle kilder, forklarer Morgenstern. "Dette faktum gjør det enkelt å få ondsinnede apper inn på enheten. Måten andre plattformer håndterer dette på er mye strengere, ved kun å tillate installasjoner fra deres lukkede markeder.»
Android er et stort mål. Med en så stor brukerbase og åpen kildekode er det et attraktivt bytte for nettkriminelle. AV-Test registrerer opptil 30 000 nye Android malware prøver hver dag. Det er et skremmende tall, men bekymret Android brukere kan iverksette tiltak redusere dramatisk risikoen ved å holde seg til Google Play for apper, oppdatere enheter så snart oppdateringer er gjort tilgjengelige og bruke tredjeparts Android-sikkerhetsapper.
Både Drake og Morgenstern advarer også mot å koble til ukjente nettverk og Wi-Fi-hotspots, i det minste uten å bruke anstendig Android VPN-apper.
"Våre data viser at de fleste angrep er nettverksmessige, og de skiller ikke mellom iOS, Android, eller annet," forklarer Drake. "Når en angriper i det stille har fanget opp og omdirigert nettverkstrafikken din, er enhver enhet farlig sårbar for invasiv overvåking, tilpasset spydfiske, levering av plattformutnyttelse eller en rekke andre oppfølgingsangrep.»
Android sikkerheten blir bedre. Vi kan peke på raskere oppdateringer, enhetskryptering, tillatelsesforespørsler, app-sandboxing for å isolere apper fra hverandre, begrenset tilgang til ressurser og automatisk skanning av skadelig programvare i Play Butikk. Men det er åpenbart fortsatt arbeid å gjøre.
"I fjor betalte vi nesten en million dollar til forskere," sa Googles Ludwig, da han ble spurt om viktigheten av tredjepartsforskning. Men til tross for dette forskningsprogrammet, føler Drake at det trengs mer.
"Å forbedre Android sikkerhet generelt, er det viktig for Google å jobbe tettere med sikkerhetsleverandører," sa han. "Apple og andre leverandører har økt samarbeidet, men Google har redusert det. Googles filosofi er at de kan gjøre alt på egenhånd, men det skader bare brukerne deres og kommer dessverre skadevareforfatterne til gode.»
Til syvende og sist spørsmålet om Android sikkerhet kan komme ned til enheten du bruker. Hvis du har en to eller tre år gammel telefon som kjører en eldre versjon av Android og ikke har blitt oppdatert på måneder, har du grunn til bekymring. Eiere av Googles Pixel, derimot, mottar de siste sikkerhetsoppdateringene i tide, i hvert fall de neste par årene.
Det er vanskelig å si hvor lenge det vil ta før de fleste Android enhetene kjører Nougat, eller en senere versjon av Android, men selv da vil det sakte tempoet med oppdateringer fra enkelte produsenter og operatører forbli et problem.
"Inntil hver oppdatering når alle enheter, er vi fortsatt i fare," sa Morgenstern.
Du kan finne flere nyttige råd om hvordan du holder deg trygg på din Android telefon i vår Android sikkerhetsveiledning.
Redaktørenes anbefalinger
Er mobiltelefonstråling faktisk farlig? Vi spurte noen eksperter
