Är Android verkligen osäkert? Vi frågade experterna
Android är den mest använda mobilplattformen på planeten. Mer än 1,4 miljarder människor använder en Android-smarttelefon eller surfplatta varje dag, och det faktum att den är öppen källkod och gratis för tillverkare att använda är en stor del av den populariteten. Men öppenhet är ett tveeggat svärd: Det har lett till en situation där många Android-telefoner inte regelbundet uppdateras med de senaste säkerhetsuppdateringarna.
Spöket av skadlig programvara har skymtat över Android under de senaste åren, med forskare som upptäckt mycket högprofilerade sårbarheter, som Scenskräck. De negativa nyheterna kommer så tjockt och snabbt att det kan vara svårt att sätta i perspektiv. Bara förra veckan rapporterade vi om FalseGuide skadlig programvara, vilket kan ha påverkat upp till 1,8 miljoner Android användare.
Om du bara går på rubrikerna, skulle du få förlåtelse för att du är orolig Android säkerhet, men var går gränsen mellan överdrift och verklig risk? Är plattformen verkligen osäker?
Relaterad
Vad är UFS 3.0-lagring? Vi frågade en expert om SSD för telefoner
"Nej, det är inte osäkert. Jag tror att vi har lite av ett uppfattningsproblem, men det skiljer sig mycket från den faktiska användarrisken, säger Adrian Ludwig, chef för Android Säkerhet, berättade för Digital Trends i en intervju nyligen. "Det kryptografiska arbetet som vi har gjort, sandboxningen som vi har gjort och mycket av arbetet för att försvåra exploatering hänger ihop bra."
Det råder ingen tvekan om att de senaste versionerna av Android är säkrare än sina föregångare, men problemet är att många Android användare känner aldrig fördelen. Ser tillbaka på 2016 i en blogginlägg, den Android säkerhetsteamet medgav att ungefär hälften av enheterna som användes i slutet av 2016 inte hade fått en uppdatering på minst 12 månader.
"84 procent av telefonerna är inte uppgraderade, vilket innebär att de flesta mobila enheter fortfarande är i riskzonen."
"Uppdaterade versioner av Google Android kan anses vara säker, säger Maik Morgenstern, vd för antivirusorganisationen AV-Test, till Digital Trends. ”Men särskilt hos många äldre Android versioner, fler och fler sårbarheter dyker upp och många leverantörer tillhandahåller inte uppdateringar för sina enheter. För närvarande är över 800 sårbarheter kända.”
Om vi tittar på officiella distributionssiffror för Android per april finner vi att endast 4,9 procent av Android enheter kör de senaste versionerna, Nougat 7.0 eller 7.1. Det är en besvikelse liten del av summan. Ser man längre tillbaka, Android 6.0 Marshmallow körs på 31,2 procent av enheterna, Android 5.0 eller 5.1, Lollipop, finns på 31 procent av enheterna och en femtedel av Android enheter är fortfarande igång Android 4.4 KitKat. De flesta av dessa enheter som kör äldre versioner av Android kommer sannolikt aldrig att uppdateras.
"84 procent av telefonerna är inte uppgraderade, vilket innebär att de flesta mobila enheter fortfarande är i riskzonen," Joshua J. Drake, vice vd för plattformsforskning och exploatering på Zimperium, berättade för Digital Trends.
Zimperium är ett mobilt säkerhetsföretag; Ankbonde avslöjade Stagefright-sårbarheten tillbaka 2015. Det hade potential att ge hackare kontroll över en Android enhet genom skadlig kod i en ljud- eller videofil - och upp till 95 procent av enheterna var sårbara för det, enligt rapporter vid den tiden. Drake berättade att vissa enheter fortfarande är sårbara idag.
Även om den potentiella skadan var skrämmande, är det oklart vad det påverkar Android användare var.
"Här är vi ett och ett halvt år, nästan två år sedan vi först fick reda på det, och vi vet fortfarande inte att någon faktiskt har påverkats," sa Ludwig.
Men Drake håller inte med.
"Vi vet att det förekom riktade attacker med sårbarheter i libstagefright och mediaserver," sa han. "Vi vet att det är svårt att bevisa negativt i allmänhet, och vi respekterar Googles ansträngningar för att bättre säkra deras plattform, men utan en sensor på enheten finns det inget sätt för någon att veta risken eller hotstatusen för någon enhet - särskilt inte en en mobil."
Problemet är att det inte är lätt att avgöra om du har blivit attackerad framgångsrikt. I efterdyningarna av Stagefright-upptäckten grundade säkerhetsföretaget Zimperium Handset Alliance för att öka kommunikationen mellan forskare, mobilnätsoperatörer, mobilapplikationsutvecklare och enhetsleverantörer.
"Forskare måste uppmuntras att undersöka månatliga säkerhetsuppdateringar och försöka utnyttja dessa sårbarheter för att främja bättre patchning och en övergripande säkrare mobilvärld", sa Drake.
Google har vidtagit några viktiga steg för att minska säkerhetsrisker, lägga ut månatliga patchar och bryta ned delar av Android för att göra det lättare att pusha ut uppdateringar. Men äldre versioner av Android har lämnats kvar.
De Android-fragmenteringsproblem är inte lätt att lösa. Övertala transportörer och tillverkare att uppdatera sina Android enheter har visat sig vara mycket svåra för Google. Det har spelat motståndarna direkt i händerna. Apples Tim Cook refererade berömt till en ZDNet artikel berättigad "Android fragmentering som förvandlar enheter till ett giftigt helvete av sårbarheter” på en bild på WWDC 2014. Men är iOS verkligen så mycket bättre? Och i så fall varför?
"Det har funnits intrycket att iOS-säkerhet är överlägsen Android säkerhet, men det är inte nödvändigtvis fallet, säger Drake.
Därför att Android är öppen källkod är det lättare för säkerhetsforskare att hitta brister och föreslå korrigeringar. Den stängda naturen hos iOS gör det svårare för forskare att se vad som händer, sa han. Morgenstern håller med om denna bedömning, men pekar på en viktig skillnad som gör skadlig programvara en större risk för Android.
"Tills varje uppdatering når alla enheter är vi fortfarande i riskzonen."
"För Android användare är det enkelt att installera appar från vilken källa som helst”, förklarar Morgenstern. "Detta faktum gör det enkelt att få in skadliga appar på enheten. Sättet andra plattformar hanterar detta på är mycket strängare, genom att endast tillåta installationer från deras stängda marknader.”
Android är ett stort mål. Med en så stor användarbas och öppen källkod är det ett attraktivt offer för cyberbrottslingar. AV-Test registrerar upp till 30 000 nya Android skadlig programvara varje dag. Det är en skrämmande siffra, men orolig Android användare kan vidta åtgärder för att minska dramatiskt riskerna genom att hålla sig till Google Play för appar, uppdatera enheter så snart patchar görs tillgängliga och använda tredjeparts säkerhetsappar för Android.
Både Drake och Morgenstern varnar också för att ansluta till okända nätverk och Wi-Fi-hotspots, åtminstone utan att använda anständigt Android VPN-appar.
"Våra data visar att de flesta attacker är nätverksbaserade, och de skiljer inte mellan iOS, Android, eller annat”, förklarar Drake. "När en angripare tyst har fångat upp och omdirigerat din nätverkstrafik, är alla enheter farligt sårbara för invasiv övervakning, personligt spjutfiske, leverans av plattformsexploatering eller valfritt antal andra efterföljande attacker."
Android säkerheten förbättras. Vi kan peka på snabbare uppdateringar, enhetskryptering, behörighetsförfrågningar, app-sandboxing för att isolera appar från varandra, begränsad åtkomst till resurser och automatisk skanning av skadlig programvara i Play Lagra. Men det finns uppenbarligen arbete kvar att göra.
"Förra året betalade vi nästan en miljon dollar till forskare," sa Googles Ludwig på frågan om vikten av forskning från tredje part. Men trots detta forskningsprogram känner Drake att det behövs mer.
"Att förbättra Android säkerhet överlag är det absolut nödvändigt för Google att arbeta närmare med säkerhetsleverantörer”, sa han. "Apple och andra leverantörer har ökat sitt samarbete, men Google har minskat det. Googles filosofi är att de kan göra allt på egen hand, men det skadar bara deras användare och gynnar tyvärr författare av skadlig programvara.”
I slutändan frågan om Android säkerheten kan bero på enheten du använder. Om du har en två eller tre år gammal telefon som kör en äldre version av Android och inte har uppdaterats på månader har du anledning till oro. Ägare av Googles Pixel får däremot de senaste säkerhetsuppdateringarna i tid, åtminstone under de närmaste åren.
Det är svårt att säga hur lång tid det tar innan de flesta Android enheter kör Nougat, eller en senare version av Android, men även då kommer den långsamma uppdateringstakten från vissa tillverkare och operatörer att förbli ett problem.
"Tills varje uppdatering når alla enheter är vi fortfarande i riskzonen," sa Morgenstern.
Du kan hitta mer användbara råd om hur du kan vara säker på din Android telefon i vår Android säkerhetsguide.
Redaktörens rekommendationer
Är mobiltelefonstrålning verkligen farlig? Vi frågade några experter