ภัยคุกคามความปลอดภัยที่ใหญ่ที่สุดของ Android: การกระจายตัวของระบบปฏิบัติการ

หากคุณเพิ่งซื้อโทรศัพท์หรือแท็บเล็ตเมื่อเร็ว ๆ นี้ราคาต่อรองจะสูงว่าอุปกรณ์ Android ของคุณใช้ระบบปฏิบัติการเวอร์ชันที่ล้าสมัยทำให้คุณเสี่ยงต่อความปลอดภัยอย่างร้ายแรง

ข้อมูลล่าสุดจาก Google แสดงให้เห็นว่าผู้ใช้ Android 44% ยังคงอยู่ใน "Gingerbread" หรือรุ่น 2.3.3 ถึง 2.3.7 ซึ่งเปิดตัวเมื่อสองปีก่อน Gingerbread มีช่องโหว่ด้านความปลอดภัยจำนวนหนึ่งซึ่งได้รับการแก้ไขในรุ่นที่ใหม่กว่า ข้อมูลการแยกระบบปฏิบัติการขึ้นอยู่กับสถิติที่รวบรวมจากอุปกรณ์ Android ที่เชื่อมต่อกับ Google Play ตั้งแต่วันที่ 22 กุมภาพันธ์ถึง 4 มีนาคม

Google มีเพียง 16 เปอร์เซ็นต์ของอุปกรณ์ Android ที่ใช้ระบบปฏิบัติการมือถือเวอร์ชัน 4.1 หรือ 4.2 หรือที่รู้จักกันในชื่อ "Jelly Bean" เวอร์ชัน Android ล่าสุดเปิดตัวเมื่อหกเดือนที่แล้ว แต่ผู้ใช้ Android ส่วนใหญ่ไม่สามารถอัพเกรดเป็นระบบปฏิบัติการใหม่ได้เนื่องจากกระบวนการควบคุมโดยผู้ให้บริการอย่างเข้มงวด

"ปัญหาเกี่ยวกับ Android คือคนส่วนใหญ่มีโทรศัพท์รุ่นเก่า" Collin Mulliner นักวิจัยหลังปริญญาเอกจาก SECLAB ที่ Northeastern University ในบอสตันกล่าวระหว่างการอภิปรายแผงรักษาความปลอดภัยมือถือในการประชุม RSA เมื่อเดือนที่แล้ว

ในช่วงฤดูใบไม้ร่วงที่ผ่านมา SecurityWatch Summit ของเรา Dan Guido ซีอีโอและผู้ร่วมก่อตั้ง Trail of Bits กล่าวว่าอุปกรณ์ iOS ส่วนใหญ่ได้รับการอัปเดตภายในไม่กี่สัปดาห์โดย Apple ปล่อยระบบปฏิบัติการใหม่

Lag Carriers Lag บนการอัพเดท

"หนึ่งในสิ่งที่สำคัญที่สุดในความปลอดภัยของซอฟต์แวร์ในวันนี้คือความสามารถในการอัปเดตจากระยะไกล" Mulliner กล่าวบนแผง ในขณะที่ผู้ใช้สามารถเริ่มการอัปเดตระบบปฏิบัติการด้วยตัวเองสำหรับ iPhone และ iPad, Android, ผู้ให้บริการโทรศัพท์มือถือจะควบคุมกระบวนการทั้งหมดสำหรับอุปกรณ์ Android ในขณะนี้บันทึกรวมของพวกเขาสำหรับการผลักดันการอัปเดตสำหรับผู้ใช้นั้นช่างน่าหดหายอย่างสิ้นเชิง

ปัญหาคือแพลตฟอร์มเปิดของ Android อนุญาตให้ผู้ผลิตอุปกรณ์และผู้ให้บริการปรับแต่งระบบปฏิบัติการเพื่อรวมซอฟต์แวร์เพิ่มเติมและตั้งค่าการกำหนดค่าบางอย่าง เมื่อใดก็ตามที่ Google เผยแพร่การอัปเดตระบบปฏิบัติการทั้งผู้ขายและผู้ให้บริการจะต้องทดสอบการเปลี่ยนแปลงกับระบบโฮมบรูกของพวกเขาก่อนที่จะเผยแพร่เวอร์ชั่นล่าสุด ผู้ให้บริการอ้างว่านี่เป็นกระบวนการที่ช้า แต่ผู้เชี่ยวชาญด้านความปลอดภัยหลายคนเชื่อว่าผู้ให้บริการกำลังจัดลำดับความสำคัญของผลกำไรด้านความปลอดภัย

โทรศัพท์บางรุ่นไม่ได้รับการอัปเดต Android ล่าสุดเพราะพวกเขากำลังจะเลิกใช้งานหรือเป็นรุ่นเก่า Chris Chris Soghoian นักวิจัยด้านความเป็นส่วนตัวและนักกิจกรรมกล่าวในงานอื่นเมื่อต้นปีที่ผ่านมา ผู้ผลิตให้ความสำคัญกับความพยายามของพวกเขาในอุปกรณ์ที่กำลังจะวางขายและกำลังจะออกสู่ตลาดและผู้ให้บริการเครือข่ายไร้สาย "ให้ความสำคัญกับคุณทุกๆสองปี" เมื่อสัญญาของผู้ใช้ต่ออายุการต่ออายุ Soghoian กล่าว ตัวอย่างเช่นสมาร์ทโฟน LG Android ไม่ได้รับการอัปเดตระบบปฏิบัติการเป็นครั้งแรกเป็นเวลา 16 เดือนและโทรศัพท์จำนวนมากไม่เคยได้รับการอัปเดตครั้งแรก

เมื่อพิจารณาว่า Google ได้เปิดตัวเวอร์ชั่นใหม่ทุก ๆ หกเดือนมันเป็นเรื่องง่ายที่จะเห็นว่าผู้ใช้สามารถล้าสมัยได้เร็วเพียงใด

การโจมตีแบบไดรฟ์ซึ่งผู้ใช้ถูกโจมตีเพียงแค่ไปที่ไซต์ที่เป็นอันตรายไม่ใช่สิ่งที่คุกคามผู้ใช้ Android มากที่สุด Charlie Miller นักวิจัยที่มีชื่อเสียงในเรื่องความปลอดภัยของ iOS และ Android กล่าวว่าในระหว่างแผงเดียวกันที่ การประชุม RSA

“ ผู้คนคิดว่าการขับรถโดยเป็นภัยคุกคามครั้งใหญ่ แต่ในชีวิตจริงพวกเขาก็ไม่ได้เกิดขึ้น” มิลเลอร์กล่าว เมื่อพูดถึง Android ผู้ใช้ที่มีความเสี่ยงมากที่สุดคือความจริงที่ว่าอุปกรณ์ของพวกเขากำลังใช้ระบบปฏิบัติการที่ล้าสมัยและไม่ได้ติดตั้งไว้แล้วเขากล่าว Android เวอร์ชันล่าสุดมีแพตช์รักษาความปลอดภัยและปรับปรุงการลดการใช้ประโยชน์

อาชญากรไซเบอร์รู้ว่าผู้ใช้ใช้ระบบปฏิบัติการที่มีช่องโหว่ อาชญากรทุกคนต้องทำคือปล่อยแอปที่เป็นอันตรายซึ่งใช้ช่องโหว่ใน Android เวอร์ชันเก่าและโจมตีฐานผู้ใช้จำนวนมาก

ดังที่ Soghoian ชี้ให้เห็นก่อนหน้านี้ "คุณไม่จำเป็นต้องใช้เวลาหนึ่งวันในการโจมตีอุปกรณ์ Android ส่วนใหญ่หากผู้บริโภคใช้งานซอฟต์แวร์อายุ 13 เดือน"

น่าเสียดายที่สถานการณ์นี้ไม่น่าจะเปลี่ยนแปลงเว้นแต่ผู้ให้บริการจะเริ่มให้ความปลอดภัยอย่างจริงจังหรือ Google จะควบคุมกระบวนการอัปเดตให้ห่างจากผู้ให้บริการ อุปกรณ์ Android ที่มีความปลอดภัยมากที่สุดคือ Nexus 4 สมาร์ทโฟนจาก Google เนื่องจาก บริษัท สามารถควบคุมการอัปเดตได้อย่างสมบูรณ์