Děravé Androidy: telefony na záplaty čekají dlouhé měsíce

Roman Bořánek 18. 9. 2015

Ví se o tom dlouho, ale všichni víceméně dělají, jako by to neexistovalo. Bezpečnost Androidu není ani zdaleka ideální. Může za to pozdní opravování bezpečnostních chyb výrobci, potažmo absence systému, který by snadné doručování záplat umožnil. A tak se po světě potulují stamilióny zranitelných Androidů.

Za největší problém Androidu bývá často označována roztříštěnost, tedy existence mnoha různých verzí. Tu se postupně daří eliminovat, zejména proto, že základní koncept systému už se ustálil a nové verze se od sebe tolik neodlišují. Pak je tu ještě ten problém, že výrobci s vydáním nové verze Androidu otálejí mnoho měsíců. A s tím se pojí problém ještě mnohem závažnější – mnoho měsíců musí uživatelé čekat i na bezpečnostní záplaty.

Pokud nemáte zařízení z řady Nexus, případně neprovozujete jednu z hodně aktuálních alternativních ROM, je velmi pravděpodobné, že je váš telefon zranitelný vůči několika velmi závažným chybám. Připomeňme, že počet aktivních zařízení s Androidem se odhaduje na cca 2–3 miliardy. Android tak skýtá větší bezpečnostní riziko, než např. pravidelně aktualizované desktopové systémy, o kterých se v této souvislosti hovoří častěji.

Současný stav: měsíce čekání

Většina výrobců bezpečnostní aktualizace v současnosti vůbec neřeší. Resp. sbírá je, ale chyby záplatuje až se standardním povýšením systému na novou verzi. To v případě nových a populárních zařízení přichází přibližně třikrát do roka. Pokud ale máte jeden z méně rozšířených telefonů, může se stát, že aktualizaci dostanete sotva jednou za rok. V obou případech se jedná o nedostačující interval, který telefony a tablety nechává několik měsíců na ráně.

Nutno konstatovat, že ani Google problému dlouho nepřikládal dostatečnou pozornost. Sice už nějakou dobu vydává pravidelné bezpečnostní zprávy, ve kterých výrobce upozorňuje na vážnější chyby, ale jinak na výrobce nijak netlačí, přestože možnost by tu byla. Pokud výrobci chtějí požehnání, logo a aplikace služby Googlu, musí splnit jeho podmínky. Ty v současnosti o bezpečnostních aktualizacích neříkají vůbec nic. A když není tlak se strany Googlu ani uživatelů, výrobci k aktualizacím přistupují velmi nedbale.

Google půjde příkladem

Už i Google si ale začal uvědomovat, že je situace vážná. Koneckonců, děravé Androidy nejsou špatná reklama jen pro výrobce, ale i pro něj. Zatím ale Google zvolil pouze to nejmírnější opatření: půjde příkladem. Každý měsíc vydá balíček bezpečnostních oprav založený na bezpečnostní zprávě, kterou už stejně sestavuje. Aktualizace dorazí standardně over-the-air (OTA). Uživatelé podporovaných zařízení Nexus (Nexus 4 a novější) už obdrželi dva balíčky.

Google už tímto krokem sklidil aspoň částečný úspěch, jelikož se ho rozhodla následovat dvojice velkých výrobců: Samsung a LG. Formát by měl být stejný – měsíční. Zatím ale není zřejmé, kdy se uživatelé dočkají prvních aktualizací, ani na která všechna zařízení dojde. Vedlejším produktem vydávání aktualizací by tak mohlo být stanovení doby podpory pro každý smartphone. To je v současnosti výjimka, žádný plán neexistuje a výrobce jen jednoho dne řekne: nový Android nedostanete.

Jisté uznání si zaslouží i Motorola, která sice pravidelné aktualizace zatím nepřislíbila, ale aspoň vydala mimořádnou aktualizaci opravující StageFright, nejzávažnější chybu v Androidu za poslední dobu. Stejně tak učinil Samsung u nejvyšších modelů. Nesmíme se ale nechat uchlácholit opravením jedné, byť opravdu velké chyby. Závažných chyb se v Androidu každý rok nalezne řada. Bez změny celé politiky aktualizací se situace nezlepší.

TIP: Otestujete zranitelnost svého zařízení na StageFright pomocí speciální aplikace.

Android potřebuje lepší systém aktualizací

Problém ale nepředstavuje pouze ochota výrobců záplatovat, ale i samotný systém aktualizací, který je poměrně nepřívětivý. Vyžaduje restart zařízení a obvykle i dlouhé čekání, při kterém Android optimalizuje aplikace. V závislosti na množství instalovaných aplikací, rychlosti úložiště a výpočetním výkonu se tento proces může protáhnout až na půl hodiny, během které navíc telefonu velmi rychle dochází šťáva.

Co že ona mysteriózní optimalizace znamená? Android jednoduše kompiluje nainstalované aplikace, aby jejich spouštění bylo co nejrychlejší. Opětovná kompilace je v současnosti nutná i při malých změnách systému. Ta mimochodem souvisí se zavedením běhového prostředí ART, které bylo volitelné v Androidu 4.4 a povinné v Androidu 5.0 Lollipop. Do té doby se o aplikace staral Dalvik, který je kompiloval vždy až při spuštění.

Chtít po uživateli, aby jedenkrát za měsíc vyhradil zařízení půlhodinu na aktualizaci, je poměrně velký požadavek. Zvlášť když desktopové systémy, nové Windows 10 zejména, už aktualizace instalují na pozadí téměř bez vědomí a povšimnutí uživatele. Samozřejmě, aktualizace linuxového jádra jsou jedna – relativně složitá – věc, ale aktualizace menších a relativně oddělených součástí systému by mohla být snazší. Dnešní architektura Androidu bohužel moc možností nedává.

widgety

Změna je nevyhnutelná

Rychlejší systém aktualizací je ale až druhořadá záležitost. Hlavní je, aby výrobci skutečně aktualizace začali vydávat pravidelně. Bezpečnost mobilních zařízení opravdu není radno podceňovat. Možná si to ani neuvědomuje, ale chytré telefony a tablety se během několika posledních let staly zařízeními, která leckdy mají největší přístup k osobním datům uživatelů. Mnohdy větší, než osobní počítače.

Pokud to nepůjde po dobrém, měl by to Google zkusit po zlém. Tedy úpravou podmínek pro použití jeho služeb danými výrobci. Google je poměrně znám tím, že dbá na bezpečnost a chyby se snaží rychle opravovat. Jeho bug bounty programy, kde nabízí nálezcům chyb pěkné odměny, jsou koneckonců jedny z nejúspěšnějších vůbec. Pokud se po světě potuluje tolik děravých zařízení s logem Googlu, celkem to kazí jeho reputaci. Doufejme, že budoucnost Androidu bude růžová. A podstatně bezpečnější.

Našli jste v článku chybu?
Root.cz: Podívejte se na shořelé Samsung Note 7

Podívejte se na shořelé Samsung Note 7

DigiZone.cz: Digi Slovakia zařazuje stanice SPI

Digi Slovakia zařazuje stanice SPI

Vitalia.cz: Antibakteriální mýdla nepomáhají, spíš škodí

Antibakteriální mýdla nepomáhají, spíš škodí

Vitalia.cz: 5 důvodů, proč jet na výlov rybníka

5 důvodů, proč jet na výlov rybníka

DigiZone.cz: Další programatické formáty

Další programatické formáty

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

DigiZone.cz: Technisat připravuje trojici DAB

Technisat připravuje trojici DAB

Vitalia.cz: Nová vakcína proti chřipce se aplikuje nosem

Nová vakcína proti chřipce se aplikuje nosem

DigiZone.cz: Regionální tele­vize CZ vysílá "Mapu úspěchu"

Regionální tele­vize CZ vysílá "Mapu úspěchu"

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Vitalia.cz: Vodárny varují: Ve vodě z kohoutku jsou bakterie

Vodárny varují: Ve vodě z kohoutku jsou bakterie

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

Lupa.cz: Odkazy na pirátský obsah mohou být nelegální

Odkazy na pirátský obsah mohou být nelegální

Root.cz: Hořící telefon Samsung Note 7 zapálil auto

Hořící telefon Samsung Note 7 zapálil auto

Lupa.cz: Adblock Plus začal prodávat reklamy

Adblock Plus začal prodávat reklamy

DigiZone.cz: Budoucnost TV vysílání ve Visegrádu

Budoucnost TV vysílání ve Visegrádu

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“