Názory k článku
Kritická zranitelnost StrandHogg 2.0 dopadá na 1 miliardu přístrojů s Androidem

Opravdu patří můj Honor^* 8 64GB za 9 990 Kč do skupiny "různých levných smartphonů"?

Problém je v tom, že některé i "velké a zavedené" firmy na záplaty nebo upgrade systému kašlou.
Nebo je nasazují, ale jen na zařízení podle jakéhosi těžko (a předem) zjistitelného klíče.

- - -
^*A proto mi už žádný Huawei / Honor nesmí do baráku.

Výrobce si evidentně myslí, že ano.

Honor 8 patří do skupiny "různých levných smartphonů". Je to jedna ze značek, která se profiluje tím, že za nízkou cenu dodává parametry, co ostatní za vysokou.

Spotřebitel je v technické pasti. Neumí ani dopředu posoudit, co má od výrobku očekávat, nedokáže posoudit, jestli se ho zranitelnost týká. Doporučení typu "nic nestahujte, nic neinstalujte" taky nepomůže (proč by si jinak kupoval smartphone?)

WTF?
To myslíš vážně?

Věř tomu, že jsem dlouho hledal, zjišťoval, srovnával.
A nikdy by mne nenapadlo, že zrovna oni - a teď je třeba doplnit důležité - a s tímto konkrétním typem - budou nakonec dělat takové ofuky.

PS: A opravdu si nemyslím, že by měl "neprimitivní" mobilní telefon stát víc než 10 tyček. Tolik toho zas od toho - doufám že pořád ještě spotřebního zboží - nechci...

A opravdu si nemyslím, že by měl "neprimitivní" mobilní telefon stát víc než 10 tyček. Tolik toho zas od toho - doufám že pořád ještě spotřebního zboží - nechci...

To je přeci v pořádku. Stanovil jste si kritéria a podle nich hledáte, co vyhovuje nejvíc. Realita je taková, že u tří, čtyřletého telefonu aktualizace nezískáte vyjma pár vybraných modelů (dražších, než je Vaše představa).

Ono je velmi těžké najít i dražší telefony, u kterých si člověk může být jistý, že mu vydrží déle než 3 roky.

Málem jsem kvůli tomu koupil i iPhone, ale naštěstí jsem objevil LG V řadu, u které je stále aktualizováno i první V10, kterému je už skoro 5 let ...

Má cenu se bavit o telefonu, který byl uveden na trh před 4 roky?

Co je špatného na 4 roky starém telefonu? Já používám 3 roky starý telefon a i když bych rád upgradoval (dochází mi vnitřní paměť), marně čekám až se na trhu objeví použitelný telefon kompaktních rozměrů. Do té doby bych rád měl bezpečnostní aktualizace.

Co je špatného na 4 roky starém telefonu?

Vůbec nic na tom není špatného. Spousta lidí to preferuje.

Do té doby bych rád měl bezpečnostní aktualizace.

To musí výrobci pokrýt vybrané peníze. Byly pokusy výrobců nabídnout delší období, ale ustoupilo se od toho. Zvýšila se tím cena telefonu a poklesl zájem.

Standardem, se kterým se musí počítat (v dobrém i zlém) jsou dva roky.

Však v pohodě. Se 4 roky starým telefonem principiálně taky nemám problém, ale když chci telefon používat takhle dlouho, tak by bylo vhodné na to myslet už při koupi a nepořizovat si levnou značku, která šetří mimo jiné na délce podpory.

Můžete mi uvést příklady výrobců, kteří to zkusili a ustoupili od toho? Já naopak pozoruji čím dál víc výrobců, kteří to podporu natahují a drží se toho. Třeba Samsung, který zmiňuju níže v diskusi. Když jsem si od něj před lety koupil Galaxy S4 Mini, byl tam Android 4.2, pro který jsem nedostal nikdy žádnou aktualizaci. Dnes ten samý výrobce garantuje 4 roky bezpečnostních aktualizací u většiny modelů.

Jinak není to jen o penězích. Daný hardware zamrzne v čase, zatímco software se vyvíjí. V určitý moment prostě ten hardware na nový software nestačí. Typicky to je takový webový engine. Tam každý jede rolling release, protože to je tak komplikovaný software, že backportovat opravy do roky staré verze je prakticky nemožné, i kdybyste na to měl velký tým zkušených vývojářů. A používat aktuální prohlížeč na 10 roků starém telefonu prostě taky schůdné není.

Z tohoto pohledu je ta hranice morálního zastarání chytrého telefonu někde kolem těch 5 let. Jestli si někdo očekává, že bude moc používat telefon se všemi bezpečnostními opravami a podobným komfortem třeba 10 let, tak je naivní. Toho je těžké dosáhnout, i kdyby do toho výrobci nalili násobně víc peněz.

Sranda s tím bude ještě třeba v automotive, kde dnes v autech mají plnohodnoté systémy včetně webových enginů. A u takového auta se očekává životnost i těch 20 let a automobilky poptávají software s takto dlouhou podporou, ale nabídka není, protože to je prostě hodně těžké. Ani bych se nedivil, kdyby se to nakonec řešilo modulárně a oni vám v servisu po 10 letech vymontovali starý palubní počítač a dali tam nový s hardwarem, který ten software bude zvládat dalších 10 let.

Není na něm špatného nic, jen ve většině případů je takové zařízení už bez podpory (a jeho akumulátor už v horším stavu, displej leckdy taky atd atd atd). PS: já mám stávající telefon 2,5roku a neplánuji jej obměnit, dokud bude uspokojivě fungovat.

Tak nechám vyměnit baterku. Já to tak u 5 let starého mobilu udělal. Naštěstí, výrobce bezpečnostní aktualizace stále dodává. Takže se kvůli mě nemusel vyrábět nový mobil a můžu pokračovat dál.

???
To jste se všichni zbláznili?

Kdybych si chtěl měnit matlafoun každý rok, tak za něj určitě nebudu dávat deset tyček.

AndroidOne maji bezpecnostni mesicni aktualizace 3roky od uvedeni na trh, tys nemel AndroidOne a navic 4roky od uvedeni...

takze staci kupovat i za ~2500Kc telefon s AndroidOne 1x za 3 roky ;-)

Ano, teď už to vím.

I když viz níže.

Nejjistější varianta asi je vybrat si takové zařízení, které se dá rootnout a existuje pro něj alternativní systém.
(a ano, spoléhat na to, že výrobci něco nepřeletí přes nos a nezablokuje to, viz třeba konkrétně ten Honor, :-/)

Mám tu 14 let starý telefon.
Překvapivě, pořád funguje jako telefon.
A na potvrzovací SMS taky dobrý.

Baterka už je tam třetí, na jedno nabití vydrží už jen 6 dnů.

Když na tomhle není moc co updateovat, když to skoro nic neumí... A ty bezpečnostní chyby tam zůstávají navždy.

To, že tam není co aktualizovat beru jako výhodu.
Prostě, když je jeden systém permanentně v bezpečnostních problémech, tak to co je potřeba, aby bylo bezpečné, mám na jiném zařízení (Sony Ericsson J10i2).

Mám i "novější" telefon kterému je jen 8 let, s Androidem 4.4.4, kde si užívám výdobytků moderního světa, ale mám na něj samostatný Google účet, který nepoužívám na nic dalšího.

IMHO je to v porovnání s běžným chováním spotřebitelů:
* bezpečnější
* levnější
* ekologičtější
* praktičtější
* zdravější (nekoukám do něj tak často)

Přesně proto už v rodině kupujeme jen telefony z programu Android One, případně Pixely (dříve Nexy). Jsou tam telefony okolo pěti tisíc korun i dražší kousky. Pro mě je bezpečnostní podpora v telefonu naprostou nutností.

Uplne nechapem tvoj prispevok.
Z akeho dovodu preferujes Nokiu?
Ako tu bolo spominane, tak Honor 8 je 4 roky stary smartfon a tvoja Nokia tiez nema garantovanu taku dlhu podporu(vyrobca garantuje len 3 roky). Ten Honor dostal rovnako 2xupgrde (z 6 na 7 a 8). Tak kde je rozdiel?

Android One program tiez nic extra neriesi. Ten tiez garantuje 2 upgrady a opavy len 3 roky. To je malo.
Mam 6 rocny smarfon, ktory je funkcny ale podporu nema uz niekolko rokov. Mam ho vyhodit?
Teraz som flashol jeden Sony smarfon na Sailfish X a uvidim ci sa to bude dat pouzivat a co u nich znamena dozivotna podpora.

Na delší podporu není potřeba AndroidOne. Třeba Samsung má u většiny svých modelů (i těch levnějších) garantovanou podporu 4 roky (první dva roky upgrady, 3 rok měsíční aktualizace, čtvrtý rok čtvrtletní).

Pokud chcete aktuální systém u laciného telefonu, dejte si do něj LineageOS. Možná nebudete mít oficiální verzi, ale pokud je dotyčný telefon alespoň trochu rozšířený, bude k dispozici mod na XDA developers.

Jak moc důvěryhodná taková neoficiální ROM z komunitního serveru je? Nevyměňuje tím člověk "známé" zranitelnosti oficiálního OS za neznámé "chyby/backdoors" neoficiálního OS?

Pokud to je oficiální build od LineageOS například, tak je to asi docela bezpečné. Sestavení probíhá rovnou z repozitáře a je podepsáno neveřejnými klíči.

Pokud to je build ode mě (reálný příklad) můžu tam teoreticky nacpat cokoliv a buď mě věříte nebo ne :-)

Btw. ano LineageOS má toto patchnuté, ale ne všechno lze takhle snadno opravit, jsou typy chyb, které se musí opravit buďto v mezivrstvě nebo v kernelu. V horším případě nějaký bastl který se pokusí něco blokovat, než se to dostane k FW který je obvykle zamrzlý (Qualcomm neřeší starší SoCy)

Nakolko su tie XDA buildy bezpecne? Nemam s tym skusenosti, len ma to zaujima.

Je to systém "Víc očí víc vidí". Ty buildy uvádí nějaký vývojář a je to jeho vizitka. Čím déle působí, tím více se mu dá věřit. Obecně to je bezpečnost k ničemu, ale podobně vám nikdo nezaručí, že ve Windows nejsou zadní vrátka...

Ide mi skor o to ci je zdrojak verejny a ci buildy idu z nejakej zabezpecenej masiny cez tagy.
Lebo alternativa ze zdrojak nie je verejny alebo ze build robi vyvojar zo svojho workspace nezarucuju ziadnu konzistentnost ktora je jednym z predpokladov bezpecnosti.

Původní build je z LineageOS. Vývojář výsledek stáhne a zkombinuje s oficiální verzí. Obvykle je popsáno, co přidal/změnil. Git používají jen někteří. Jde spíše o komunitní bezpečnost. Vidíte vývojáři mu pod ruce a máte možnost si to prohlédnout a on si buduje nějakou pozici. Asi jako Linux kernel před dobou s Git (resp. BitKeeper).
Ale jak říkám - to že není kód modifikován, vám nikdo nezaručí ani u komerčního dodavatele (ti obvykle ani nepoužívají Git, aby věděli, co se s kódem děje).

O backdooroch vo Windows sa snad nema zmysel bavit.

Je to systém "Víc očí víc vidí". Ty buildy uvádí nějaký vývojář a je to jeho vizitka. Čím déle působí, tím více se mu dá věřit. Obecně to je bezpečnost k ničemu, ale podobně vám nikdo nezaručí, že ve Windows nejsou zadní vrátka...

Zajímavě pokroucený pohled na věc.
Vývojář není živ z vizitky, ale z peněz. Vizitka mu je maximálně může přinést.

U Microsoftu víte, že dělají vše pro to, aby udrželi přízeň zákazníka (ať už to znamená cokoliv). Vydělají na licencích a online službách. Toto si nebudou chtít ohrozit, je to jejich čitelný zájem. Firma si své zaměstnance podchycuje a kdyby udělali něco "na vlastní triko", má páky se bránit (žalovat).

Neznámý vývojář může mít dobře placenou práci, nebo se taky topit v dluzích. Vývoj alternativního OS mu možná přináší zajímavé pracovní nabídky, ale taky možná ne. Možná že je pro něj zajímavější do kódu propašovat něco špatného - třeba na zakázku, nebo i sám pro sebe. Taky některé chyby může propustit, i když o nich ví - protože prostě zadarmo už nemá víc prostoru je opravovat. Zkrátka pozice a motivace je nečitelná a k tomu víme, že nenese žádnou odpovědnost (ani vůči Vám, ani vůči neexistujícímu zaměstnavateli).

Pokud bych tedy porovnával rizika, tak XDA Developers buildy by byly z tohoto porovnání dopředu vyřazené, není je o co opřít.

Pokud by to bylo, jak píšete, neexistoval by (a nedal se použít) žádný OpenSource software. Naštěstí to není tak černé, jak malujete.

Vlastně je to černější. Tristní stav Windows (a dalších big SW firem) a nikdy reálně neřešené problémy s malware je realita. Stejně jako to, že vám Microsoft nikdy nic nedá, i když problém způsobí. Zato tvrdě ztrestá jakékoliv médium/jednotlivce, který si dovolí otevřeně poukázat na trestuhodné zanedbávání bezpečnosti (měsíce i roky ignorované problémy, případně tvrzení, že to je "by design" atd.).