💰 🤯 ⛲️ لا أحد يهتم بأمن هواتف Android غير المؤمنة 👸🏽 🏇🏽 👩🏻‍✈️

لا يمكن أن تشارك أمازون في إطلاق المنتج الرئيسي ، الذي له باب خلفي ، ويرسل سرا جميع معلوماتك الشخصية إلى خادم غير مفهوم في الصين. بالطبع ، كان مطوروهم أو شريكهم في الإنتاج قد اكتشفوا هذا السلوك أثناء تدقيق أمني روتيني. لا يمكن أن يحدث ، أليس كذلك؟

لا يهتم أحد بأمان هواتف Android التي تم إلغاء قفلها وغير المرتبطة بمزود ، والتي يتم بيعها في الولايات المتحدة (والعديد من المناطق الأخرى). الشركات المصنعة للمعدات الأصلية التي تصنع وتزود هواتف أندرويد لا تبالي. جوجل ، مزود منصة أندرويد ، لا تبالي. تجار التجزئة مثل Amazon و Best Buy ، الذين يبيعون ملايين هواتف Android سنويًا ، لا يهتمون. الأسوأ من ذلك كله هو أن المستخدم العادي لا يهتم بأمن الكمبيوتر حتى يحدث شيء سيئ ، وهذا هو سبب استمرار كل شيء.

كان هذا هو الحال دائمًا مع أجهزة Android ، ولكن Google بدأت تأخذ هذا الموقف بجدية أكبر في صيف عام 2015 ، عندما تم الإبلاغ عن خطأ Stagefright على نطاق واسع في وسائل الإعلام. يقول خبراء الأمن أن أجهزة Google ، Nexus و Pixel ، اقتربت من iOS بمعايير الأمان ، ولكن بشكل عام يزداد الوضع سوءًا عندما يشتري معظم المستهلكين الهواتف الذكية ببرنامج غير مدعوم من Google.

لقد استذكرنا هذه المشكلة الخطيرة عندما اضطرت أمازون إلى استدعاء هاتف BLU R1 HD ، الأكثر مبيعًا ، بعد أن اكتشف أخصائي أمن بابًا خلفيًا مخفيًا فيه بفضل "مزيج من الفضول والمصادفة المحظوظة". هذه الأجهزة ، بالإضافة إلى بعض نماذج BLU الأخرىجمع المعلومات الشخصية وإرسالها إلى خادم في الصين كل 24-72 ساعة. لم يكن هذا السلوك ملحوظًا للمستخدم. تضمنت البيانات الموقع الدقيق للجهاز ، والرسائل النصية ، وقوائم جهات الاتصال ، وسجلات المكالمات ، والتطبيقات المثبتة ، وما إلى ذلك.

قال مدير BLU لـ NYTimes "من الواضح أننا لا نعرف أي شيء عن هذا" ، واعترف بخطأ. وعلى الرغم من أنه من الجيد أنها قامت بإصلاحه بسرعة كبيرة ، إلا أنه من المقلق للغاية أنه لم يتم التقاطه من قبل BLU أو Amazon منذ إطلاق الهاتف في يوليو 2016.

كيف يمكن أن يحدث هذا؟

بصراحة ، لا يمكنني أن أتخيل كيف يمكن لمثل هذه الدعامة أن تدخل السوق ولا تمر دون أن يلاحظها أحد لفترة طويلة ، لذلك أجريت القليل من البحث. لقد عملت مع مصنعي Android OEM ، ولدي فهم مشترك بأن جميع إصدارات البرامج مع خدمات الجوال من Google يجب أن تجتاز اختبار Compatibility Test Suite (CTS). فتحت محادثة قصيرة مع خبراء أمان الكمبيوتر عيناي حول كيفية استمرار مشاكل الأمان الخطيرة.

تحتفظ Google بقائمة سوداء من البرامج السيئة التي لا يمكن توصيلها بهواتف Android. لقد فوجئت بأن Google و BLU كانوا على علم بإحدى نقاط الضعف المرتبطة بتطبيق ADUPS في شرائح Mediatek في عام 2015 - قبل عام من إصدار BLU R1 HD. فريق الأمن النجا الأحمروجدت الثغرة الأمنية في 1 مارس 2015 وبذلت محاولات عديدة لإزالتها ، لكنها واجهت حقيقة أن " BLU ليس لديها قسم أمني ، وبالتالي لا يمكن أن يساعد ."

بعد صمت Mediatek وعدم وجود مساعدة BLU ، قبلت Google أخيرًا التصحيح في CTS للتحقق من مقبس نظام ADUPS. كان يجب أن يحل هذا المشكلة ، ولكن بعد ذلك قام Mediatek ببساطة بتغيير اسم المقبس لخداع فحص CTS.

ببساطة ، لا تكتشف CTS من Google نقاط الضعف التي لا تعرف عنها. و Mediatek هو مرتد يتجنب بشكل دوري اختبار CTS ، ويصفه بعض الخبراء من صناعة الأمن بأنه أسوأ مصنع للشرائح.

على الرغم من أن Mediatek تتمتع بسمعة أمنية ضعيفة ، إلا أنها لا تزال تفوز في مسابقات التطوير لأنها تقوم بكل العمل الشاق لشركاء OEM الذين يختارون منصاتهم. إذا كنت ترغب في تشغيل جهاز بسرعة وبتكلفة زهيدة على Android ، فإن Mediatek غالبًا ما يكون حلاً ميسور التكلفة.

هل يمكن تجنب ذلك مرة أخرى؟

نحتاج جميعًا إلى القلق بشأن الأبواب الخلفية المخفية ، ولكن المشكلة الأكثر خطورة هي نقاط الضعف المعروفة التي لا يتم إصلاحها في معظم أجهزة Android. تحاول Google حل هذه المشكلة من خلال الانتباه إليها. تنشر الشركة مراجعات الأمان الشهرية ، ونشرات أمان Android ، وتجبر مصنعي المعدات الأصلية على إظهار مستوى تصحيح أمان Android في إعدادات الجهاز.

بعد أن أجبرت لجنة التجارة الفيدرالية (HTC) شركة HTC على إصلاح الثغرات المعروفة في عام 2013 ، اتخذت الشركات المصنعة للمعدات الأصلية وشركات الاتصالات اللاسلكية بعض الإجراءات ، وتتلقى معظم الأجهزة الرئيسية المباعة في المتاجر التحديثات بانتظام. ولكن لا تستقبلها جميع الأجهزة ، وليس هناك ما يضمن دعم الأجهزة لفترة طويلة.

لا يأتي التقدم إلا عندما ينكسر شيء ما ، وتبدأ وسائل الإعلام بمضايقة Google وشركائها. على سبيل المثال ، أجبر Stagefright المذكور بالفعل لجنة الاتصالات الفيدرالية ولجنة التجارة الفيدرالية على توحيد قواهما من أجل "فهم أفضل للأجهزة المحمولة وتحسينها ، ونتيجة لذلك ، لم يتم نشر نتائج هذه الدراسة بعد.

يمكنني أن أتنبأ بما سيخلصون إليه في تقريرهم. لا يوجد حافز للشركات المصنعة الأصلية للاستثمار في دعم تصحيحات أمان الجهاز بعد إطلاقها. يستغرق إصدار التحديثات وقتًا ومالًا ، ولا يؤثر هذا الاتجاه على عملية اتخاذ قرارات المستهلكين. لا ترغب معظم الشركات المصنّعة للمعدات الأصلية في إنفاق أموال إضافية على تحسين الأمان ، طالما أن المستهلكين لا يرغبون في دفع ثمنها.

من يمكنه إصلاح هذا؟

يجب إلقاء اللوم على سلسلة التوريد بأكملها ، ولكن في المستقبل القريب لا ينبغي أن نتوقع حدوث تحسن. بعض الأفكار حول ما يمكن أن يفعله لاعبون مختلفون لتحسين أمان هواتف Android.

جوجل : تحتفظ بقائمة من الشركات المصنعة الأصلية الجيدة والسيئة حول كيفية الحفاظ على الأمان وإصدار التحديثات ، ويشاع أنها تخجل علنا أسوأ الشركات المصنعة - ولكن ذلك سيضر بالعلاقة مع الشركاء. إذا كانت Google تريد حقًا تحسين الأمان ، فقد تجد طريقة لإخبار المستهلكين عن مصنعي المعدات الأصلية ومصنعي المكونات والشركاء الآخرين الذين لا يجيدون حماية بيانات المستخدم. على سبيل المثال ، هل تشعر بالأمان عند شراء منتجات BLU أو جهاز مزود بشريحة من Mediatek؟ قد تغير Google مواصفاتها التالية بهذه الطريقةمستند تعريف توافق Android ، من أجل طلب تسليم الأجهزة مع تصحيح أمان من المستوى المناسب ، والحفاظ على هذه الأجهزة لبعض الوقت.

OEM : عندما عملت لدى Huawei ، حاولت الانتباه إلى مشكلات الأمان من خلال العمل مع فريق الشرف الدولي على برنامج سياسة تحديث البرامج الذي يستمر لمدة 24 شهرًا . ولدهشتي ، لم يرغب فريق التسويق في ذكر ذلك أثناء إطلاق المنتج ، لكنني فخور بأننا في تلك اللحظة أصبحنا المصنع الأصلي الوحيد الذي كان له قواعد مماثلة. هم ليسوا كاملين ، لكنهم أفضل من لا شيء. تضمن Google فقطإصدار التحديثات المتعلقة بالأمان بعد 3 سنوات من إطلاق أجهزة Pixel و Nexus. أود المزيد من مصنعي المعدات الأصلية لأخذ هذه المبادرة وتطوير قواعد تحديث البرامج الخاصة بهم.

تجار التجزئة : فعلت Amazon الشيء الصحيح من خلال تعليق BLU R1 HD ، ولكن باتباع هذا المنطق ، يحتاجون إلى حظر أجهزة البيع الأخرى ذات المشكلات الأمنية المعروفة. عند اختيار جهاز في متجر أمازون ، يسهل على المستهلك معرفة الشبكات التي سيدعمها ، ولكن لا توجد معلومات حول مستوى الأمان الذي يوفره.

متصفحات التكنولوجيا: استمر في الإبلاغ عن السلوك السيئ لـ Android OEM. تركيز الانتباه في المراجعات على كيفية دعم البرنامج وتاريخ تحديثاته. ثقف جمهورك حتى يتمكن الناس من اتخاذ قرارات شراء مدروسة.

المستهلكون : أود أن أحثك على التصويت مع محفظتك وشراء الأجهزة من الشركات التي تأخذ أمانك على محمل الجد - ولكن اختيارهم محدود للغاية. بالإضافة إلى هواتف Nexus السابقة و Pixel الحالية ، لا تتوفر العديد من الخيارات للأشخاص الذين يقدرون خصوصيتهم وأمنهم.

لا أحد يهتم بأمن هواتف Android غير المؤمنة

كيف يمكن أن يحدث هذا؟

هل يمكن تجنب ذلك مرة أخرى؟

من يمكنه إصلاح هذا؟

More articles: