מהם עדכוני האבטחה של אנדרואיד ומדוע הם חשובים?

וִידֵאוֹ: WHAT IS ANDROID SECURITY PATCH, IS IT IMPORTANT TO INSTALL ? 😱😮

תוֹכֶן

מהם עדכוני האבטחה ב- Android?
מדוע תיקוני אבטחה חשובים?
אילו טלפונים מקבלים עדכוני אבטחה?
שיטות עבודה מומלצות לאבטחת Android
מה לגבי פגיעויות של יום אפס וניצול של אפס יום?
לעטוף

יתכן ששמת לב שמעת לעת, הטלפון החכם אנדרואיד שלך מבקש ממך להוריד ולהתקין גרסה חדשה של הקושחה שלה. אולי בפעם הראשונה שזה קרה אתה חושב שאתה מקבל עדכון לגרסה האחרונה של אנדרואיד, או אולי נוספו כמה תכונות חדשות ומסודרות. אך בסופו של דבר זה התגלה כעדכון אבטחה אנדרואיד "משעמם"! אמנם עדכוני האבטחה באנדרואיד אכן משעממים, אך הם חשובים מאוד.

בואו נסתכל על תיקוני האבטחה האלה, ועל אבטחת Android באופן כללי, כדי לראות מה כל המהומה!

מהם עדכוני האבטחה ב- Android?

לעתים קרובות נאמר כי "לטעות זה אנושי" ובעוד, כמו שאומר אלכסנדר פופ, "לסלוח זה אלוהי", תגלה שמחשבים והאקרים ולא מאוד סולחים! בכל פעם שנכתבת תוכנה היא מכילה באופן טבעי טעויות, או באגים כפי שמפתחים רוצים לקרוא להם. ניסיון לצמצם את מספר הבאגים הללו הוא אחת ממטרות המפתח של מהנדסי תוכנה. ראשית, על ידי ניסיון לתפוס את הבאגים בזמן כתיבת התוכנה. שנית, על ידי תיקון הבאגים ברגע שנמצאו.

ישנם שני סוגים של באגים. ראשית, באגים הגורמים לתוכנה להתנהג בצורה לא נכונה. נניח שאתה מקליד את "001.300 * 02.7000" ליישום המחשבון וזה נותן לך את התשובה של 2.51. ברור שמשהו לא בסדר, אולי האפסים הנוספים האלה גרמו לתוכנה להתנהג במפתיע? לאחר שהתגלה הבעיה, ניתן לתקן את התוכנה ולשלוח עדכון למשתמשים. באגים אלה הם בדרך כלל מטרד, ואם הם מספיק חמורים יכולים להשפיע על מכירות / מוניטין של המותג וכו ', אך הם בדרך כלל אינם מסוכנים (אך יותר מכך ברגע).

הקטגוריה השנייה של הבאג היא כזו שמשפיעה על אבטחת התוכנה והמכשיר עליו הוא מותקן. לכן, כדוגמה פשוטה, אפליקציה עשויה לבקש שם משתמש וסיסמא. באג יכול להתקיים כאשר המשתמש מזין את השם הנכון אך משאיר את הסיסמה ריקה אז למשתמש ניתן גישה. זה אולי נשמע מטופש, אבל זה באמת קרה. כעת יש באג המאפשר גישה לא מורשית לנתונים פרטיים. רוב באגי האבטחה הרבה יותר מסובכים וניואנסים מזה. אך במהותה, שגיאה בתוכנית מאפשרת לצד שלישי לקבל גישה שלא הייתה צריכה להיות להם. לאחר שנמצא באגים אלה הם צריכים לתקן במהירות ולהיפרס במהירות כדי להגן על המשתמשים.

לפעמים ניתן לתפעל באגים בקטגוריה הראשונה, באגי ההתנהגות הבלתי צפויים, באופן שהם הופכים לבאגים בקטגוריה השנייה.

אז עדכון אבטחה לאנדרואיד הוא קבוצה מצטברת של תיקוני באגים הניתנים לשלוח באוויר למכשירי אנדרואיד כדי לתקן באגים הקשורים לאבטחה.

מדוע תיקוני אבטחה חשובים?

לאחר התקנת תיקון אבטחה חדש במכשירכם תוכלו לראות שום הבדל בפונקציונליות שלו בכלל! נראה כמעט שהעדכון לא השיג דבר. אבל זה כמובן אופי תיקוני באגי האבטחה. אתה לא שם לב אליהם מכיוון שהם מטפחים חורים, לעיתים קרובות חורים קטנים מאוד, בביטחון המכשיר.

לדוגמה, יכולה להיות פגיעות שבה אתה מקבל SMS בתווים מעורבים של קוריאנית ורוסית שאורכה 160 תווים בדיוק, ואז היצירה החכמה של הטקסט בפחית יכולה להפעיל באג שבתורו ניתן להשתמש בו כדי לפתוח חור בהגנות המכשיר שלך. אני לא מקבל הרבה כאלה כאלה, כך שאם הבאג יימצא ותוקן הייתי לא החכם יותר. אבל הנה העניין: כאשר האקרים מגלים את הבאגים האזוטריים האלה, הם עוסקים בתיקים מיוחדים ושולחים אותם לאנשים ממוקדים במטרה להשיג גישה למכשירים שלהם. מי שממוקד פגיע לפגיעותיהם של פושעי הסייבר הללו. בסוף אתה רואה SMS מוזר, מצחצח מעט ומוחק אותו. אבל אינך יודע שהטלפון שלך נפגע.

לאחר התקנת תיקון אבטחה חדש במכשירכם תוכלו לראות שום הבדל בפונקציונליות שלו בכלל!

לכן, תיקוני אבטחה חשובים מכיוון שהם מגנים על הטלפון שלך מפני האקרים שיהיו מעוניינים לגשת למכשיר שלך. רק דמיין את כל הנתונים שנמצאים בטלפון שלך. תשכח מתמונות ו- WhatApps s. מה עם בנקאות? קניות באמזון? eBay? Google Pay? יש רשימה ארוכה של דברים שיכולים לעניין האקר.

אילו טלפונים מקבלים עדכוני אבטחה?

תיאורטית, כל סמארטפוני האנדרואיד צריכים לקבל כשנתיים של עדכוני אבטחה. עם זאת, המציאות לעיתים קרובות שונה מאוד. ככה צריך העבודה היא כזו: גוגל מתקן באג שקשור לאבטחה ב- Android. גוגל מפרסמת את השינויים הללו ב- AOSP ו / או מודיעה לשותפיה (כל יצרן ציוד מקורי שיש לו מכשיר אנדרואיד מוסמך של גוגל). גוגל למעשה עושה זאת על בסיס חודשי. יצרני הטלפונים החכמים משלבים את התיקונים הללו בקושחה שלהם, ובמידת הצורך נותנים עותק למובילים. לאחר מכן המאשרים מאשרים את התיקונים ולבסוף, השחרור נשלח למכשירים באוויר.

זה עובד טוב מאוד בטלפונים של גוגל כמו בטווח הפיקסלים. זה עובד גם טוב על מכשירי Android One שמתוחזקים בעיקר על ידי גוגל. זה עובד גם טוב עבור מותגים גדולים. לדוגמא, סמסונג גלקסי נוט 8 הושק באוגוסט 2017. יש לי כזה ויכול לאשר שהוא קיבל עדכונים קבועים (כמעט עדכונים חודשיים). למעשה, הוא שודרג גם ל- Android 9.0 Pie.

אבל, עבור כמה מותגים בינוניים, עדכונים יכולים להיות ספורדיים יותר, ואילו עבור מותגים קטנים יותר הם לרוב אינם קיימים! היעדר עדכוני האבטחה יכול להוות בעיה אמיתית. נראה כי לחלק מהיצרניות הסמארטפיות יש מנטליות "למכור אותה ושכח אותה". המשמעות היא שיש מיליוני טלפונים אנדרואיד (בני פחות משנתיים) בידי צרכנים שאינם מקבלים עדכוני אבטחה, מה שמותיר אותם חשופים לכל מיני התקפות. בצד הפלוס, גוגל יודעת שזו בעיה ורוצה לתקן אותה!

שיטות עבודה מומלצות לאבטחת Android

לא משנה באיזו תדירות המכשיר שלך מקבל תיקוני אבטחה, ראוי לציין את שיטות העבודה המומלצות הבאות לאבטחת Android:

אל תלחץ על קישורים בהודעות דוא"ל, WhatsApp, Facebook Messenger או SMS אלא אם כן אתה בטוח לגבי מקור הקישור ולאן הוא ייקח אותך.
הקפד לשמור על האפליקציות שלך מעודכנות, כולל Chrome ואפליקציות אחרות של Google.
השתמש בסיסמאות ייחודיות: אל תשתמש באותה סיסמה בחשבונות מרובים. פעולה זו היא כמו שימוש באותו מפתח למספר בתים: זה מגדיל את סיכון האבטחה שלך. אם זה נשמע כמו יותר מדי טרחה, השתמש במנהל סיסמאות.
הגן על חשבונותיך באמצעות אימות דו-שלבי: גם אם שם המשתמש והסיסמה שלך נגנבים כאשר אימות דו-שלבי מופעל בעזרתה להרחיק את התוקפים.
קח את בדיקת האבטחה של גוגל: זה קל לעשות זאת (g.co/securitycheckup) ומנתח את מצב האבטחה של חשבון Google שלך.

מה לגבי פגיעויות של יום אפס וניצול של אפס יום?

יש היבט אחד של אבטחת Android שלא מכוסה בעדכוני האבטחה החודשיים. פגיעויות באפס יום. אלה באגים שגוגל לא יודע עליהם, אבל מישהו אחר כן יודע. הם באגי אבטחה שלגוגל היו אפס ימים לנסות ולתקן. מה שקורה כאן הוא שחברות שנקראות "מחקרי אבטחה", או פושעי סייבר, מנסות למצוא באגים באנדרואיד ואז ברגע שגילו שהם לא מספרים לאף אחד. הם הופכים לארסנל סודי שיכול לשמש לאמצעים מזעזעים.

מכיוון שארסנל זה הוא סודי וקשה לרכישה, פגיעות אלה באפס יום הן יקרות ערך. הם מתרגלים באחת משתי דרכים. הם נמכרים לגורמים עם הרבה כסף, כמו כוחות הביטחון של מדינת לאום, או שהם משמשים ישירות על ידי פושעי הרשת במתקפה מאסיבית כדי לנסות להונות את האנשים בכסף.

בשני המקרים הם יכולים להיות קטלניים, תרתי משמע, כפי שראינו לאחרונה עם מותו של ג'מאל חש'וגי. ברגע שהפגיעויות הללו של יום אפס מתחילות להשתמש בפומבי (בטבע), לעיתים קרובות לא עבר זמן רב עד שגוגל מסוגלת לבודד את הבעיה ולהוציא תיקון. שוב, מדגיש את הצורך להתעדכן בטלפון עם תיקוני האבטחה החודשיים.

לעטוף

אבטחה, כמו גיבויים, יכולה להיות משעממת. הבעיה בגיבויים היא שרוב האנשים לא חושבים עליהם עד שאיבדו את כל הנתונים שלהם. באופן דומה, רוב האנשים לא חושבים על אבטחה אלא לאחר שנפרץ חשבון הדואר האלקטרוני שלהם, או שביצעו חיובים הונאה באמצעות הבנקאות המקוונת שלהם.

תמיד יהיה מרכיב של סיכון, אך עדכוני האבטחה באנדרואיד מספקים דרך להפחית את הסיכון תוך שיפור היציבות והאמינות של המכשיר שלך. בשורה התחתונה, בכל פעם שהטלפון שלך אומר שיש לו עדכון, התקן אותו.