Samozřejmě nepoužívat největší softwarový odpad za posledních 25 let - Android. Tento produkt nevytvořila technologická (narozdíl od Apple nebo Microsoft), ale reklamní společnost. Cílem bylo jediné, zvýšit počet zobrazovaných reklam a zároveň nasbírat co nejvíce dat o zákaznících. Než začnete reagovat, že Apple a Microsoft to přece dělá také, tak zde jeden podstatný rozdíl. Apple a Microsoft stále prodává především produkty a služby, příjem z reklam je marginální, narozdíl od Google, pro kterého je to primární a zároveň jediný zdroj. Proto se zde musí tolik snažit, jde mu o přežití.
Android porušuje naprosto všechna pravidla bezpečnosti. Jsou v něm stovky chyb [1], které nikdo neopravuje. Co hůře, pokud už chybu někdo opraví, tak tato oprava není buď doručena včas na všechny přístroje nebo dokonce vůbec [2] (jak Apple tak Microsoft doručí opravy na všechna zařízení do 24 hodin od jejich vydání). Aby to bylo ještě horší, někteří výrobci o instalovaných aktualizacích záměrně lžou [3], takže ve skutečnosti žádná oprava nebyla instalována a zařízení je snadno napadnutelné. Některé modely jsou napadeny malware již z výroby a neodstraní jej ani uvedení do továrního nastavení. Ten "systém" je zkrátka z principu neopravitelný.
Zde mají ale svoji vinu i banky, které o všech těchto problémech předem ví, nicméně to nakonec zaplatí zodpovědní klienti.
Odkazy:
[1] https://www.cvedetails.com/top-50-products.php?year=2017
[2] https://twitter.com/SecX13/status/968225118517452800
[3] https://www.cnews.cz/android-chybejici-aktualizace-bezpecnost-srl-1200-zarizeni
Protože nikoho nebaví krmit trolla.
Máte jeden web, ten odkazujete při každé zmínce o Androidu jako šílený, všechna argumentace už tady byla. Proč vám to máme opakovat pořád dokola?
https://www.cvedetails.com/ není ultimátní a úplný zdroj pro dokazování čehokoli. Velmi jednoduchý příklad:
Pro CVE-2018-8383 tam vůbec neexistuje záznam, přestože chyba existuje a postihuje jak MS tak Apple:
https://nvd.nist.gov/vuln/detail/CVE-2018-8383
https://www.cvedetails.com/cve/CVE-2018-8383/
Nemáte vůbec ponětí, kolik těch chyb je, jakého typu a jak dlouho trvá jejich odstranění. Kdybyste si zaplatit Flexera(Secunia) Advisories survey, pravděpodobně byste se rozbrečel nad tím, jakou statistiku mají MS i Apple v otázce ohlášených ale nezáplatovaných chyb. Je naprosto tristní.
Ale vy tady budete donekonečna okazovat cvedetais, přestože s tím neumíte pracovat, nevíte co to znamená, ale máte nějakou obsesi v nadávání Androidu. Takže ne, krmit trolla nikoho nebaví.
To znamená, že příště už tady nebudete spamovat s cvedetails? Oba víme, že budete.
To byla reakce taky na [2]. Jestliže podle politiky MS nebo Apple se chybě nepřiřadí CVE, pak nám tady vy, MS i Apple tvrdíte, že chyba neexistuje. Což je skutečně komické.
Jinak updaty čistého Androidu chodí stejně rychle jako IOS nebo WP. Pokud někdo používá Ťamťung a spol, kteří si řeknou 20k+ za telefon a neobtěžují se s aktualizacemi, je to problém Samsungu a zákazníka. Nikoliv problém Androidu. Ten si na rozdíl od IOS dokonce můžete sám zauditovat na věci typu NSA backdoory. U binárních sraček nemáte jak.
[2] je o tom, že naprostá většina výrobců, kromě Google, nedoručuje aktualizace včas (do 24 hodin od vydání) nebo dokonce vůbec. Vzhledem k tomu, že jde o majoritní množinu existujících Android zařízení asi víte, jaké to má důsedky. O velmi krátké podpoře (často ani ne dva roky) nemluvě.
A [3] je o tom, že opět velké množství výrobců záměrně lže o provedených aktualizacích, což opět jev, který na solidní platformě od Apple nebo Microsoft nenajdete.
Takže i když můžete rozporovat počet ne/opravených chyb [1], další skutečnosti jsou stále natolik závažné a předem známé, že označení "odpad" je stále velmi mírné. Zváště proto, že ze strany Google je naprosto nulová ochota tento stav zlepšit.
Skutečnost že nějaké jedno promile pokročilých uživatelů si dokáže tyto naprosto fatální nedostatky samo napravit neřeší problém celku.
To že OEM výrobci ignorují aktualizace ale nikdo nerozporuje. Chcete-li se vyjadřovat k Androidu, musíte říct, kterému. AOSP, Google telefony a rychle roustoucí počet Adnorid One telefonů mají aktualizace zcela standardní.
Aha. Takže když Samsung "lže" o instalované aktualizaci, je to "odpad". Ale když Apple "lže" že chyba neexistuje ( a nepřidělí cve), je to vlastně super :-) Děkujeme za vysvětlení.
IOS a WP trpí naprosto stejnými problémy jako Google Android, bez ohledu na to, jak moc na růžovo si to malujete. Podle mě není dostatečně důvěryhodná žádná platforma, kromě auditovatelné AOSP (což je ovšem systém, který na telefonech v prodeji není)
Ale v tom je celý problém. Pokud je mechanismus aktualizací špatný, což v tomto případě je, a dodavatel o tom dlouhodobě ví a neprojevuje žádnou snahu o zlepšení, tak co si o tom myslet. Přitom řešení je plno, například odebrání licence OEM, který na aktualizace kašle. Jenže tady stále chybí zájem to řešit, který u reklamní společnosti nikdy nebude, dokud to neovlivní zobrazování reklam.
Nejen Samsung, ale podle [3] prakticky všichni s vyjímkou dvou (hw podřadných) Google přístrojů. A to je trochu málo. Ano, Apple se chová v případě zveřejňování chyb jako Microsoft před 15 lety, stále ale netvrdí, že instaloval neexistující aktualizace. To už je poněkud příliš.
iOS a WP naštěstí neumožňuje žádné výrazné modifikace, takže systém je všude stejný a pod kontrolou. Důvěryhodnost začíná u dodavatele a tam je Google s jeho byznys modelem založeným výhradně na získáváni dat uživatelů k následnému prodeji cílené reklamy partnerem značně problematickým. Což neustále i potvrzuje.
A ještě poslední odkaz Google admits Android wasn’t designed to be safe
Teď kdyby si to přečetl ještě někdo v bance :-)