Dat is wat ik hoorde van een welbewuste beveiligingsbewuste vriend terwijl hij het had over een nieuwe telefoon. De bug waarnaar hier wordt verwezen, voor het geval je het niet weet, trof meer dan 1 miljard telefoons die een Broadcom Wi-Fi-chip gebruiken en zou een gemakkelijke manier zijn geweest om allemaal op een aantal manieren te worden gehackt.
Hoogstwaarschijnlijk heeft de telefoon waarop je dit leest een vervelende, exploiteerbare bug.
U hoeft zich geen zorgen te maken als u een iPhone of een Pixel (of een Nexus die nog steeds wordt ondersteund) of een BlackBerry met Android heeft, omdat deze werd gepatcht voordat deze openbaar werd gemaakt. Maar de Pixel, laat-model Nexuses en Android BlackBerrys werden in minuscule aantallen verkocht in vergelijking met alle andere Android-telefoons (ik ben hier erg gul). Dat betekent dat miljoenen en miljoenen en miljoenen andere Android-telefoons nog steeds kwetsbaar zijn. Inclusief de Galaxy S8, hoewel elke Android-partner toegang heeft tot de patch zolang Google en BlackBerry en Apple hebben.
In het "echte leven" is dit zowel een probleem als geen probleem. Eén ding gaat hand in hand met elke aankondiging van malware of andere trucs en tools die kunnen worden gebruikt om een telefoon op afstand te hacken: het gebeurt bijna nooit. Maar het kon nog steeds. Simpele logica zegt dat het ooit zal gebeuren. En helaas, buiten een vorm van overheidstoezicht op telefoonsoftware (die niemand wil), is er geen manier om dit te verhelpen.
Niet lang na de release van de HTC Dream / T-Mobile G1 werd een beveiligingsfout ontdekt waarbij iedereen de controle kon overnemen via externe software. Vroege iPhones gebruikten allemaal dezelfde beheerdersreferenties voor externe aanmeldingen. Dit soort dingen komt met het territorium - alle software heeft bugs of gaten die kunnen worden misbruikt. Deze vroege bugs werden onmiddellijk verholpen en updates werden naar de telefoons gestuurd. Dat is niet meer hoe het werkt, althans voor Android.
Alle software die ooit is geschreven, bevat bugs. Goede software heeft ze gepatcht.
Omdat Android wordt gegeven onder een open-source licentie, heeft Google geen controle over hoe het wordt gebruikt buiten de vereisten voor toegang tot Google Play en de bijbehorende apps. Het is moeilijk om daarover te denken, tenzij ik bekend ben met open source software, ik weet het. Maar Google kan een bedrijf dat Android-telefoons maakt gewoonweg niet dwingen om meer te doen dan alleen voldoen aan enkele minimale vereisten die zijn ontworpen om ze compatibel te maken met de API's die Play Store-ontwikkelaars gebruiken om apps te schrijven. Zelfs die worden door Europese rechtbanken in twijfel getrokken.
Dit geeft een ander bedrijf de controle over het grootste deel van de software die we Android noemen, en met controle komt veel verantwoordelijkheid. Ik geloof echt dat Samsung (bijvoorbeeld en omdat het zo'n groot deel van Android is) genoeg geeft om te willen dat al haar klanten immuun zijn voor dingen zoals de Broadcomm-bug. Maar dat kost werk en toewijding die het niet kan geven. Het kan Samsung niet schelen, het kan het gewoon niet zo snel repareren vanwege de manier waarop het bedrijf werkt. Hetzelfde geldt voor elk bedrijf dat Android-telefoons maakt, mogelijk nog meer, omdat niemand de middelen heeft die Samsung heeft.
Er staat Android direct op de doos, dus dit is het probleem van Google.
Software is moeilijk. Het goed doen - elke bekende bug repareren zodra deze wordt bekendgemaakt - is nog moeilijker. Het toevoegen van nog een tussenpersoon betekent dat het verdomd bijna onmogelijk is.
Uiteindelijk valt dit allemaal op de schouders van Google. De Android-naam staat op de doos, op de telefoon en in gedachten wanneer u een nieuwe telefoon koopt. Dit is misschien niet eerlijk voor de mensen bij Google die hard werken om bugs te patchen en updates of beveiligingsbulletins uit te geven, maar dat geeft niet. Android is de baby van Google. Wanneer gloednieuwe telefoons van een bedrijf Android gebruiken en ernstige kwetsbaarheden hebben, kijken alle ogen naar Mountain View.
Google heeft dingen gedaan om het probleem aan te pakken, en het doet nog meer met Project Treble. Ik weet zeker dat een van de langetermijndoelen is om het probleem op de een of andere manier op te lossen, of dat nu een volledige herschrijving van de Android-onderbouwing betekent of de gebruikslicentie wijzigen of een konijn uit een hoed trekken. Het weet net zo goed als wij dat het eigenaar is van dit probleem, en in plaats van het te huilen probeert het het aan te pakken.
Ik hoop dat het dit kan doen voordat het te laat is, want "niets anders dan een iPhone of Pixel willen gebruiken" is een gevoel dat niemand wil horen.
