Прощай, Android

На прошлой неделе я тусовался с хакерами и экспертами по вопросам безопасности на конференции в Бруклине и вдруг вытащил свой телефон Sony.

«Ого! Журналист пользуется Android. Вот это безопасность!», с сарказмом сказал один парень рядом со мной.

Я пропустил его сарказм мимо ушей, хотя, будучи человеком, пишущим об информационной безопасности, знал, что он, по сути, был прав. Теперь, всего несколько дней спустя, его шутка кажется почти предостережением.

Как вы, возможно, уже слышали, один исследователь безопасности рассказал в понедельник о том, что ряд багов в глубине исходного кода Android позволяет хакерам взламывать пользователей и шпионить за ними с помощью простого мультимедийного сообщения.

Если вы боитесь, как бы ваше устройство на Android не оказалось уязвимым для этих багов, в совокупности известных как Stagefright, то, что ж, у меня для вас плохие новости. Оно наверняка для них уязвимо. В принципе, такая вероятность существует для целых 950 миллионов телефонов.

«Скорее всего уязвимыми являются все устройства», заявил Джошуа Дрейк, исследователь, который обнаружил баги.

Разумеется, я не знал на прошлой неделе о Stagefright, но знал, что безопасность у Android далека от идеала. Тем не менее, я проигнорировал насмешника, поскольку, откровенно говоря, я фанат и любитель идти против течения.

Я был враждебно настроен к продукции Apple ещё с тех пор, когда я был подростком, а Apple пыталась силком навязать мне свои приложения (да, iTunes, я имею ввиду тебя) всякий раз, когда я просто хотел посмотреть трейлер к какому-нибудь фильму на Quicktime. Мне никогда не нравилась «золотая клетка» Apple и её стремление к тотальному контролю, а в особенности мне претили дурацкие благоговение и истерия фанатов Apple на тему «Боже мой, выходит новая ай-штучка».

Так что, когда несколько лет назад вышел оригинальный iPhone, я поклялся в ходе нескольких жарких дискуссий с приятелями и незнакомцами, что никогда не куплю iPhone. С тех пор у меня были телефоны только на Android. Сначала несколько моделей HTC, а теперь телефон от Sony.

Что ж, мне это надоело. И я готов перейти на тёмную сторону.

Не поймите меня превратно. Android во многом прекрасен. Я восхищаюсь его идеалами открытости и возможностями его персонализации. Но, я больше не могу терпеть по одной простой, но действительно очень важной причине.

Google до сих пор практически не контролирует обновления программного обеспечения, и в вопросе получения обновлений или новых версий операционных систем пользователи Android, по сути, находятся во власти своих операторов и производителей мобильных телефонов. К примеру, Sony понадобилось более шести месяцев, чтобы запихнуть Android 5.0 Lollipop в свою новую линейку телефонов Xperia Z, несмотря на то, что после выпуска LollipopGoogle компания обещала гораздо меньшую задержку. Просто для сравнения: когда Apple в сентябре прошлого года выпустила iOS 8, она немедленно стала доступна всем пользователям iPhone, даже обладателям iPhone 4S 2011 года выпуска.

По словам эксперта по вопросам безопасности Кема Пайи, это было сознательным решением Google при создании Android. Пайя назвал это фаустовской сделкой: «уступить контроль над Android, отвоевать долю рынка у iPhone». По сути дела, Googleс удовольствием позволила операторам ставить на телефоны с Android своё «раздутое ПО» в обмен на возможность побороться с Apple за долю на рынке мобильных устройств. Уступка наделила операторов и производителей контролем над своей продукцией для Android, лишив Google возможности централизованно выпускать обновления операционных систем.

Некоторые операторы и производители лучше других, это верно, но все они весьма плохи, когда дело касается выпуска обновлений. Лучше на самом деле и не объяснить.

Как высказался в твите (ныне удалённом) исследователь безопасности Николас Уивер: «Представьте, что было бы, если бы патчи Windows должны были проходить через Dell и вашего интернет-провайдера, прежде чем попасть к вам. И всем было бы плевать. Это называется Android».

В 2013 году Американский союз защиты гражданских свобод подал жалобу в Федеральную торговую комиссию, заявляя, что крупнейшие операторы беспроводной связи делают пользователей уязвимыми для хакеров и киберпреступников, не обеспечивая быстрого выпуска важных обновлений системы безопасности для принадлежащих их клиентам телефонов с Android.

С тех пор изменилось немногое. Теперь в руках Google немного больше контроля над некоторыми обновлениями благодаря GooglePlayServices, набору API, которые живут вне ОС и которые автоматически обновляются в фоновом режиме. Но безопасность не улучшилась настолько сильно. К примеру, всего несколько месяцев назад Google лично отказалась устранить слабое место в безопасности 60 процентов пользователей Android – тех, кто пользуется старыми версиями ОС. (Баг не был устранён для этих пользователей и, вероятно, не будет устранён никогда).

Как выразился один из авторов той жалобы в FTC два года спустя, обновления Android «всё ещё хреновые».

А вот и самое худшее. На самом деле Дрейк впервые рассказал Google о некоторых багах Stagefright 9 апреля (ещё о нескольких он сообщил в начале мая). Google, к её чести, отреагировала быстро и почти немедленно разослала производителям патчи.

Так это же прекрасно, правда? Нет, это не имеет значения, совершенно, поскольку, как я уже говорил, теперь операторам и производителям предстоит действительно предоставить вам эти патчи.

Позвольте подчеркнуть это ещё раз: патчи готовы к использованию. Они были одобрены Google несколько месяцев назад. Но вы не дождётесь их раньше, чем через несколько недель (если повезёт) или месяцев (скорее всего), а то и не дождётесь никогда (более чем реальный вариант), в зависимости от того, насколько старый у вас телефон (если он слишком старый, производители могут просто перестать поддерживать эту модель), и того, насколько нерадиво ваши производитель и оператор относятся к обновлениям. Принимая во внимание открытый характер Android, выпуск обновлений – это, по словам AndroidCentral, «тяжёлое, непредсказуемое занятие», требующее множества «исправных винтиков».

В этом состоит принципиальное отличие между Android и iPhone. Если в iOS есть баг, Apple патчит его и может снабдить обновлением всех пользователей iPhone, как только оно будет готово, без лишних вопросов.

Когда то же самое происходит с Android, Google делает патч, а затем… Одному Богу известно, когда AT&T, Verizon, HTCи Sony всего мира примут решение, что оно достаточно важно для того, чтобы они обратили внимание и выслали вам обновление с патчем (хотя, к их чести, они уже начинают обращать на это внимание – главным образом по той причине, что сейчас наличие обновлённой ОС рассматривается как конкурентное преимущество). Чёрт побери, даже принадлежащие Google телефоны Nexus, находящиеся в полной власти компании, до сих пор не получили патч от Stagefright.

Итак, что делать, если у вас есть телефон с Android? Решать вам. Я не могу сказать вам, что вам делать со своей жизнью, но у вас есть следующие варианты.

Вы можете оставить телефон с той изменённой версией Android, которую ваш оператор или производитель решил на него поставить, и получить обновления системы безопасности с опозданием на несколько недель или не получить их никогда (если у вас Nexus, вы в лучшем положении, но кто знает, собирается ли Google продолжать производство телефонов Nexus в будущем).

В противном случае вы можете очистить телефон и установить на него отличную и быстрее обновляемую операционную систему CyanogenMod на основе Android. Это хорошая альтернатива, но установка CyanogenMod– это не фунт изюму, а обновления для определённых телефонов зависят от волонтёров, так что, опять-таки, существует вероятность, что вы не будете получать их так быстро, как хотелось бы.

Или, наконец, можно сдаться, перейти на Apple и купить iPhone.

Как бы меня ни возненавидел тот человек, которым я был прежде, я, пожалуй, выберу последний вариант.