Vorige week hing ik met wat hackers en beveiligingsexperts bij een conferentie in Brooklyn toen ik mijn Sony-telefoon tevoorschijn haalde."Oh! De journalist gebruikt Android. Veilig hoor!" zei iemand die naast me stond, op zeer sarcastische wijze.Ik negeerde zijn sarcasme, al wist ik van binnen dat hij gelijk had. Ik schrijf tenslotte over privacy en informatiebeveiliging. Een paar dagen later lijkt zijn grap bijna helderziend.
Advertentie
Zoals je misschien gehoord hebt, onthulde een beveiligingsonderzoeker afgelopen maandag dat door een aantal bugs in de broncode van Android hackers met een simpel mmsje een telefoon kunnen hacken en afluisteren.Als je bezorgd bent dat jouw eigen telefoon kwetsbaar is door deze bugs heb ik slecht nieuws voor je: dat is zo. Er zouden in totaal zo'n 950 miljoen telefoons gehackt kunnen worden."Je moet er van uitgaan dat alle Android-apparaten kwetsbaar zijn," aldus Joshua Drake, de onderzoeker die de bugs vond.
Ik wist vorige week niets van de bugs die nu Stagefright genoemd worden, al wist ik wel dat de beveiliging van Android niet optimaal was. Toch negeerde ik de sarcastische guy omdat ik eerlijk gezegd een fanboy ben.Ik heb me al sinds mijn tienerjaren vijandig opgesteld tegenover Apple-producten. Dat kwam in die tijd vooral omdat Apple haar apps door mijn strot probeerde te duwen als ik een trailer wilde kijken op Quicktime. Ik heb nooit gehouden van Apple's 'walled garden' en wij-controleren-alles aanpak. En ik hield vooral niet van Apple-fanboys die elke keer dat er een nieuw iDing uitkwam hysterisch werden.Toen de originele iPhone een paar jaar geleden uitkwam, zwoer ik in meerdere verhitte discussies met vrienden en vreemden dat ik nooit een iPhone zou kopen. Sindsdien heb ik alleen Android-telefoons gehad. Eerst een paar van HTC, en nu een Sony.Ik wist wel dat Android's beveiliging niet optimaal was
Advertentie
Maar nu ben ik er klaar mee. Ik stap over naar de dark side.Begrijp me niet verkeerd. Android is in vele opzichten fantastisch. Ik hou van de open source-mentaliteit en de mogelijkheid om te customizen. Maar ik ben er klaar mee, om één simpele, maar hele fundamentele reden.
Google heeft erg weinig controle over hun software-updates, en Android-gebruikers zijn afhankelijk van hun providers en telefoonfabrikanten voor updates. Het kostte Sony meer dan zes maanden om Android 5.0 Lollipop te pushen naar hun Xperia Z-telefoons, terwijl ze eerder hadden beloofd dat dat sneller zou gaan. Gewoon om te vergelijken: toen Apple iOS 8 uitbracht, was het meteen beschikbaar voor alle iPhone-gebruikers, zelfs die met een iPhone 4S uit 2013.Zoals beveiligingsexpert Cem Paya het stelt, was dat een bewuste beslissing toen Google Android maakte. Paya noemde het een Faustiaanse deal: "geef controle over Android weg, win marktaandeel van iPhone." Google vond het prima dat providers hun bloatware op hun Android-telefoons zouden zetten, zodat ze een kans konden maken tegen Apple op de mobiele markt. Het compromis was dat ze providers en fabrikanten controle gaven over Android-releases, waardoor Google niet meer centraal updates kon uitsturen.Sommige providers en fabrikanten zijn beter dan andere, dat is waar, maar ze zijn eigenlijk allemaal kut als het aankomt op updates pushen. Ik kan het niet anders stellen.Google heeft erg weinig controle over hun software-updates, en Android-gebruikers zijn afhankelijk van hun providers en telefoonfabrikanten voor updates.
Advertentie
In 2013 diende de American Civil Liberties Union een klacht in bij de Federal Trade Commission, waarin ze stelden dat grote providers gebruikers kwetsbaar maakten voor hackers en cybercriminelen omdat ze kritieke updates niet snel genoeg uitrolden.Sindsdien is er weinig veranderd. Google heeft nu iets meer controle over updates dankzij de Google Play Services, dat grotendeels buiten het OS leeft en automatisch geüpdate wordt. Maar de beveiliging is er niet heel veel beter op geworden. Google zelf weigert bijvoorbeeld om een bug te patchen die 60% van de Android-gebruikers – die met een oudere versie van het OS – kwetsbaar maakt.Zoals een van de mensen achter de FTC-klacht het stelde, twee jaar later: "Android-updates zijn nog steeds kut."
En nu komt het ergste aan het verhaal. Drake heeft een paar van de Stagefright-bugs eerst aan Google verteld, op 9 april. Google reageerde daar snel op en stuurde bijna meteen patches uit naar fabrikanten en providers.Maar dan is het toch opgelost? Nope. Google's snelle respons maakt geen fuck uit, want zoals ik eerder al zei, is het nu aan de providers en fabrikanten om de patches aan je te leveren.Laat me dit benadrukken: de patches liggen gewoon klaar. Ze zijn maanden geleden goedgekeurd door Google. Maar jij krijgt ze pas over een paar weken (als je geluk hebt) of maanden (wat waarschijnlijker is) of nooit (wat ook prima kan) afhankelijk van hoe oud je telefoon is – als die te oud is, houden fabrikanten gewoon op met updates maken – en hoe laks je provider is met updates. Het uitrollen van updates is, zoals Android Central het stelt, een "rommelige, onvoorspelbare zooi" die veel "bewegende onderdelen" vereist.The life of an Android fanboy. pic.twitter.com/GG6jytXySA
— Lorenzo Franceschi B (@lorenzoFB) 28 juli 2015
Advertentie
Dit is het fundamentele verschil tussen Android en iPhone. Als er een bug in iOS zit, dan patcht Apple die en stuurt de update naar alle iPhone gebruikers zodra die klaar is.
Als hetzelfde bij Android gebeurt, dan patcht Google de bug en dan … is het in gods handen wanneer de Vodafone's, KPN's, HTC's of Sony's van de wereld besluiten dat de update belangrijk genoeg is om te sturen (al worden ze langzaamaan wel sneller, maar meer omdat een up-to-date OS voordeel op concurrenten geeft). Zelfs Google's eigen Nexus-telefoons, waar het bedrijf volledige controle over heeft, zijn nog niet gepatcht voor Stagefright.Dus, wat moet je doen als je een Android-telefoon bezit? Dat is helemaal aan jou. Ik kan je niet dwingen om iets te doen, het is je eigen keuze.Je kan je Android-telefoon houden en beveiligingsupdates weken later, of nooit, krijgen.Of je kan je telefoon rooten en de fantastische en vaker geüpdatete CyanogenMod installeren. Dat is een goed alternatief, maar het is niet makkelijk om CyanogenMod te installeren, en updates voor je specifieke telefoon zijn afhankelijk van vrijwilligers.Of je geeft het op, stapt over op Apple, en koopt een iPhone.Hoezeer mijn vroegere zelf me ook zou haten voor deze keuze, ga ik voor de laatste optie.We zijn op zoek naar stagiairs die graag willen schrijven over alles wat met menselijke vooruitgang te maken heeft. Mail alejandro.tauber{at}vice.com voor info!Voor meer nieuws over wetenschap, technologie en de toekomst:Als er een bug in iOS zit, dan patcht Apple die en stuurt de update naar alle iPhone gebruikers zodra die klaar is