:

Szerző: Gálffy Csaba

2016. május 10. 17:15

Amerikában már vizsgálódnak az elmaradó androidos frissítések után

A felhasználókat és az infrastruktúrát is veszélynek teheti ki a gyakorlat, az amerikai Szövetségi Kereskedelmi Bizottság és a Szövetségi Hírközlési Bizottság falhoz állította a gyártókat és a mobilszolgáltatókat.

Vizsgálódni kezdenek az amerikai hatóságok az okostelefonok biztonsági frissítései kapcsán - jelentette be az amerikai Szövetségi Kereskedelmi Bizottság (FTC) és a Szövetségi Hírközlési Bizottság (FCC). A két nagyhatalmú, független ügynökség a gyártóktól és a telekommunikációs szolgáltatóktól kért be információkat arra vonatkozóan, hogy milyen gyakorlatot követnek e frissítések kiadása kapcsán. A vizsgálódás egyelőre csak a tájékozódás szintjén mozog, de elképzelhető, hogy kézzelfogható eredményre is vezethet a jövőben.

A kiküldött kérdőív összesen 20 kérdést tartalmaz, ezek egy része viszonylag általános és azt próbálja megérteni, hogy a gyártó és a szolgáltató pontosan milyen szerepet játszik a frissítések kifejlesztésében, tesztelésében és kiadásában. Néhány kérdés viszont célzottan a szolgáltatói gyakorlat sarkos pontjaira kérdez rá: hány felhasználóhoz érnek el a biztonsági frissítések, tudja-e egyáltalán ezt a szolgáltató mérni, a frissítés nélküli eszközök befolyásolhatják-e a hálózat működőképességét, stb. Az FCC szóvivője a Bloombergnek elmondta, a levelet a négy nagy amerikai mobilszolgáltató (AT&T, Verizon, T-Mobile USA, Sprint) mellett néhány kisebbnek is megküldték az ügynökségek, ahogy a nagyobb gyártóknak (Apple, Google, BlackBerry, HTC, LG, Microsoft, Motorola, Samsung) is. A válaszadás kötelező érvényű a helyi törvények szerint.

Az FCC és az FTC közös lépését két fontos fordulat okozhatta. Az első az Android Stagefright sebezhetőség felbukkanása, amely globálisan akár milliárdos nagyságrendű telefont és tabletet érinthet, a másik pedig a Google által beindított, a Samsung és az LG által támogatott "androidos patch-kedd", vagyis az operációs rendszer rendszeres, havi frissítése. A súlyos hiba nyomán életbe léptetett gyakorlat azonban nem nagyon terjed, a hatóságok arra is szeretnének választ kapni, hogy a gyártók és szolgáltatók hogyan dolgoznak a felhasználók védelmében.

Áldatlan állapotok

Ahogy korábban már részletesebben is beszámoltunk, az androidos eszközök biztonsága idővel fokozatosan romlik, ahogy különböző szereplők célzott erőfeszítéseinek köszönhetően az operációs rendszerben egyre több sebezhetőség kerül nyilvánosságra. A mélységi védelemnek köszönhetően egy-egy ilyen biztonsági hibától még nem válik teljesen kiszolgáltatottá a rendszer, de hibák láncolatával már valósággá válhat a katasztrófa-forgatókönyv: a vírusként terjedő fertőzés, amely telefonról telefonra tud terjedni, valahogyan úgy, ahogy a kilencvenes évek végén az email-vírusok.

Samsung Galaxy S7 - az egyik pozitív példa

Machine recruiting: nem biztos, hogy szeretni fogod

Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

A hibák egymásra rakódása ellen kizárólag a rendszeres biztonsági frissítések tudnak védekezést nyújtani, ezt azonban jelenleg csak néhány gyártó biztosítja, és ezeknél is csak néhány csúcsmodell élvezi a támogatást, ráadásul csak viszonylag rövid ideig. A Windows esetében már megszokott hosszú támogatási periódusokról egyelőre Android esetében hallani sem lehet - sőt, semmilyen hivatalos frissítési vállalást nem tesznek a gyártók. Ez igaz még az olyan vállalati fókuszú szereplőkre is, mint a BlackBerry, amely szintén nem garantál szoftveres életciklust.

Tény, hogy a PC-s és nagyvállalati szoftverfejlesztés egyik alapeleme, az említett kiszámítható szoftveréletciklus-modell nem honosodott meg az okostelefonok körében. Még a BlackBerry mellett etalonnak számító Apple sem nyújt előzetes támogatási ütemtervet, így a vásárlók (cégek és természetes személyek egyaránt) csak találgatni tudnak, hogy egyik-másik telefon mikor kerül le a frissítési ciklusról.

A hírközlési infrastruktúra védelmében?

Az egyébként egyelőre kérdéses, hogy pontosan milyen hatóságnak is van szabályozói jogköre ezen a területen. Sem az Egyesült Államokban, sem Európában (így itthon sem) egyértelmű, hogy a felhasználói eszközök frissítése kikényszeríthető lenne külön törvényhozási felhatalmazás nélkül. Az FCC-nek és az FTC-nek is lehet azonban jogköre arra vonatkozóan, hogy akár hírközlési vagy fogyasztóvédelmi "ostorral" kikényszerítse, hogy a szolgáltatók legalább ne akadályozzák az elkészült javítások telepítését.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról