Až 40 % Android telefonů nedostává aktualizace: Uživatelé čelí vyššímu riziku
Tenhle pocit zná skoro každý. V kapse nosíte telefon, který s vámi zažil leccos a pořád funguje, i když už něco pamatuje. Jenže podle Google se z takového zařízení může snadno stát bezpečnostní riziko, pokud už nedostává aktualizace.
Když jsem nedávno pomáhal tetě s jejím telefonem – tříletým modelem střední třídy – narazil jsem na něco, co mě přimělo se nad celou situací zamyslet. Telefon fungoval naprosto v pořádku, fotil slušné snímky, aplikace běžely plynule. Jenže v nastavení svítilo datum poslední bezpečnostní aktualizace: před osmnácti měsíci. A teta samozřejmě neměla ponětí, že by to mohl být problém.
Přesně o tomto fenoménu nyní mluví Google. Podle dostupných dat je zhruba 40 % všech aktivních Android zařízení v situaci, kdy už nedostávají bezpečnostní záplaty. Nejde přitom o nějaké prehistorické kousky – mluvíme o telefonech s Androidem 11, 10 a staršími verzemi, které mnozí z nás stále denně používají.
Proč je to vlastně problém?
Bezpečnostní zranitelnosti nejsou něco abstraktního. Jde o konkrétní chyby v kódu – nejčastěji takzvané zranitelnosti paměti jako přetečení bufferu nebo use-after-free.
Tyto technické termíny v praxi znamenají jediné: útočník může za určitých okolností získat přístup k vašemu zařízení, aniž byste o tom věděli. A nemusí to být žádný sofistikovaný hacker z filmu – stačí kliknout na špatný odkaz v SMS nebo stáhnout aplikaci, která se tváří nevinně.
Google tyto chyby průběžně objevuje a opravuje. Problém nastává v momentě, kdy výrobce telefonu přestane tyto opravy distribuovat. A to se u většiny zařízení děje po dvou až třech letech od uvedení na trh. Telefon pak zůstává funkční, ale z bezpečnostního hlediska stále zranitelnější.
Kdo za to může?
Situace je složitější, než by se mohlo zdát. Google vydává bezpečnostní záplaty každý měsíc – to je fakt. Jenže aby se dostaly k uživatelům, musí je jednotliví výrobci (Samsung, Xiaomi, Motorola a další) integrovat do svých verzí systému a poslat na konkrétní modely telefonů. A právě tady celý řetězec často selhává.
Výrobci mají ekonomickou motivaci podporovat telefony co nejkratší dobu – čím dříve váš telefon zastará, tím dříve si koupíte nový. Je to cynické, ale pochopitelné z jejich pohledu. Některé značky se v posledních letech zlepšily a slibují čtyři i pět let aktualizací, ale to se týká především vlajkových modelů. Levnější telefony mají smůlu.
Co Google dělá pro zmírnění rizik
Je fér říct, že Google se nespoléhá jen na výrobce. Služba Google Play Protect průběžně skenuje aplikace na vašem zařízení a hledá škodlivý kód. Funguje i na starších telefonech a představuje alespoň základní obrannou linii.
Zajímavější je projekt nazvaný Project Mainline, který umožňuje aktualizovat některé systémové komponenty přímo přes Google Play Store – bez nutnosti čekat na výrobce. Díky tomu mohou i starší telefony dostávat záplaty pro kritické části systému. Není to dokonalé řešení, ale je to krok správným směrem.
Praktická ochrana pro ty, kdo nový telefon nekupují
Pojďme si říct na rovinu – ne každý může nebo chce kupovat nový telefon jen proto, že ten starý nedostává aktualizace. Pokud jste v této situaci, existuje několik věcí, které můžete udělat:
- Stahujte aplikace výhradně z Google Play – není to stoprocentní ochrana, ale výrazně snižuje riziko
Buďte obezřetní u odkazů v SMS a e-mailech – právě toto je nejčastější způsob, jak se škodlivý kód dostane do telefonu
Kontrolujte oprávnění aplikací – kalkulačka nepotřebuje přístup k mikrofonu
Používejte dvoufaktorové ověření u důležitých účtů – i kdyby někdo získal vaše heslo, bez druhého faktoru se nedostane dál
Pravidelně zálohujte důležitá data
Pro technicky zdatnější uživatele existuje ještě možnost instalace alternativního systému jako LineageOS, který komunita udržuje aktuální i pro starší zařízení. Je to ale krok, který vyžaduje určité znalosti a nese vlastní rizika.
Kde je rozumná hranice paranoi?
Je důležité zachovat perspektivu. Starší Android neznamená automaticky, že vás zítra hacknou. Znamená to, že riziko roste – podobně jako když neměníte zámek u bytu, i když víte, že někdo má kopii klíče. Možná se nikdy nic nestane. Ale možná ano.
Pro běžného uživatele, který neukládá v telefonu citlivé firemní dokumenty a dodržuje základní bezpečnostní hygienu, je riziko zvládnutelné. Pro někoho, kdo telefon používá k bankovnictví, práci s citlivými daty nebo prostě jen chce mít klid, může být upgrade na novější zařízení rozumnou investicí do vlastního bezpečí.
Tetě jsem nakonec pomohl nastavit dvoufaktorové ověření a prošli jsme spolu oprávnění aplikací. Nový telefon si nekoupila – a upřímně, při jejím způsobu používání to asi není nutné. Ale alespoň teď ví, na čem je. A to je možná to nejdůležitější.