Inilah rahasia kotor: Sebagian besar perangkat Android tidak pernah menerima pembaruan keamanan. Sembilan puluh lima persen perangkat Android sekarang dapat dikompromikan melalui pesan MMS, dan itu hanya bug paling tinggi. Google tidak memiliki cara untuk menerapkan tambalan keamanan ke perangkat ini, dan produsen dan operator tidak peduli.
Ekosistem Android menjadi neraka beracun dari perangkat yang tidak ditambal yang penuh dengan lubang keamanan. Sebagai perbandingan, ketika iOS Apple memiliki lubang keamanan, Apple hanya dapat memperbarui semua iPhone yang didukung dengan versi baru. Bahkan ponsel Windows lebih baik dari Android di sini.
Bug Stagefright MMS baru-baru ini memberi kita studi kasus yang bagus, menunjukkan apa yang terjadi ketika seseorang menemukan lubang keamanan di Android. Google membuat tambalan dan menerapkannya ke kode proyek sumber terbuka Android utama. Google kemudian mengirimkan patch ini ke produsen perangkat keras - Samsung, HTC, Sony, LG, Motorola, Lenovo, dan lainnya. Keterlibatan Google berakhir di sini. Mereka tidak dapat memaksa produsen untuk benar-benar merilis patch ini. Ini sering kali tampak di mana prosesnya berakhir.
Jika pabrikan ingin menerapkan tambalan ini, mereka harus menerapkannya ke kode Android perangkat dan membuat versi baru Android untuk perangkat itu. Ini adalah proses terpisah untuk setiap ponsel dan tablet yang didukung pabrikan. Setiap produsen kemudian harus menghubungi operator yang dijualnya melalui dan menyediakan setiap patch khusus perangkat setiap operator di seluruh dunia. Keterlibatan pabrikan berakhir di sini. Bahkan jika mereka menjadi gila dan menambal setiap perangkat yang masih mereka dukung - sangat tidak mungkin - mereka tidak dapat memaksa operator untuk benar-benar menerapkan tambalan ini
Operator kemudian dapat memilih untuk mengirim build Android yang baru dan ditambal ke perangkat mereka, atau tidak. Jika mereka melakukannya, ada kemungkinan besar itu setelah periode pengujian ekstensif di mana lubang keamanan akan terus bertahan. Bahkan jika operator ingin melakukan ini, ada kemungkinan mereka hanya ingin menguji pembaruan pada beberapa ponsel andalan, dan bukan perangkat yang lebih lama.
Dalam praktiknya, sebagian besar perangkat Android tidak menerima pembaruan keamanan dan dibiarkan rentan. Google belum memilih untuk menerapkan pengiriman pembaruan keamanan seperti mereka menegakkan hal-hal lain dalam kontrak dengan produsen. Produsen membuat banyak, banyak perangkat yang berbeda dan tidak ingin melakukan pekerjaan memperbarui semuanya. Operator mengirimkan banyak, banyak perangkat yang berbeda dan tidak ingin repot mengujinya. Daripada mengirimkan pembaruan dan mempertahankan ponsel lama, mereka lebih suka mendorong pelanggan untuk membeli perangkat baru. Lubang keamanan tersebut telah diperbaiki di Android versi terbaru, sehingga perangkat baru akan aman - setidaknya hingga lebih banyak lubang ditemukan dan tidak ditambal.
Ya, fitur "periksa pembaruan" di perangkat Android Anda hanya memeriksa apakah ada pembaruan yang disetujui oleh produsen dan operator. Ini bukan cara yang dapat diandalkan untuk memastikan Anda memiliki pembaruan keamanan.
Model pembaruan Android rusak parah. Ini bukan hanya tentang menerima fitur terbaru dan terbaik. Sebaliknya, tidak ada cara untuk menjamin Anda memiliki tambalan keamanan saat ini. Benar-benar tidak ada cara untuk mengetahui secara tepat lubang keamanan mana yang telah ditambal di perangkat Anda, karena Anda bergantung pada pabrikan menambahkan patch ke custom build Android mereka dan meluncurkannya ke perangkat Anda.
Google telah mencoba untuk menghindari hal ini dengan Layanan Google Play, yang secara otomatis memperbarui di semua perangkat Android. Tetapi itu hanya bisa melakukan banyak hal. Semua perangkat Android yang menjalankan Android 4.4.4 dan yang lebih lama - yaitu, sebagian besar perangkat Android - saat ini memiliki browser web yang penuh dengan lubang keamanan karena Google tidak dapat memperbaruinya. Dan sekarang, hampir semua perangkat Android sekarang dapat dikompromikan dengan MMS.
Sungguh, ini mengerikan. Bayangkan jika laptop Windows tidak pernah menerima pembaruan keamanan dari Microsoft. Sebaliknya, Microsoft akan menerbitkan tambalan untuk Dell, Lenovo, HP, dan pabrikan lain. Pabrikan mungkin memilih untuk menambal atau tidak, dan jika mereka memilih untuk menambalnya, tambalan itu harus disetujui oleh toko tempat Anda membeli laptop dari sebelum Anda. Microsoft akan dirampas dengan benar untuk batubara ini. Sebaliknya, Microsoft merilis patch dan itu disediakan untuk pengguna semua model PC Windows melalui Pembaruan Windows. Bahkan OS Chrome milik Google sendiri bekerja dengan cara ini tanpa produsen menghalangi jalannya.
Ingin jaminan aktual pembaruan keamanan untuk ponsel cerdas Anda? Anda cukup banyak harus membeli iPhone, meskipun ponsel Microsoft Windows ada di depan Android di sini. Ketika lubang keamanan ditemukan di iPhone, Apple dapat merilis patch untuk setiap pengguna iPhone sekaligus - bahkan operator tidak menghalangi.
Izin aplikasi adalah kasus lain di mana iPhone mengalahkan ponsel Android. Android mulai kuat, menawarkan "izin aplikasi" - Anda dapat melihat apa yang dibutuhkan aplikasi sebelum Anda menginstalnya dan memilih untuk tidak menginstalnya. iPhone kini memiliki sistem perizinan yang ditingkatkan di mana Anda benar-benar dapat memilih dan memilih data mana yang dapat diakses oleh suatu aplikasi. Perlu menggunakan aplikasi, tetapi tidak ingin memberikannya akses ke kontak Anda atau data sensitif lainnya? Anda dapat melakukan ini di iOS.
Di Android, izin aplikasi lebih seperti tuntutan - ambil atau tinggalkan. Aplikasi sering meminta lebih banyak izin daripada yang benar-benar perlu berfungsi, dan Anda tidak pernah benar-benar tahu apakah game yang Anda pasang mengunggah daftar kontak ke server jauh. Google sedang berupaya menambahkan kontrol izin ke versi Android mendatang, tapi itu terlalu sedikit, terlambat.Fungsi tersebut saat ini hanya tersedia di ROM kustom pihak ketiga setelah Google menghapus pengelola izin tersembunyi Android.
iPhone benar-benar memberi Anda kontrol atas apa yang dapat dilakukan aplikasi di ponsel Anda, yang mengekspos izin aplikasi sebagai kontrol privasi yang dapat dipahami siapa pun. Ini membantu menjaga data pribadi Anda tetap aman. Di Android, itu benar-benar hanya untuk aplikasi - Anda hanya dapat mengontrol apakah Anda menggunakan aplikasi itu atau tidak.
Toko aplikasi terkunci Apple telah berlebihan dalam melarang jenis konten tertentu, tetapi hanya mengizinkan aplikasi dari sumber yang disetujui tidak memberikan keamanan tambahan terhadap malware. Sebagian besar malware di Android berasal dari luar Google Play, seringkali ketika pengguna mengunduh aplikasi bajakan dan menginstalnya. Ini tidak mungkin tanpa jailbreaking iPhone. Proses persetujuan toko aplikasi iOS juga sedikit lebih ketat, melibatkan orang yang benar-benar menguji aplikasi daripada algoritme otomatis.
Google perlu memperbaiki situasi ini. Tidak dapat diterima bagi sebagian besar perangkat Android untuk tidak pernah menerima pembaruan keamanan dan dibiarkan rentan terhadap lubang keamanan yang tak terhitung jumlahnya. Banyak perangkat bahkan telah mengunci bootloader, yang akan mencegah Anda menambal bug sendiri dengan menginstal ROM kustom.
Ya, Android adalah platform terbuka dengan banyak produsen yang terlibat, tetapi begitu juga Windows. Google perlu mendapatkan platformnya secara berurutan. Kami akan terus melihat wabah keamanan yang memburuk di Android hingga seluruh ekosistem Android mulai peduli tentang keamanan dan menjadi mampu mengatasi masalah keamanan secara tepat waktu dan konsisten, seperti setiap sistem operasi modern lainnya.
Kredit Gambar: Indi Samarajiva di Flickr