Mon Android est vulnérable, mais il n'y a pas de mises à jour?
J'ai acheté un tout nouveau HTC Desire 526G avec le système d'exploitation 4.4.2 (KitKat), tout est comme il se doit (non enraciné) donc il est toujours sur les réglages d'usine.
Mais maintenant, je n'ai pas reçu depuis longtemps de mises à jour de sécurité, j'ai vérifié manuellement dans system updates et il dit: There are no updates available for your phone.
Si je vérifie ma Android, il est dit: 4.4.2 & Android niveau du correctif de sécurité: 2016-01-01, mais en même temps si je vais sur les détails CVE, j'ai fondé beaucoup de vulnérabilités pour ce système.
J'ai également installé X-Ray de Duo Security pour vérifier si mon système est vulnérable à des exploits et cela m'a donné un résultat positif, que mon appareil est vulnérable à différents.
Que puis-je faire dans ma situation, je veux dire comment puis-je mettre à jour mon Android afin de le protéger des vulnérabilités connues du public?
Vous demandez essentiellement quoi faire si vous utilisez un logiciel connu pour être vulnérable mais où aucune mise à jour n'est disponible. Il s'agit d'un problème non limité aux Android mais vous le trouverez partout, par exemple dans les appareils IoT comme les routeurs ou les caméras, mais aussi avec les logiciels sur PC qui ne sont pris en charge que pour une durée limitée .
La réponse doit être évidente: remplacez le logiciel (ou le périphérique) par un logiciel sans vulnérabilité connue (et obtenez toujours des mises à jour) ou réduisez le risque d'infection en diminuant la surface d'attaque.
Dans le cas d'un téléphone Android Android, la meilleure option serait probablement d'obtenir un logiciel alternatif et toujours pris en charge comme LineageOS pour lui. Si aucun logiciel alternatif ne prend en charge votre appareil, vous devrez peut-être obtenir un nouveau téléphone avec logiciels encore pris en charge et cette fois, espérons-le, par un fournisseur connu pour un meilleur support.
Si rien de tout cela n'est possible ou si les coûts ne correspondent pas au risque supposé, vous pouvez diminuer la surface d'attaque pour réduire le risque d'un exploit contre votre appareil. Cela peut être fait en n'ayant aucune connexion réseau (ni mobile, ni WiFi, ni Bluetooth) et en supprimant toutes les applications dont vous n'avez pas vraiment besoin. Dans le cas où vous avez root sur le téléphone, vous pouvez également installer un pare-feu pour limiter le trafic réseau à seulement quelques applications sélectionnées.
Notez qu'il n'y a pas de sécurité parfaite même avec les logiciels pris en charge. Les efforts et les coûts que vous investissez pour la protection dépendent beaucoup de ce que vous devez protéger. S'il n'y a pas de données sensibles sur l'appareil, vous pouvez accepter un risque limité en l'utilisant dans un réseau mobile et peut-être dans un réseau WiFi restreint (afin qu'il ne puisse pas être utilisé pour exploiter d'autres systèmes de votre réseau domestique). Si, à la place, vous avez des données sensibles sur l'appareil, vous devriez probablement investir un peu plus et obtenir un appareil encore pris en charge par un fournisseur avec des mises à jour rapides.
Il s'agit d'un problème omniprésent avec presque tous les fournisseurs de téléphones Android.
Je soupçonne (seulement des soupçons, j'ai peur) qu'ils le fassent pour augmenter les ventes de leurs nouveaux modèles. J'ai essayé de tendre la main aux fournisseurs et j'ai reçu des réponses qui varient de "veuillez patienter, une mise à jour est en cours" (non, ce n'était pas le cas), à "nous ne publions plus de mises à jour pour cet ancien modèle" (si c'est le cas). le cas, le plus souvent, le vendeur ne répond tout simplement pas).
Vos options:
- dansez sur leurs airs, achetez un nouveau téléphone (répétez cela chaque année environ)
- si votre téléphone le prend en charge, mettez-y un système d'exploitation personnalisé (CyanogenMod ou similaire) (mais alors, combien de temps le système d'exploitation personnalisé prendra-t-il en charge les mises à jour sur votre ancien téléphone?)
J'ai peur que nous (les consommateurs) ne soyons pas tout à fait les gagnants de ce jeu.
Il est un peu tard pour vous maintenant (j'imagine), mais en tant que fan de Android je m'assure et n'achète que des téléphones de fabricants que je connais fournissant des mises à jour de sécurité régulières. Dans le passé, j'ai eu les téléphones qui n'ont reçu aucune mise à jour de sécurité pendant la durée de vie de l'appareil, et je ne voulais plus avoir à m'en soucier.
Pour être clair, la raison pour laquelle cela se produit est que Android est un système open source utilisé par les fabricants de téléphones, et il n'y a absolument rien qui les oblige à mettre à jour leurs téléphones en temps opportun. De nombreux fabricants font leurs propres modifications par-dessus le stock Android système, ce qui signifie qu'une mise à jour n'est même pas une simple question de transmettre des mises à jour de Google. Au lieu de cela, ils devraient incorporer toutes les modifications au = Android système sur leurs propres versions, vérifiez que tout fonctionne toujours, puis déployez les nouveaux bundles. Cela peut être un processus très long et coûteux (sauf si le fabricant le prévoit spécifiquement à l'avance), et le fait est que la plupart des gens s'en moquent. Donc, tant qu'il n'y aura pas de poussée claire des consommateurs pour des mises à jour régulières et une meilleure sécurité, cela ne se produira pas. Pour être clair, ce niveau de demande axé sur les consommateurs ne va jamais se produire.
Voici une liste (assez) récente d'appareils qui reçoivent effectivement des mises à jour:
En outre, voici un article qui vous donne une idée de la situation actuelle et du fait que même Google n'en est pas très satisfait:
Gardez cela à l'esprit la prochaine fois que vous obtiendrez un nouveau téléphone. En attendant, les autres réponses ici contiennent de bons conseils pour le moment.