Elke werkdag behandelt Computable een onderwerp waarover lezers kunnen discussiëren. Vandaag over de schaduwkant van Androids vrijheid: dat geeft securitygevaar.
Android is een open source besturingssysteem dat door maker Google gratis ter beschikking wordt gesteld aan hardwaremakers. Zij kunnen en mogen elk eigen wijzigingen aanbrengen, om zich van elkaar te onderscheiden. Mede hierdoor is het relatief jonge Android in rap tempo veelgebruikt geraakt over de hele wereld.
Echter, de diverse leveranciers die elk eigen implementaties mogen doen, opereren qua winstmarge op het scherp van de snede. Bovendien zijn zij van oudsher thuis in hardware en niet zozeer in software. Fouten worden gemaakt, kwetsbaarheden worden geschapen. Zie maar de falende fabrieksreset waardoor tweedehands Android-toestellen schatten aan informatie kunnen lekken. Zie ook de systeemkwetsbaarheid door een ingebouwd soft-keyboard bij Samsung. Android-vrijheid kost security. Wat vind jij?
Op zichzelf is Android niet onveilig. De implementaties van de verschillende fabrikanten die mogelijk lekken hebben en security updates vertragen dan wel onmogelijk maken en het niet afdwingen van een app store maken Android onveilig.
Stop met de duizenden varianten op de Google Android versies, maak de installatie van apps zonder app store onmogelijk, en stop met niet-secure updates (Samsung’s SwiftKey). Ik denk dat Google dit wel zou willen, maar ik ben benieuwd of de Samsung’s erop zitten te wachten. Als dat niet zo is, dan blijft het systeem lek…
@Frank Heikens, Hoewel Android niet zo opensource is als Jasper Bakker zal bedoelen,
Is inherent aan OSS dat eenieder er naar eigen wens aanpassingen in kan maken,
en dus ook dat er meerdere versie’s van in omloop zijn.
Apps zijn voor de leek al nauwelijks te installeren zonder app store, maar dat maakt het spul ook bepaald niet veiliger getuige van alle malware rommel die via app stores verspreid wordt.
Het recente lek waar kenlijk naar verwezen wordt heeft niets met OSS te maken maar met gebruikers gemak (een politiek correcte term voor desinteresse).
Als je een issue hebt met Android kun je nog altijd kiezen voor het secure besturings systeem van MicroSoft.
Ik ben zelf overigens bepaald geen Android fan.
Deze opinie is een variant op het thema “Open Source Software is onveilig”. Moeten we daar anno 2015 nog serieus op reageren? Werkelijk? Bruce Schneier maakte in 1999 al korte metten met dat thema in zijn overbekende nieuwsbrief “Crypto-Gram”. Ik verwijs volgaarne naar de editie van 15 september 1999 voor de definitieve uitleg hieromtrent.
@Pascal: Mijn bericht was niet de oplossing voor alle Android problemen, maar een begin.
Apple en Microsoft hebben hun app stores redelijk op orde, Google heeft dat nog niet. Daar kan een fabrikant onderscheidend zijn: bied een secure app store aan, met uitgebreid gecontroleerde apps, zodat je vrij zeker bent geen malware binnen te halen.
@Jos Nee, over de – al dan niet theoretische – (on)veiligheid van open source hoeven we het anno 2015 (na bv Heartbleed en Shellshock) niet per sé te hebben.
😉
Maar ik bedoelde deze discussiestelling juist NIET als variant op het thema open source en (on)veiligheid. Het gaat me juist om de vrijheid die bedrijven als Samsung hebben (en nemen?) mbt Android.
Lenovo heeft met Superfish echter al aangetoond dat ook het closed source Windows kan lijden onder dergelijke vrijheden.
https://www.computable.nl/artikel/discussie/infrastructuur/5233496/2379248/lenovos-superfishdebacle-raakt-bedrijven.html
https://www.computable.nl/artikel/technologie/security/5234460/1276896/security-kraakt-door-superfishadware.html
Alleen gaat bij Android de vrijheid nog wat dieper.
🙁
@Pascal Inderdaad, Android is niet zo open source als het lijkt/schijnt. Dat zal ik voortaan wat duidelijker proberen te formuleren (binnen ruimtebeperkingen van kopij).
🙂
PS En ter lering ende vermaak, ziehier de editie van Crypto-Gram waar Jos Visser terecht naar verwijst:
https://www.schneier.com/crypto-gram/archives/1999/0915.html#OpenSourceandSecurity
Aha, dus het gaat niet om het feit dat Android open source is, maar het feit dat andere bedrijven de vrijheid hebben om boven op die open source onveilige closed source componenten bouwen.
Maar, maar, maar…. Bedrijven die een besturingssysteem in licentie nemen voegen toch heel vaak (closed source) componenten toe? Hun eigen drivers, eigen rare apps, “value added” componenten, noem maar op. Gebeurde all op Windows, zou ook op iOS gebeuren als Apple het in licentie zou geven, en is in ieder geval niet specifiek voor Android.
Die “vrijheid” zit namelijk in de OS-licentie ingebakken. Dat is zeker zo bij iedere open source licentie, maar wordt meestal ook verstrekt door de leveranciers van closed source systemen, want iedere praktische besturingssysteem licentie die ik me in kan denken geeft die vrijheid. Wat heb je namelijk aan een besturingssysteem als je er geen eigen applicaties op mag runnen? Dat zou in ieder geval de aantrekkelijkheid van een dergelijk systeem voor OEM leveranciers zeer beperken, en is dus niet in het belang van de OS leveranciers.
De hier becommentarieerde opinie lijkt te stellen dat het maar niks is met Android omdat anderen niet kunnen programmeren, maar dat is een probleem voor iedere OS leverancier, en zegt niks over de (on)veiligheid van het besturingssysteem.
Transparantieparagraaf: Ik ben werkzaam bij Google en gebruik een Android telefoon. Deze reactie is getypt op een Apple iMac in Chrome onder het luisteren naar Marillion op een iPod.