Android hade flest inrapporterade sårbarheten och buggar under 2016 visar CVEs databas. Ta nu inte det som intäkt för att Android är en buggig och osäker plattform. Det är inte antalet buggar som är problemet.

Google, Apple, Facebook och många andra har idag ett belöningssystem som säkerligen leder till att fler rapporterar fler buggar. Buggar och sårbarheter som sedan åtgärdas vilket på sikt leder till en säkrare plattform och produkt. Problemet med Android, ur säkerhetssynpunkt, handlar inte om antalet buggar utan om hur många allvarliga säkerhetsproblem som aldrig åtgärdas eller som åtgärdas mycket långsamt. I kombination med kritiska och allvarliga buggar så gör det Android till en sämre plattform, ur säkerhetssynpunkt.

Sedan kan vi diskutera sannolikheten för att en vanlig användare drabbas och leka med olika scenarior men det är inte en framkomlig väg om en produkts eller en plattforms totala säkerhet ska kunna bedömas. Då är det andra kriterier som tas med.

Buggar

Alla buggar är naturligtvis inte lika farliga. Enkelt uttryckt så är den farligaste buggen en sårbarhet som kan exploateras utifrån utan att användaren gör någonting. Användaren behöver inte ladda ned något, inte installera något utan enbart det faktum att enheten finns uppkopplad gör den sårbar. Obehöriga kan söka efter enheten, med script, och attackera den om den hittas.

På andra plats kommer sårbarheten som kan exploateras via en webbplats, en hemsida, en nätbutik eller tjänst. Besökare kan attackeras.

Något förenklat ska understrykas.

Måste användaren hitta till en viss hemsida, ladda ned en fil, ange sina inloggningsuppgifter så är det en mindre allvarlig sårbarhet. 

Notera nu att detta inte är likhetstecken med hur många som eventuellt kan drabbas eller hur de kan drabbas. Det är en torr, analytisk bedömning av exponeringen.

Komplexiteten i att exploatera en bugg vägs också in. Är det mycket enkelt att exploatera en sårbarhet så ökar naturligtvis risken.

Kort sagt, antalet buggar är inte ett kvitto på hur söker/osäker en produkt är.

Android

Problemet med Android är flera och de kan sammanfattas i att buggar åtgärdas långsamt, användare uppdaterar långsamt och det har hittats ett antal allvarliga buggar som inte åtgärdas i äldre versioner av operativsystemet.

Android är en mycket fragmenterad plattform med mängder av olika hårdvaror, skärmstorlekar och olika versioner av Android.

En enkel grundregel är att den senaste versionen av ett operativsystem eller en mjukvara generellt sätt är den säkraste. Det är därför du alltid bör ha uppdaterade system.

I november 2016, ungefär två månader efter lanseringen, använde 63 procent av alla iOS-användare den senaste versionen iOS 10. Backar du två versioner bakåt, till iOS 8, så är det bara 8 procent av användarna som fortfarande använder den versionen.

Android Nougat släpptes i augusti 2016 och används av 0.4 procent av antalet användare. Android Mashmallow lanserades i oktober 2015 och används av 26.5 procent av antalet användare. Android KitKat som släpptes i oktober 2013 används fortfarande av 24 procent av användarna. I flera av de äldre versionerna av Android så finns mycket allvarliga, kritiska buggar (Stagefright exempelvis) som aldrig kommer att åtgärdas. Det innebär att mer än var fjärde Android-användare teoretiskt exponeras för allvarliga sårbarheter.

Google Play

Ett annat säkerhetsproblem är Google Play, den officiella butiken och nedladdningsplatsen för appar till Android. Google hävdar att de har förbättrat säkerheten men kontrollerna av appar och regelverket runt apputveckling kommer inte ens i närheten av säkerhetsnivån runt Apples App Store. Apple kontrollerar vad en app gör, hur en app fungerar och har även kontroll på hur data skickas och hur användaren får veta vad en app gör. Det ger inte bara god kontroll över dina och mina uppgifter – det ger också ett viktigt extra säkerhetslager. Tolka nu inte detta som att iOS är immunt eller att alla appar i App Store är hundraprocentigt pålitliga. Alla system har brister men sett över tid och historiskt så är det dramatisk skillnad om du går igenom antalet incidenter för Google Play och jämför med App Store. Med incidenter avser jag trojaner, malware och appar som stjäl din information eller som öppnar din enhet för attacker utifrån.

Problemet med Android är inte antalet rapporterade sårbarheter. Problemet med Android är hur dessa sårbarheter hanteras.