Android est cassé. Nous sommes tous des fans ici et je ne voudrais jamais passer à une autre plate-forme de smartphone pour mes propres besoins, mais nous savons tous à l'intérieur qu'Android est en panne. L'introduction de correctifs de sécurité mensuels et le fait que la plupart d'entre nous ne les reçoivent pas ne font que confirmer cette vérité simple.
Laisse-moi expliquer. Android est un énorme ensemble compliqué de fichiers de code source. Ce n'est pas un produit autonome, car quelqu'un doit créer le produit réel à partir de ces sources et le distribuer. Chacun d’entre nous, avec un peu d’étude et un peu de temps, peut prendre ces fichiers source et en construire un système d’exploitation. Parce que la plupart d'entre eux sont open source, nous pouvons également changer tout ce que nous aimons faire pour créer quelque chose d'unique. Google les mots ROM personnalisée AOSP - toutes ces personnes ont accès au même code que Samsung ou LG utilise pour créer leur "Android". C'est fabuleux.
Google encourage les utilisateurs à parcourir le code, à tout casser, à se faufiler à fond et à détecter les failles de sécurité dans Android. Android n'est peut-être pas le projet open source le plus "ouvert", mais la façon dont ils encouragent les autres à trouver des bugs et des exploits est vraiment géniale. Les incitations financières fonctionnent très bien pour beaucoup de choses.
Nous avons promis des mises à jour mensuelles, mais nous obtenons plutôt quelques mises à jour sur des versions spécifiques d'une petite poignée de modèles. Et un tas de promesses non tenues.
Une fois par mois, depuis août 2015, ils prennent les informations que d'autres personnes leur ont données sur les bugs et les exploits, et modifient le code pour éviter que cela ne se produise. La maintenance du code et les correctifs de sécurité ne sont ni amusants ni faciles, mais cela fait partie du développement de logiciels responsables: prenez soin de vos utilisateurs. Ils publient ensuite ces modifications, à la fois dans le code lui-même et sous forme de bulletin afin que nous sachions ce qu’ils ont fait sans regarder les commits de code, chaque mois. Les produits Nexus reçoivent un petit correctif de sécurité OTA peu après.
Les partenaires de Google qui fabriquent les téléphones que nous adorons reçoivent les modifications un mois à l'avance, ce qui leur permet d'être prêts à mettre à jour dès que possible. Certains, comme BlackBerry, sont en mesure d’appliquer ces mises à jour immédiatement, avec un court délai pour les modèles d’opérateurs de marque (rappelez-vous que c’est important). D'autres prennent un peu plus longtemps, et certains téléphones ne recevront jamais de correctifs de sécurité.
Ce sont les mises à jour importantes. Nous aimons tous l'idée d'obtenir de nouvelles fonctionnalités et une nouvelle version du système d'exploitation, mais ces correctifs sont ce dont vous avez besoin pour vous assurer que le téléphone dans lequel vous gardez votre vie numérique est apte à être utilisé. Lisez quelques-uns des exploits abordés la prochaine fois que Google publiera ses notes de correctif mensuelles. C'est un truc effrayant, et un jour, quelqu'un va publier un mauvais logiciel qui tire parti de tous les téléphones non corrigés. Une véritable apocalypse de sécurité Android est une possibilité réelle.
C'est cassé. Cela a besoin d'être réparé.
Mais résoudre ce problème est presque impossible. Les entreprises modifient le code source de manière à ce que le code mis à jour de Google ne puisse pas être simplement inséré et tout reconstruit. Peut-être qu’ils ne devraient pas jouer avec le noyau d’Android, mais il est ouvert et ils le peuvent. N'oubliez pas que les entreprises veulent qu'Android travaille avec leurs logiciels et leurs services aussi bien qu'elles le peuvent. Cela signifie qu'ils doivent effectuer une grande partie du travail de résolution de ces problèmes eux-mêmes, et cela prend du temps. Et ils ont leurs propres problèmes de sécurité à régler avec les logiciels qu’ils ont écrits en interne.
Les entreprises entrent dans le code et s'en mêlent parce que c'est ouvert, et elles le peuvent.
Parfois, ces sociétés font également des variantes "spéciales" de leurs téléphones pour les opérateurs. Ce n’est pas parce que votre téléphone indique que le Samsung Galaxy S6 à l’arrière est identique à celui conçu spécialement pour Verizon ou AT & T d’un point de vue logiciel. Ces téléphones sont fabriqués selon les spécifications du transporteur et ils ont le dernier mot sur les modifications logicielles. Tout ceci complique encore le processus compliqué de mise à jour d'un téléphone. Ajoutez à cela le fait que les constructeurs de téléphones pensent que certains modèles ne valent pas le temps et l'argent nécessaires pour les mettre à jour (et c'est encore plus brisé) et c'est tout pourquoi la plupart d'entre nous n'obtiennent pas les mises à jour que nous méritons. sécuriser nos téléphones.
Nous voulons tous que Google intervienne et répare tout cela, mais le fonctionnement d’Android le rend presque impossible. Les choses pourraient être réécrites afin que le code soit plus compartimenté et que certaines zones puissent être mises à jour indépendamment (sorte de la manière dont Google a éclaté le composant d'affichage Web), mais cela signifierait presque à partir de zéro. Et les entreprises continueraient à faire des bêtises parce que c'est ouvert et elles le peuvent. Ensuite, nous sommes de retour là où nous avons commencé. Certaines personnes pensent même que Google devrait cesser d'autoriser les entreprises à utiliser leurs services si elles ne peuvent pas garder leurs téléphones à jour, mais des problèmes juridiques font que cela ne se produira jamais. Arrête de le dire.
Le seul moyen raisonnable de réparer tout ce gâchis est que les entreprises utilisant le code Android pour construire des téléphones (et des tablettes, des ordinateurs portables et des micro-ondes) soient plus responsables. Nous pensions que cela arriverait lorsque des personnes telles que Samsung et LG ont promis des mises à jour mensuelles, mais nous avons plutôt reçu quelques mises à jour sur des versions spécifiques d'une petite poignée de modèles. Et un tas de promesses non tenues.
Nous allons voir un grand nombre de nouveaux téléphones de presque toutes les entreprises du MWC dans les prochains jours. Malheureusement, la plupart d’entre eux ne recevront pas les mises à jour dont ils ont besoin pour assurer leur sécurité. Rappelez-vous ceci lorsque vous dépensez votre argent pour votre prochain.