ข่าวใหญ่ในรอบเดือนที่ผ่านมาคือการค้นพบช่องโหว่ความปลอดภัยของ Android ที่ถูกเรียกว่า StageFright
ปัญหาของมันคือช่องโหว่ตัวนี้ส่งผลกระทบเป็นวงกว้าง คือตั้งแต่ Android เวอร์ชั่น 2.2 มาจนถึงปัจจุบัน ถ้าดูสัดส่วนเวอร์ชั่นแล้วก็ถือว่ากระทบ Android เกือบทุกตัวในโลก
ช่องโหว่ตัวนี้เกี่ยวข้องกับตัวเล่นมัลติมีเดียของระบบ Android ถ้าหากผู้ใช้ดาวน์โหลดไฟล์มัลติมีเดีย (เช่น ไฟล์หนัง MP4) ที่ฝังโค้ดประสงค์ร้ายมาด้วย เมื่อใดก็ตามที่เปิดไฟล์นี้ Android ของเราจะถูกมัลแวร์ที่ฝังเอาไว้ในไฟล์หนังเข้ามาโจมตีทันที
สิ่งที่น่ากลัวคือไฟล์มัลติมีเดียพวกนี้สามารถส่งผ่านข้อความ MMS ได้ ถึงแม้ปัจจุบันแทบไม่เหลือใครใช้ MMS กันแล้ว แต่มือถือ Android ส่วนใหญ่ยังตั้งค่าเอาไว้ว่าถ้ามีข้อความ MMS ถูกส่งมาหาเรา ให้ดาวน์โหลดไฟล์มัลติมีเดียที่แนบมาโดยอัตโนมัติ ไฟล์จะถูกเล่นและระบบจะถูกโจมตีทันที ผู้ใช้ไม่ต้องแตะเครื่องใดๆ ก็โดนเจาะเรียบร้อยแล้ว
ปัญหาเรื่องการโจมตีผ่าน MMS สามารถแก้ได้ไม่ยาก เพียงแค่เข้าไปปิดตัวเลือก Auto-retrieve MMS ในแอพข้อความ SMS ที่เราใช้งานเท่านั้น
แต่ปิดแล้วช่องโหว่ StageFright ก็ยังอยู่เหมือนเดิมนะครับ ยังมีความเสี่ยงที่เราจะโดนเจาะผ่านการดาวน์โหลดไฟล์อยู่ดี
กูเกิลรับทราบช่องโหว่นี้จากนักพัฒนาที่ค้นพบ และออกตัวอัพเดตเพื่ออุดช่องโหว่เรียบร้อยแล้ว
ปัญหาที่ใหญ่กว่านั้นมากคือกระบวนการอัพเดต Android เป็นเรื่องซับซ้อนมาก เพราะกูเกิลเป็นผู้พัฒนา Android ก็จริง แต่มีสิทธิอัพเดตเฉพาะอุปกรณ์แบรนด์ Nexus ของตัวเองเท่านั้น ถ้าเราใช้โทรศัพท์หรือแท็บเล็ตยี่ห้ออื่น เราต้องรอให้บริษัทนั้นๆ นำโค้ดจากกูเกิลไปใช้กับซอฟต์แวร์ของตัวเอง เพื่ออัพเดตให้ลูกค้าของตัวเองอีกทีหนึ่ง
...
ยิ่งในกรณีของต่างประเทศบางแห่ง (เช่น สหรัฐอเมริกา) ที่โอเปอเรเตอร์มือถือมีโทรศัพท์รุ่นพิเศษเฉพาะเครือข่ายของตัวเอง หลังจากผู้ผลิตมือถืออย่างโซนี่ แอลจี ซัมซุง อัพเดตซอฟต์แวร์ของตัวเองเรียบร้อยแล้ว ยังต้องส่งซอฟต์แวร์ให้โอเปอเรเตอร์แต่ละรายตรวจสอบจนพอใจแล้วถึงปล่อยอัพเดต กระบวนการทั้งหมดอาจกินเวลาเป็นเดือนหรือหลายเดือน ขึ้นกับความขยันและความจริงใจของผู้ผลิตมือถือ-โอเปอเรเตอร์แต่ละราย
กระบวนการนี้แตกต่างจากแอปเปิล ที่สามารถอัพเดตซอฟต์แวร์โดยตรงให้กับสินค้าของตัวเองทุกชิ้น เหตุเพราะแอปเปิลเป็นเจ้าของทั้งฮาร์ดแวร์และซอฟต์แวร์ สามารถควบคุมชะตาชีวิตของตัวเอง (และลูกค้า) ได้อย่างเต็มที่นั่นเอง
ก่อนหน้านี้เราไม่เคยเจอช่องโหว่ Android ที่ร้ายแรงและส่งผลกระทบเป็นวงกว้างขนาดนี้มาก่อน พอเจอ StageFright เข้าไปทำให้วงการ Android สะเทือนเลยทีเดียว
หลัง StageFright กลายเป็นข่าวใหญ่ กูเกิลออกมาแถลงว่าจะปรับปรุงกระบวนการอัพเดต Android จากเดิมที่ทำแบบตามใจฉัน ก็เปลี่ยนมาเป็นมีกำหนดการแน่นอนว่า กูเกิลจะอัพเดตแก้ปัญหาความปลอดภัยให้ทุกเดือน และเชิญชวนให้ผู้ผลิต Android หันมาทำแบบเดียวกันด้วย
ตอนนี้มีบริษัทใหญ่ประกาศเข้าร่วมแล้วสองรายคือซัมซุงและแอลจี แต่ยังเหลือบริษัทอื่นๆ อีกมากที่ยังไม่สนใจประเด็นปัญหานี้ จากสถิติที่ผมเคยเห็นระบุว่าโลกเรานี้มีผู้ผลิต Android นับเป็นแบรนด์จำนวน “หลักพัน” ซึ่งนับรวมบริษัทน้อยใหญ่ที่เราอาจไม่เคยได้ยินชื่อมาก่อนในประเทศกำลังพัฒนาหลายแห่งนั่นเอง
โดยสรุปแล้ว ปัญหาเรื่องการอัพเดต Android กำลังเป็นเรื่องใหญ่มากขึ้นเรื่อยๆ เพราะทุกปีมี Android ถูกขายออกไปจำนวนมหาศาล เกินปีละพันล้านเครื่อง อุปกรณ์เหล่านี้ร้อยพ่อพันแม่ และไม่สามารถคาดเดาได้ว่าบริษัทเหล่านี้จะตามอัพเดตให้ลูกค้านานแค่ไหน
กูเกิลพยายามแก้ปัญหานี้มาหลายรอบ แต่ด้วยสถาปัตยกรรมแบบเปิดเสรีของ Android ทำให้กูเกิลเองก็ทำอะไรไม่ได้มากนัก
คำแนะนำที่ผมให้ได้ในตอนนี้คือ ถ้าคิดจะใช้ Android ควรซื้อจากบริษัทที่เรามั่นใจว่าจะตามอัพเดตซอฟต์แวร์ให้เราอย่างต่อเนื่องเท่านั้น ซึ่งก็หวังว่าในอนาคตจะมีบริษัทลักษณะนี้เพิ่มขึ้นเรื่อยๆ ครับ
(ที่มาภาพ : www.android.com)