กูเกิลออกรายงาน Android Security 2016 Year in Review สรุปสถานการณ์ความปลอดภัยของ Android ตลอดทั้งปี 2016 ว่าเกิดอะไรขึ้นบ้าง
ในภาพรวม มาตรการต่างๆ ที่กูเกิลนำมาช่วยกรองไม่ให้ผู้ใช้ติดมัลแวร์ได้ผลดี อัตราการติดมัลแวร์ลดจำนวนลงจากในปี 2015 แต่อัตราการอัพเดตแพตช์ความปลอดภัยของผู้ผลิตฮาร์ดแวร์ต่างๆ ยังไม่ดีนัก กูเกิลก็พยายามเลี่ยงข้อมูลนี้โดยไม่เผยข้อมูลอุปกรณ์ที่ได้แพตช์ "ล่าสุด" (บอกอ้อมๆ ว่า "เคยได้แพตช์อย่างน้อยหนึ่งครั้งในปี 2016") แต่ในภาพรวมก็ถือว่าดีขึ้นจากปี 2015
กูเกิลมีบริการด้านความปลอดภัยหลายชั้น (ทั้งในระดับเครื่องและระดับคลาวด์ ตามภาพ) ที่คอยช่วยปกป้องอุปกรณ์ Android จากมัลแวร์ (หรือที่กูเกิลเรียกว่า Potentially Harmful Applications หรือ PHA)
ตัวเลขจากกูเกิลระบุว่าในไตรมาส 4/2016 อุปกรณ์ Android ทั้งหมดที่เก็บสถิติมี PHA มีสัดส่วน 0.71%, ถ้านับเฉพาะอุปกรณ์ Android ที่ดาวน์โหลดแอพเฉพาะจาก Google Play เท่านั้น สัดส่วนคือ 0.05%
อัตราการติดมัลแวร์ในปี 2016 ลดลงจากปี 2015 อย่างชัดเจน (ตัวเลขของประเทศไทยลดจาก 0.17% เหลือ 0.09% สำหรับกลุ่ม Google Play และลดจาก 10.03% เหลือ 5.60% สำหรับกลุ่มที่ไม่ได้ใช้ Google Play)
สถิติอื่นที่น่าสนใจมีดังนี้
กูเกิลยังเผยข้อมูลของผู้ใช้ในแต่ละประเทศว่า Android ของประเทศนั้นๆ เป็นเวอร์ชันที่ผ่านการรับรองจากกูเกิล (CTS) เป็นสัดส่วนเท่าไร และผ่านการตรวจเช็คความปลอดภัยขั้นต้น (basic integrity check) เท่าไร ตัวเลขของประเทศไทยคือใช้เวอร์ชันตรงกับ CTS ที่ 65% (ถือว่าค่อนข้างน้อย แปลว่ามี Android สายดัดแปลงเองเยอะ) แต่ผ่าน integrity ที่ 95% ถือว่าค่อนข้างดี (ตัวเลขเฉลี่ยของทั้งโลกคือ 94.4%)
กูเกิลเริ่มนำระบบ Android security patch level หรือการอัพเดตแพตช์ความปลอดภัยประจำเดือน มาใช้ตั้งแต่ปี 2015 สถิติที่กูเกิลนำมาเปิดเผยมีดังนี้
จากการตรวจสอบของกูเกิลในเดือนธันวาคม 2016 ว่ามี Android รุ่นใดบ้างได้อัพเดตแพตช์รอบเดือนตุลาคม 2016 เป็นสัดส่วนตามจำนวนเครื่องในรุ่นเดียวกันเยอะที่สุด รายชื่อมือถือกลุ่มนี้ได้แก่ Google Pixel, Google Pixel XL, Motorola Moto Z Droid, Oppo A33W, Nexus 6P, Nexus 5X, Nexus 6, OnePlus OnePlus3, Samsung Galaxy S7, Asus Zenfone 3, bq Aquarius M5, Nexus 5, Vivo V3Max, LGE V20, Sony Xperia X Compact (ไม่เรียงตามลำดับสัดส่วน)
หลังจากกูเกิลเปิดฟีเจอร์ File-based Encryption เป็นดีฟอลต์ใน Android 7.0 Nougat คราวนี้กูเกิลก็เผยสถิติว่ามีอุปกรณ์มากแค่ไหน สำหรับ Android 7.0 ตัวเลขอยู่ที่ราว 80%
รายงานฉบับเต็มสามารถอ่านได้จาก Android Security 2016 Year In Review
ที่มา - Google Blog
Comments
อย่าคิดมาก มือถือราคาแค่ 2000-3000 ได้เท่านี้ก็โออยู่นะ
ผมเข้าใจว่ารอมที่ผ่าน CTS คือพวกรอมศูนย์สินะครับ
งั้นผมว่า CTS น้อยก็ไม่แปลกใจหรอกครับ ซื้ัอเครื่องแถมแพ Security Patch เงียบเป็นป่าช้า
เครื่องราคากลางๆ ไม่เกิน 10,000 ถ้าไม่ใช่พวก Pure Android ผมแทบไม่เคยหวังเลยว่าจะมี Update เลย
ตอนนี้ผมใช้ Mi อยู่ Security Patch ได้แทบทุกสัปดาห์เลยชิลๆ (EU Weekly)
ส่วน Stable ก็ต้องรอกันหน่อย แต่ก็ไมไ่ด้นานมากนัก
คิดเหมือนกันเลยครับ ตอนนี้ใช้ z play ที่เกือบจะ pure andriod รึเปล่าก็ไม่แน่ใจ ตอนนี้อยากได้ pixcel ก็เพราะเหุผลเรื่อง update นี่แหละครับ
จริงๆอยากให้ผู้ผลิตสนใจออกแพตช์ความปลอดภัยอุปกรณ์มากกว่านี้จัง ไม่ต้องอัพรุ่น Android ก็ได้ แต่หมั่นออกแพตช์อย่างสม่ำเสมอหน่อย ที่ใช้ Nexus 6P นี่ก็เพราะเรื่องนี้เลย
จริงๆ อยากได้ตารางว่าเครื่องรุ่นเรือธงตัวไหน ยี่ห้อไหน ได้รับแพตช์หลังจากจันทร์แรกต้นเดือนไปกี่วัน จะได้มีตัวเลือกกันมากขึ้น
ผมสงสัยว่าทำไมไม่แยก Service Update ระหว่าง Google และ ผู้ผลิตไปเลย
คือ อยากให้ทุกเครื่องเป็น Pure Android แล้วครอบทับด้วย Launcher ของผู้ผลิตแต่ล่ะค่ายเอา
นึกง่ายๆก็เหมือนWindowsอะครับ ที่Core ระบบยังเป็นWindows อยู่ แต่พวกไดร์ฟเวอร์อุปกรณ์พิเศษต่างๆ เป็นของผู้ผลิตไป
เวลาอัพเดทก็แยกฝั่งแยกหน้าที่ในการรับผิดชอบอัพเดทของใครของมันไปเลย เหมือนกับWindows Update อะครับ
อันไหนอัพเดทCoreของระบบ ก็ให้กดอัพตรงจากGoogleได้เลย อันไหนเป็นการแก้บั๊ก พวกไดร์ฟเวอร์ ลูกเล่นต่างๆ ก็ค่อยคอยรับจากผู้ผลิตเอา
+1
เอาสั้นๆ มือถือมันยากครับ ถ้ามันง่ายขนาดนั้น ไมโครซอฟท์ควรจะรักษาสัญญาใน Windows Phone 10 แต่สุดท้ายก็ไม่สามารถอัปเดตจากส่วนกลางพร้อมกันหมดได้อยู่ดี
จริงๆ กูเกิลจะกำหนดกฎเหล็กออกมาก็ทำได้ แต่ถ้าไม่มีผู้ผลิตโทรศัพท์มือถือและไม่มีผู้ให้บริการโทรศัพท์สักรายยอมเล่นด้วยก็เปล่าประโยชน์ อย่างใน Project Ara
ก่อนหน้านี้ กูเกิลพยายามลดอำนาจผู้ผลิตโทรศัพท์สมาร์ทโฟนด้วยโครงการที่ชื่อ Ara โดยคอนเซปต์คือทำให้สมาร์ทโฟนกลายเป็น lego block ผู้ใช้สามารถสลับสับเปลี่ยนชิ้นส่วนต่างบนเครื่องได้อย่างอิสระ ทั้งซีพียู แรม กล้อง จอ ฯลฯ พัฒนาไปไกลพอสมควรแล้ว ตัว prototype สามารถบู๊ตได้ ถ่ายรูปได้ ทำงานพื้นฐานได้แล้ว โดยส่วนตัวเชื่อว่า กูเกิลออกข้อกำหนดของฮาร์ดแวร์ที่จะทำงานในโครงการ Ara ขึ้นมา ทำให้ไม่มีผู้ผลิตโทรศัพท์อีกต่อไป กลายเป็นผู้ผลิตชิ้นส่วนแทนและหน้าที่จะลดลงเหลือแค่ออกไดร์เวอร์เท่านั้น (เหมือน custom built PC เป๊ะ) ส่วนระดับระบบปฏิบัติการยันแอพพลิเคชันทั้งหมดกูเกิลจะควบคุมเบ็ดเสร็จทันที (เหมือน MS Windows)
แต่สุดท้ายโครงการก็ล่มไป โดยส่วนตัวเชื่อว่าไม่สามารถหาตลาดได้ ผู้ผลิตโทรศัพท์ไม่อยากลงไปเล่นด้วยเพราะจะเสียผลกำไรและจะกลายสภาพเป็นผู้ผลิตชิ้นส่วนเหมือนตลาดพีซีทุกวันนี้ (ซัพพอร์ตยาวกว่า กำไรน้อยกว่า) รวมถึงผู้ให้บริการโทรศัพท์ในสหรัฐที่ชอบควบคุมมือถือที่ขายแบบผูกสัญญากับของตัวเอง มุมหนึ่งก็ไม่อยากสนับสนุนเพราะอาจต้องไปให้บริการแก้ปัญหาโทรศัพท์ที่ไม่สามารถควบคุมคุณภาพการใช้งานได้ เหมือนระบบปิดที่เป็นอยู่ รวมถึงอาจจะไม่สามารถฝังแอพเฉพาะลงไปได้ง่ายๆ รวมถึงรูปโฉมที่ออกมาก็มีเสียงร้องว่าหนักและหนาไปกว่าสมาร์ทโฟนในตลาด