Android без обновлений: защитные фишки для безопасного использования старых смартфонов

Обновления для Android — это обман? Меня спрашивают об этом постоянно. Не поймите неправильно, когда работаешь в техножурналистике, просьбы о консультациях — обычное дело. Но почему столько знакомых спрашивают именно про обновления Android?

Всё из-за маркетинга. Сейчас рекламные кампании звучат примерно так: «Закончились обновления — твои фото, деньги и данные под угрозой». Пришлось копнуть глубже и разобраться.

Эти обещания десятилетий поддержки — отчасти да, обман. Но одновременно — совсем нет. Это критически важная тема, и именно поэтому она мне интересна.

Цель — вы, а не ваш телефон

Сейчас вас напугаю: кибератака! Страшное слово. Крадёт деньги, притворяется другими людьми, тащит драгоценности у бабушки. И якобы взламывает телефоны.

Да, бесспорно: эксплуатация уязвимостей — часть киберпреступности, и это архиважно, поэтому и пугает. Но знаете, что ещё относится к киберпреступности?

• Фишинг
• Социальная инженерия
• Мошеннические звонки
• Пользователи, не защищающие свои данные для входа
• Вредоносные приложения, доступные даже в официальных магазинах

Для большинства перечисленного не нужно знать код, писать код или удалённо проникать в чужой телефон. Достаточно убедительного тона, создания срочности и одного звонка. И спойлер: большинство киберпреступлений против обычных пользователей — именно такие.

Критическая разница между эксплуатацией уязвимостей и остальными видами киберпреступлений — в том, как участвуют пользователи. Вы не выбираете, присылать ли вам вредоносное письмо или звонить, притворяясь кем-то другим.

Но защита данных и избежание опасных ситуаций — это ваша зона ответственности. Правда, для этого нужны информация и критическое мышление — навыки, которыми должен обладать пользователь. Да, нужен определённый уровень подготовки, чтобы распознать попытку социальной инженерии. Но можно практически полностью избежать программных угроз благодаря знаниям.

Тем не менее, даже тогда ваш телефон не застрахован от взлома. Но если так, почему старый Moto G Power моего соседа до сих пор поддерживает NFC-платежи, хотя не получал обновлений безопасности месяцами? По идее, он в зоне риска кражи денег. Ведь даже если быть осторожным — телефон не защищён от взлома на 100%.

Позвольте сформулировать иначе: сколько людей вы знаете, которых реально взломали? Вот и я — никого.

«Страшные» цифры не всегда сходятся

Зачем столько шума вокруг обновлений безопасности, если взломы редки?

Как выясняется — взломы случаются. Не буду грузить вас цифрами и именами, но есть масса исторических данных о тысячах реальных уязвимостей. Для примера: Project Zero проделал фантастическую работу в этой области, помог не только предотвратить повторные атаки, но и остановил некоторые в реальном времени. Звучит отлично, если бы не одна деталь: Project Zero финансирует Google.

Та самая компания, которая стоит за Android.

После того как мы коллективно подняли брови, позвольте смягчить: конечно, это не единственная компания, борющаяся с угрозами, и это не умаляет результатов. Но это делает ситуацию удобной для манипуляций в пользу определённых сторон, и находить это странным — нормально.

Но вот что действительно шокирует: нет независимых сторонних исследований, фокусирующихся на влиянии на конечного пользователя. Это вы, кстати — весьма вероятно — парень или девушка с крутым телефоном, читающие это сейчас, после пары раундов игры и перед очередным часом скролла в соцсетях. Мы все так делаем. И насколько я вижу, нас довольно много, мы активно пользуемся телефонами — это современная необходимость — так почему никто не исследует, сколько из нас взламывают?

Я начал опрашивать знакомых. Некоторые рассказывали истории про «того парня», которого «взломали», но всегда без подробностей: безымянный парень, неуточнённый эксплойт или период. В некоторых историях у него даже был iPhone, и эта деталь беспокоила только меня.

Естественно, продолжил поиски онлайн. Но ответы оказались не намного убедительнее.

Пользователи настаивали, что обновления безопасности крайне важны, но не приводили реальных примеров почему. Перешёл на технические форумы, особенно те, что посвящены разработке под Android, и получил то же самое, только лучше аргументированное.

Но вот что меня зацепило: разумеется, разработчики скажут, что это важно. Это их работа, и многие — если вкладываются в open-source сообщество Android — даже не получают за это денег. Плюс профессиональная предвзятость: раз эти ребята знают, как исправлять уязвимости, они наверняка знают, как их создавать. Это делает их параноиками. Когда вы в последний раз видели фитнес-тренера в McDonald’s?

Есть и другая критичная сторона: признались бы вы публично, если вас взломали, или тихо надеялись бы, что никто не найдёт вашу историю поиска? Обратились бы в полицию? Многие не сообщают о реальных случаях насилия или злоупотреблений, так что нет причин верить, что те же люди сообщат о взломе телефона (особенно если сами на это нарвались).

Коротко:

• Киберпреступность — это плохо (очевидно)
• У нас тонны документации, подтверждающей существование рисков
• Практически невозможно измерить реальное влияние на обычных пользователей телефонов

Картина мрачная. Но это только одна сторона. Вот другая:

• Большинство пользователей не используют телефон опасным образом. Если не рисковать и использовать телефон для звонков и веб-сёрфинга, реально вы не в особой опасности
• Большинство серьёзных программных атак нацелены не на людей — они нацелены на компании, сервисы и продукты

И хотя второй пункт звучит как ещё больше поводов для беспокойства, поверьте: это отличная новость.

Вы и ваш телефон в большей безопасности, чем кажется

Не могу озвучить эту информацию публично, так что надеюсь, меня не засудят за неконкретные данные: я точно знаю, что две огромные корпорации мирового масштаба используют Windows 7 как бэкенд для своего софта.

Это операционная система 2009 года, поддержка которой прекратилась в 2020-м.

Эти компании обслуживают миллионы пользователей. Значит ли это, что они подвергают их опасности? Нет. И это ключевой момент. Приведу пример попроще:

Допустим, одна такая компания — банк. Очевидно, он не полагается на Microsoft — разработчика мёртвой системы Windows 7 — в плане обновлений безопасности. Вместо этого внутренняя команда специалистов банка разработала слои защиты поверх всей системы, чтобы нужные функции работали без риска для кого-либо. Да, Windows 7 в картине есть, но только как база, на которой происходит действие. В реальности ваш банк следит, чтобы вы могли использовать их приложение на 100% безопасно… Даже если на другом конце оно работает на Windows 7. Неподтверждённая инфа, не цитируйте меня.

Но погодите, становится ещё лучше. Надеюсь, ваш банк не размещает приложение на подозрительной ссылке, и вы скачали его из Google Play. Если да — вам повезло: Google Play Protect существует и усердно следит, чтобы скачиваемые приложения были безопасны. Конечно, иногда что-то проскакивает, но дайте Google передышку: вы тоже простужаетесь раз в год, верно? Плюс Play Protect работает независимо от того, получает ли ваш телефон регулярные обновления.

Есть ещё Project Mainline — одна из самых амбициозных идей Google. По сути, она позволила обновлять части Android без вмешательства в железо телефона и без необходимости производителю выпускать полное обновление. Хотя это не отменяет потребность в обновлениях полностью, это означает, что использовать старый телефон сейчас безопаснее, чем когда-либо.

Это объясняет две вещи:

• Большинство исследований фокусируется на компаниях и продуктах, потому что именно ими вы — конечный пользователь — в итоге пользуетесь; Делая это, компании используют данные для улучшения безопасности, что косвенно обеспечивает дополнительную защиту вам. Элегантно!
• Всё нагнетание вокруг обновлений безопасности ошибочно, потому что основано на исследованиях, которые вам не важны, и часто касается сервисов, которые очень усердно работают над устранением этих угроз до того, как они достигнут вашего устройства

Отлично. Но это всё ещё не объясняет, обман ли обновления безопасности.

Риск постоянен, но жизнь продолжается

Открою секрет: если кто-то действительно хочет вас взломать, он, вероятно, сможет. Скорее всего, вы даже не узнаете. У меня куча друзей, работающих в области кибербезопасности, и это те самые ребята, которые «натренировали» меня быть осторожным онлайн. Но несмотря на их обучение, каждый раз когда я вызываю их взломать меня и стараюсь защититься изо всех сил — я проигрываю.

Но поверьте, зато когда я вызываю их написать осмысленную статью — тоже весело.

Я не хочу вас пугать. Хочу, чтобы мысль выше показалась вам освобождающей. Потому что даже если вы осторожны всегда и используете самый защищённый смартфон на планете — вас всё равно могут взломать. В то же время, даже если вы используете телефон возрастом в годы, вас могут никогда не взломать. Это просто сложная материя.

Меня беспокоит, что многие маркетинговые заявления об обновлениях безопасности могут восприниматься как нагнетание страха. И очевидно, нетрудно так думать, когда мы точно знаем, что множество компаний выгадывают от того, чтобы вы купили новый телефон. Одновременно нужно понимать, что гипербола используется не чтобы навредить вам — а чтобы привлечь ваше внимание.

Это как социальная реклама — реальная жизнь не такая драматичная (и, признаем: кринжовая), но это заставило вас остановиться и посмотреть. То же самое здесь: много шума, чтобы вы были проинформированы и заметили.

Давайте чётко: я не даю вам разрешение доставать любимый телефон семилетней давности, потому что его можно безопасно использовать. Я здесь, чтобы бороться с дезинформацией и вооружить вас знаниями.

Кто реально в зоне риска?

Любители экспериментов и энтузиасты: люди, обожающие продвинутые модификации, установку приложений из сторонних источников и всякие штуки вроде скачивания «супер-легального» .apk замечательной игры Dead Space для смартфонов, которая больше не поддерживается, но всё ещё работает, с «реально надёжного» сайта (я такой, кстати, и мы заслуживаем вернуть эту игру!) — давайте поддержим энтузиазм, но на актуальных устройствах, окей?

Профессионалы разных сфер вроде журналистов, разработчиков, публичных персон — люди, которых легко сделать мишенью, потому что от этого что-то можно получить. Я бы сказал, этим ребятам стоит принять дополнительные меры и всегда использовать телефоны с активными циклами обновлений безопасности.

Что действительно важно про обновления безопасности:

• Обновления Android и обновления безопасности — классная и необходимая вещь. Всегда лучше их иметь, и мы должны бороться за ещё более длинные циклы поддержки
• Когда телефон перестаёт получать обновления безопасности, это не конец света. Не нужно менять его немедленно, и вас не взломают сразу после этого
• Если реально раздумываете о новом телефоне, отсутствие обновлений безопасности должно весить примерно 30%. Для контекста: разбитый экран — 20%, нерабочий порт зарядки — 10%
• Настоящая тревога должна включиться, когда критичные приложения — банковские, звонки, сообщения, навигация — перестают обновляться или прямо просят перестать их использовать, потому что они устарели. Это точно означает необходимость нового телефона
• В любом случае ваше главное оружие — критическое мышление. Не идите на поводу: если что-то выглядит подозрительно, вероятно, так и есть. Даже спросить на Reddit лучше, чем рисковать вслепую
• Помните про классные проекты вроде LineageOS, вдыхающие новую жизнь в старые телефоны, включая патчи безопасности. Требуется повозиться и не супер-просто, но вы, вероятно, справитесь с помощью продвинутого друга

Лучшие практики безопасности:

• Перезагружайте устройство время от времени. Даже если кто-то пытается вас достать, соединение прервётся, и в большинстве случаев им придётся тратить время на восстановление. Многих преступников это отпугивает, и они переключаются на другую цель
• Следите за переключателями: выключайте то, чем не пользуетесь, вроде Bluetooth или NFC. Каждый из них работает в обе стороны, что означает возможность проникновения. Плюс это сэкономит батарею, что всегда приятно
• Обновляйте приложения. Включите автообновление по WiFi. Вручную проверяйте новые версии через день, особенно если используете устройство для работы с чувствительными данными или платежей
• Делайте бэкапы. Серьёзно. Нет, не только в облако — если вас взломают, это скорее всего часть картины
• Используйте двухфакторную аутентификацию! Серьёзно, люди, на дворе 2026. Сколько раз ещё говорить? Это может спасти в экстремальных ситуациях, особенно если вы уже хороши в распознавании социальной инженерии
• Не рискуйте. Если сомневаетесь, стоит ли рисковать — вероятно, не стоит. Жизненный совет, кстати

Не живите в страхе, но будьте бдительны

Признаем: мы все можем назвать хотя бы одну компанию, попытавшуюся нажиться на страхе от кибератак, объявив, что определённые продукты не получат дальнейших обновлений. И это беспокоило меня достаточно, чтобы написать эту статью.

Технологические гиганты должны понять, что безопасность пользователя — не ещё одна возможность монетизации. Если они честны насчёт качества продуктов, это и должно быть маркетинговой целью. Нам не нужна тактика страха: нужны хорошие инженеры и больше способов научить людей безопасности онлайн.

Да, неизбежно настанет время заменить телефон. Но наступит ли это время, как только закончится цикл обновлений? Реалистично, для большинства — нет. Если телефон работает, критичные приложения регулярно обновляются, и вы используете устройство чуть осознаннее — скорее всего, всё будет в порядке.

Ситуация в России

Вопрос обновлений безопасности для Android-устройств в России стоит особенно остро из-за специфики рынка. Многие смартфоны попадают через параллельный импорт или покупаются на вторичном рынке, что означает отсутствие официальной поддержки производителя.

Google Play Protect функционирует штатно на территории России и продолжает защищать пользователей независимо от наличия обновлений прошивки. Российские пользователи также могут воспользоваться альтернативными магазинами приложений (RuStore, NashStore), которые проводят собственную проверку безопасности приложений. Банковские приложения российских банков регулярно обновляются и имеют собственные слои защиты, работающие даже на устаревших версиях Android.

Для продвинутых пользователей доступны кастомные прошивки вроде LineageOS с продлённой поддержкой безопасности — на специализированных форумах (4PDA, XDA Developers) можно найти подробные инструкции по установке на популярные модели.

Операционная система Android 17 Beta 2: «пузырьковая» многозадачность и исправление критических ошибок

Сообщение Android без обновлений: защитные фишки для безопасного использования старых смартфонов появились сначала на DGL.RU - Цифровой мир: новости, тесты, обзоры телефонов, планшетов, ноутбуков.