Android 17 kiristää selvästi älypuhelinten suojausta brute-force-hyökkäyksiä vastaan. Niissä rikolliset tai erikoistyökalut kokeilevat automaattisesti eri PIN-koodeja. Kyse ei ole vain varkaista varastetun laitteen jälkeen; joissakin tilanteissa myös viranomaiset käyttävät samankaltaisia menetelmiä takavarikoitujen puhelinten avaamiseen. Nyt arvailulle jää paljon vähemmän tilaa.
Android 16 salli 10 PIN-yritystä ensimmäisen minuutin aikana, 20 ensimmäisten kuuden minuutin aikana, 50 yritystä 25 minuutissa, 110 yritystä vuorokaudessa ja enintään 1 800 yritystä viidessä vuodessa. Juuri pitkä aikaraja oli tärkeä brute-force-työkaluille: riittävällä ajalla ne pystyivät testaamaan huomattavan osan suosituista nelinumeroisista yhdistelmistä.
Android 17 tekee rajoista paljon tiukemmat. Ensimmäisen minuutin aikana sallitaan vain kuusi yritystä, kuudessa minuutissa seitsemän, 25 minuutissa kahdeksan, vuorokaudessa 12 ja viidessä vuodessa vain 19 yritystä. 20 väärän syötön jälkeen älypuhelin lukittuu kokonaan. Automaattiselle arvailulle tämä käytännössä pysäyttää hyökkäyksen: työkalu osuu nopeasti rajaan eikä voi jatkaa.
Jopa nelinumeroinen PIN sisältää 10 000 mahdollista yhdistelmää, mutta uudet viiveet ja kova 20 virheen katto tekevät brute forcesta käytännössä hyödytöntä. Google käsittelee myös tavallisia käyttäjävirheitä aiempaa tarkemmin: Android 16 QPR2:sta alkaen järjestelmä ei laske samaa väärää PIN-koodia useita kertoja peräkkäin erillisiksi yrityksiksi. Lukitusnäyttö näyttää lisäksi selkeämpiä viestejä jäljellä olevista yrityksistä ja odotusajoista.
Uusi suojaus ei silti korvaa perustason turvallisuustapoja. Heikot PIN-koodit, kuten 1234, 0000 tai syntymävuosi, voidaan yhä arvata ensimmäisillä yrityksillä, ja pakotettu avaus kasvoilla tai sormenjäljellä on oma riskinsä. Johtopäätös on yksinkertainen: Android 17:n jälkeen pitkä ja arvaamaton PIN on entistä tärkeämpi.