Идеята, че платформата Android е несигурна, е популярна и упорита. И много вероятно грешно.
Едва ли минава седмица без ново заглавие за прясно открита уязвимост или нов зловреден софтуер, засягащ милиони устройства.
Тези проблеми се изострят от факта, че Android екосистемата е сложна. Раздробяване прави невероятно трудно актуализирането на платформата. Пренасищането на различни производители на устройства създава хиляди различни телефони и таблети, работещи с различни версии на Android. В резултат на това актуализациите с корекции на сигурността в тях отнемат месеци, за да се пуснат - или по-лошо, никога не го правят. Твърде много производители актуализират само своите флагмани, оставяйки известни уязвимости в по-стари и по-малко устройства, които могат да изложат потребителите на риск.
Свързани
- Google току-що обяви 9 нови функции за вашия телефон и часовник с Android
- Google Chrome получава актуализацията за таблет с Android, която чакахте
- Google иска да знаете, че приложенията за Android вече не са само за телефони
Помислете за уязвимост като Сценична треска, което може да даде на хакерите контрол над устройство с Android чрез зловреден код в аудио или видео файл. Докладите показват, че до 95 процента от устройствата са уязвими. Но колко са засегнатите в действителност?
„Ето ни година и половина, почти две години, откакто разбрахме за първи път и все още не знам дали някой наистина е засегнат“, каза Адриан Лудвиг, директор на Android Security, пред Digital Тенденции.
Притеснението беше, че Google разработи корекции сравнително бързо и веднага ги внедри в линията устройства Nexus на Google. Пачове за други устройства излязоха по преценка на производителите.
Това означава, че ако имате Google Pixel с най-новия Android 7.0 Nougat вие се възползвате от най-новата защита, но някой с телефон с KitKat (20 процента от
Това е труден проблем, който не е лесно решен, но екипът по сигурността на Android работи усилено, за да намали риска за потребителите. Страшната статистика създава добри заглавия, но все пак
„Наистина мисля, че имаме малък проблем с възприятието, но той е много различен от реалния потребителски риск“, обясни Лудвиг. „Криптографската работа, която вършим, пясъчната среда, която вършим, и много от работата, за да направим експлоатацията по-трудна, всичко това се съчетава добре.“
Digital Trends разговаря с Ludwig в Google Hangouts, за да разбере текущото състояние на сигурността на Android, попитайте дали хората наистина трябва бъдете загрижени за основните уязвимости и зловреден софтуер и научете какво прави Google относно фрагментацията, за да осигури по-широка сигурност актуализации.
Цифрови тенденции: Android наистина ли е несигурен?
Адриан Лудвиг: Не, не е несигурно. Има много неща, които направихме, които придвижиха очакванията напред през последните няколко години.
За Mac или Windows трябваше да имате антивирусна защита от трети страни, но ние казахме, че ще направим това за всички и ще го направим безплатно.
Sandboxing на приложения е сравнително нова концепция в света на сигурността на Android – идеята, че приложенията нямат достъп до всички ваши потребителски данни, но само достъпът до техните данни е изцяло нов, не е нещо, което съществува на Mac, не е нещо, което съществува на Windows.
„Имаме малък проблем с възприятието, но той е много различен от действителния риск за потребителите.“
След това има криптиране на устройството. Повечето предприятия не го включват през цялото време. В мобилното пространство е наложено очакване, че всичко трябва да бъде криптирано през цялото време и дори има очакване, че е ще бъде криптирана толкова добре, че ще бъде трудно дори за сложна атака да получи достъп до тези данни без потребител упълномощаване.
Също така научихме много за това как работят лошите актьори и какво се опитват да направят, и сега сме малко повратна точка. През първите няколко години се учихме, изграждахме нашето разбиране и подобрявахме нашия технологичен пакет. Сега можем да сме в крак с лошите актьори. Степента на зловреден софтуер, например, е сравнително постоянна през последните три или четири години, но мисля, че това е годината, в която сме ще видим спада им, може би значително, защото сме стигнали до момента, в който имаме достатъчно умения и опит. Вече сме в състояние да се движим по-бързо от актьорите, да ги хващаме по-рано и да предприемаме действия по-ефективно в цялата екосистема, отколкото преди.
Мисля, че сме в повратна точка, когато дори по стандартите на Android ще започнем да виждаме доста значителни подобрения по отношение на зловреден софтуер.
Има още какво да се направи, но е лесно да забравим колко далеч сме стигнали през последните пет години.
Виждаме много доклади за уязвимости с плашеща статистика. Какъв е реалистичният риск устройството ви с Android да бъде експлоатирано или отвлечено? Например, каза се, че нещо като Stagefright потенциално засяга 95 процента от
Изминаха година и половина, почти две години, откакто разбрахме за това, и все още не знаем дали някой наистина е засегнат. Има слухове, че малък брой устройства може да са били засегнати, но дори и за тези нямаме никакви обосновани доказателства.
И повярвайте ми, когато чуем такъв слух, ние се опитваме да го прогоним. Отиваме да говорим с компанията, която прави това изявление. Питаме дали има данни, които могат да споделят. Никога не сме успели да потвърдим нито едно от тези числа. Мога да кажа определено, че няма 900 милиона засегнати устройства.
Разбира се, заглавията, които се появиха, и вълнението бяха несъразмерни с реалността и може би никой не беше засегнат. Което е невероятно според мен, дори и самият аз да поглеждам назад, винаги има притеснение, че може да има нещо, което не виждаш, но времето изглежда е нещото, което разкрива тези слепи петна.
Работя върху сигурността на Android през последните шест години и всеки път, когато погледнете в област, където някой е казал „това е сляпо място“, не откриваме нищо. И така, в началото беше „има тонове и тонове злонамерен софтуер в Google Play“ и ние погледнахме, имаше малко и го премахнахме. След това чуваме „това е извън Google Play“, гледаме, има някои, поставяме доста добри защити. Тогава „ще се изкачи следващата година“ и това също не се случи. Сега „уязвимостите ще бъдат използвани“, но ние не виждаме това.
Отново и отново се придвижваме напред в това, което търсим, и проверките, които извършваме, и услугите, които предоставяме, за да търсим лоши участници, но просто не виждаме никаква действителна вреда.
Въпреки това искаме да бъдем възможно най-предпазливи и затова инвестираме в услуги, за да търсим във всички тези малки тъмни улички. Също така работим с партньори, за да сме сигурни, че те могат да отговорят възможно най-бързо, така че инвестирахме много в това актуализации на защитата, не защото виждаме много реална експлоатация, а защото не искаме това да бъде риск, който някога ще се случи осъзнах.
Голяма част от това е да останеш напред и никога да не стигнеш до момент, в който има проблем.
Защо мислите, че този разказ за това, че Android е „токсична пекла“ от уязвимости, продължава да съществува?
Има няколко причини. Единият е, че сложността често е много плашеща и разказът за екосистемата на Android е сложен. Има много различни OEM производители [производители на телефони и таблети] в екосистемата, много различни модели устройства.
„[Машинното обучение] е една от основните причини да изпреварим нападателите.“
Да се опише накратко какво се случва в екосистемата на Android е трудно, почти по същия начин, по който е много трудно да се опише човешката анатомия или населението на човечеството. Но ние знаем това медицината се подобряваи знаем, че хората живеят по-дълго. Знаем, че хората стават по-здрави, но все още четем много истории за умиращи хора, случващи се лоши неща и болести.
Мисля, че това е огледало на това, което се случва в екосистемата на Android. Сложно е, така че често няма задоволителен, супер прост отговор, но като цяло става все по-сигурен и стабилен.
Виждаме и много истории за зловреден софтуер, но в опасност ли е средният потребител на Android, който никога не изтегля приложения извън Play Store?
От Play броят на зловреден софтуер е около 0,05 процента, което е 5 от 10 000 приложения, така че това е доста ниско. По отношение на това какъв процент от устройствата се заразяват, това е в диапазона, при който, ако не говорим за това, никой нямаше да разбере, че се случва.
Говорим за това, за да сме сигурни, че има прозрачност относно нивото на риск. Често платформите не искат да говорят за нещата. Те си затварят очите. Искаме да имаме прозрачност по отношение на външните участници и нашите политики и процеси, за да можем да изградим доверие. Не искаме хората да се доверяват сляпо.
Предполагам, че със сигурност в екосистемата на Android Play Store е най-чистият магазин за приложения. Предполагам, че се сравнява по подобен начин с други магазини за приложения с екосистеми, които са по-затворени. [Вярваме, че Адриан има предвид Apple App Store.]
След като го обсъдихме с много хора, анекдотично, не познаваме никой, който да е имал проблем със зловреден софтуер за Android, но аз самият имах проблеми с Windows. Защо всички говорят за
Мисля, че се отегчихме от зловреден софтуер на Windows и затова вече не е забавно да говорим за него. Android беше нещо ново, вълнуващо нещо.
Всичко, което съм виждал, показва това в екосистемата на Android. Стотиците милиони устройства, които се инсталират от Google Play, са с порядък по-чисти от управляван корпоративен парк от устройства с Windows. Нашият процент на заразяване е половин процент в световен мащаб, като за управляваните устройства с Windows е по-висок, а за потребителските домакинства процентът на заразяване за устройства с Windows е още по-висок.
Но Android е вълнуващ. Това е разрастващ се пазар. Това е разрастващ се пазар за потребителите, но мисля, че е и разрастващ се пазар за индустрията за сигурност, така че те са много заинтересовани да се уверят, че хората са наясно и мислят за тези неща. Това е формата на комуникация около платформата.
Когато откриете злонамерен софтуер, кой тип е най-често срещаният?
Повечето от това, което виждаме, е с комерсиален характер. Те обикновено се опитват да правят пари и механизмът за монетизиране на мобилни устройства е инсталирането на приложения. Виждаме нишови случаи на приложения, които търсят банкови пароли или подобни неща, но най-лесният начин за монетизиране е да инсталирате приложение. Много голям процент е свързан с това, което наричаме враждебни изтеглящи.
Интересното е, че приложенията, които инсталират, сами по себе си не са вредни. Може да е игра, която иска да получи промоция, или може да е друга услуга, при която те се възползват от разпространението на пазара. Крайният резултат не е типът неща, за които хората мислят, когато мислят за зловреден софтуер. Често някой не се опитва да открадне вашите данни.
Там е шпионски софтуер. Не искам да предполагам, че не съществува. Тази седмица дори направихме публикация, описваща шпионски софтуер от много висок клас, който открихме, но той беше на 25 устройства. Това със сигурност не е типът нещо, което е често срещано или най-популярно в екосистемата.
Има ли нещо по същество по-малко сигурно в Android в сравнение с други мобилни операционни системи?
Не мисля, че в платформата има нещо по-малко сигурно. Мисля, че сложността прави по-трудно да се правят изявления на ниво платформа.
Хората обичат да сравняват iPhone с Android. IPhone е устройство с операционна система от производител, всъщност става въпрос за пет различни устройства. Ако погледнете един производител от
Може би сравняването на линията Pixel и Nexus с iPhone може да е по-справедливо?
Да, много сходен хардуер – сходни свойства за сигурност. Магазините за приложения имат подобни свойства за сигурност, проверени приложения, изолация на приложения - много сходни свойства за сигурност. И двамата имат ангажимент за бързи актуализации.
„Сравнявайки Samsung с iOS, вече сте приблизително 20 пъти по-сложни по отношение на това устройство спрямо онова устройство.“
Там, където влизате в диференциацията, е прозрачността. Android е с отворен код. Тази информация е достъпна за всички. Ние насърчаваме изследванията на трети страни чрез нашата програма за награди за сигурност, така че знаем не само това търсим ли проблеми в платформата, но други хора също и това прави голямо разлика.
Мисля, че услугите също правят огромна разлика. Умишлено сме проектирали видимост и възможност за проверка на устройства на място, докато това не съществува на никоя друга платформа. Това означава, че получаваме обратна връзка за много малки неща, които се случват, и можем да отговорим на това.
Как се борите с бавното внедряване на актуализации за защита за устройства с Android, които не са на склад? Разочароващо ли е?
Ние наистина оценяваме колко хора са възприели Android и колко устройства са го направили
Прекарахме много време през последната година, за да се опитаме да помогнем на тези, които се движат по-бавно, за да разрешат някои от техните технологични предизвикателства, решаване на някои от техните инженерни предизвикателства, а в някои случаи и организационни предизвикателства. Може да им липсва екип от инженери, които да предоставят актуализации. Може би не са мислили за това, затова питаме какво можем да направим, за да ви отведем до момент, в който сте мислили за това и има смисъл?
Това определено прави нещата по-сложни, но също така е в основата на това защо Android беше толкова успешен, защото много различни хора успяха да се намесят и да започнат да създават устройства.
Какви действия е предприел екипът на Android, за да направи платформата по-сигурна? И коя е следващата област, с която бихте искали да се заемете или да подобрите?
Мисля, че всички части се събират много добре. Това беше многогодишно пътуване, но криптографската работа, която вършим, пясъчната среда, която правим, много работата за усложняване на експлоатацията се съчетава добре, така че това са областите, в които ще продължим да работим На.
Защо пясъчната среда е важна?
Sandboxing на основно ниво е за това как изолирате едно приложение от друго. Една игра е перфектен пример, когато хората не мислят за нея, но на компютър игрите често са свързани в мрежа. Те са едно от малкото неща на този вид устройство, което има услуга за мрежови портове, така че това е един от най-страшните части от софтуера, който използвате на повечето потребителски устройства. Ако компрометирате игра, авторът на играта може да е напълно добронамерен, но тази игра има достъп до всичко на вашия компютър.
Докато при Android това изобщо не е така. След това трябва да компрометирате и основната операционна система, за да можете да отидете отвъд това. За нас това беше наистина, наистина важно, за да сме сигурни, че винаги трябва да компрометирате кода на Google, кода на Android, за да стигнете до точката, в която можете да направите нещо, което наистина наранява потребителя.
Колко важна е изследователската програма на трета страна за намиране на грешки и уязвимости?
Всъщност е много важно. Миналата година платихме почти милион долара на изследователи. Мисля, че имаше около 120 различни изследователи, които откриха проблеми и ни ги докладваха. Десетки идват всеки месец, така че това е наистина важно за нас.
Едно нещо, което всъщност се случи и което е наистина интересно, е, че започнахме да получаваме все повече доклади за проблеми, не в Android, а в други компоненти, които са в устройството. Например, тази седмица имаше доклад за проблем в Wi-Fi драйверите на Broadcom, който засегна
Започва ли машинното обучение да играе роля? Имате ли достатъчно данни, за да бъде ефективен?
Сега имаме огромно количество данни и започнахме да намираме някои техники за машинно обучение, които работят много добре за различни видове неща. Едно нещо, за което машинното обучение работи много добре, е намирането на други приложения, които също са зловреден софтуер. Когато открием едно лошо приложение, може да сме в състояние да свалим хиляда или повече приложения същия ден, за които знаем, че са свързани въз основа на техники за машинно обучение.
И очаквате ли това да се подобри с времето? Очевидно се учи, така че трябва да се подобри?
„Машинното обучение ни позволява да развиваме способности за защита много по-бързо.“
Това е една от основните причини през следващите няколко години да изпреварим нападателите. Машинното обучение ни позволява да развием способности за защита много по-бързо, отколкото човек може да подобри скриването си, което в крайна сметка е причината злонамереният софтуер в миналото да е бил устойчив - защото дори много малки промени могат да го скрият ефективно. Това вече няма да е така.
Затягането на сигурността означава ли загуба на част от отвореността и възможностите за персонализиране, които помогнаха Android да стане най-популярната мобилна операционна система в света?
Въобще не. Отвореността, възможността за персонализиране и сигурността на Android са сред най-силните му страни. Смятаме, че е възможно да продължим да подобряваме и трите.
Когато се сблъскаме с функция, която изглежда противоречи на тези принципи, ще положим много усилия, за да намерим подход, който е балансиран. Една често срещана стратегия е по подразбиране да бъде по-сигурно (за да защити възможно най-много потребители), като същевременно позволява избор на потребителите (за да позволи персонализиране).
Ние правим същото с OEM [производителите на устройства], като определяме модел на сигурност, който е стабилен, но също така предоставя безброй възможности за иновации и персонализиране. Полученото многообразие само по себе си е подобрение на сигурността, тъй като е известно, че монокултурите са по-податливи на системен риск. А в някои случаи това персонализиране води до иновативни подобрения на сигурността, което е благо за екосистемата.
Смятате ли, че са необходими антивирусни, анти-злонамерен софтуер и други приложения за сигурност на Android на трети страни?
Ние се ангажираме да направим безплатните защити, предоставени от Google Play, най-добрата защита в света. Вече смятаме, че сме постигнали това и ще продължим да публикуваме информация, която дава възможност на другите да я проверят и потвърдят сами.
Какъв съвет бихте дали на потребител на Android, който има проблеми със сигурността? Какви действия потенциално ги излагат на риск и какво могат да направят, за да останат в безопасност?
Публикувахме статия в помощния център по тази тема, тук.
Препоръки на редакторите
- Вашият план за Google One току-що получи 2 големи актуализации за сигурност, за да сте в безопасност онлайн
- Кога телефонът ми ще получи Android 13? Google, Samsung, OnePlus и др
- Google плаща историческа глоба от 85 милиона долара след незаконно проследяване на телефони с Android
- Android 13 е тук и можете да го изтеглите на своя телефон Pixel точно сега
- С оптимизирани приложения таблетите с Android най-накрая ще бъдат нещо повече от големи телефони
