Myšlenka, že platforma Android je nejistá, je populární a trvalá. A dost možná špatně.
Uplyne sotva týden bez nového titulku o čerstvě odhalené zranitelnosti nebo novém malwaru, který postihuje miliony zařízení.
Tyto problémy jsou umocněny skutečností, že Android ekosystém je komplikovaný. Fragmentace je neuvěřitelně obtížné aktualizovat platformu. Spousta různých výrobců zařízení vyrábí tisíce různých telefonů a tabletů s různými verzemi Androidu. Výsledkem je, že aktualizace s bezpečnostními opravami v nich trvají měsíce, než se zavedou – nebo v horším případě nikdy ne. Příliš mnoho výrobců pouze aktualizuje své vlajkové lodě a zanechává známé zranitelnosti ve starších a menších zařízeních, které by mohly uživatele ohrozit.
Příbuzný
- Google právě oznámil 9 nových funkcí pro váš telefon a hodinky Android
- Google Chrome získává aktualizaci pro tablety Android, na kterou jste čekali
- Google chce, abyste věděli, že aplikace pro Android už nejsou jen pro telefony
Zvažte zranitelnost jako Tréma
, což by mohlo hackerům poskytnout kontrolu nad zařízením Android prostřednictvím škodlivého kódu v audio nebo video souboru. Zprávy naznačovaly, že až 95 procent zařízení je zranitelných. Ale kolik jich bylo skutečně postiženo?„Je to rok a půl, téměř dva roky od doby, kdy jsme se o tom poprvé dozvěděli, a stále jsme nevím, že by se to někoho skutečně týkalo,“ řekl pro Digital Adrian Ludwig, ředitel Android Security Trendy.
Zájem byl, že Google vypracoval opravy relativně rychle a okamžitě je zavedl do řady zařízení Google Nexus. Záplaty pro další zařízení vyšly podle uvážení výrobců.
To znamená, že pokud máte a Google Pixel s nejnovějším Androidem 7.0 Nougat těžíte z nejnovějšího zabezpečení, ale někdo s telefonem se systémem KitKat (20 procent
Je to ožehavý problém, který nelze snadno vyřešit, ale bezpečnostní tým systému Android tvrdě pracoval na snížení rizika pro uživatele. Děsivé statistiky dělají dobré titulky, ale dělají
"Myslím, že máme trochu problém s vnímáním, ale je to velmi odlišné od skutečného rizika pro uživatele," vysvětlil Ludwig. "Kryptografická práce, kterou jsme dělali, sandboxing, který jsme dělali, a spousta práce na ztížení vykořisťování, to vše jde pěkně dohromady."
Digital Trends hovořil s Ludwigem na Google Hangouts, aby zjistil aktuální stav zabezpečení Androidu, zeptal se, zda by lidé měli opravdu znepokojovat hlavní zranitelnosti a malware a zjistěte, co Google dělá s fragmentací, aby umožnil širší zabezpečení aktualizace.
Digitální trendy: Je Android opravdu nejistý?
Adrian Ludwig: Ne, není to nejisté. Za posledních pár let jsme udělali spoustu věcí, které posunuly očekávání dopředu.
Pro Mac nebo Windows jste museli mít antivirovou ochranu třetí strany, ale řekli jsme, že to uděláme pro všechny a uděláme to zdarma.
Sandboxing aplikací je relativně nový koncept ve světě zabezpečení Androidu – myšlenka, že aplikace nemají přístup ke všem vašim uživatelských dat, ale přístup pouze k jejich datům je zcela nový, není to něco, co existuje na Macu, není to něco, co existuje na Okna.
"Máme trochu problém s vnímáním, ale velmi se liší od skutečného uživatelského rizika."
Pak je tu šifrování zařízení. Většina podniků ji nemá zapnutou neustále. V mobilním prostoru bylo nastaveno očekávání, že vše by mělo být neustále šifrováno, a dokonce se očekává, že bude zašifrováno tak dobře, že i pro sofistikovaný útok bude obtížné získat přístup k těmto datům bez uživatele oprávnění.
Dozvěděli jsme se také hodně o tom, jak špatní herci fungují a co se snaží dělat, a nyní jsme trochu v inflexním bodě. Prvních pár let jsme se učili, budovali naše porozumění a zlepšovali náš technologický balík. Nyní můžeme držet krok se špatnými herci. Například míra malwaru za poslední tři nebo čtyři roky relativně stagnuje, ale myslím, že toto je rok, kdy jsme uvidíme, jak klesnou, možná výrazně poklesnou, protože jsme se dostali do bodu, kdy máme dostatek dovedností a Zkušenosti. Nyní jsme schopni se pohybovat rychleji než herci, chytit je dříve a jednat efektivněji v celém ekosystému, než jsme mohli dříve.
Myslím, že jsme v bodě obratu, kdy i podle standardů Androidu začneme pozorovat poměrně významná zlepšení, pokud jde o malware.
Stále je co dělat, ale je snadné zapomenout, jak daleko jsme se za posledních pět let dostali.
Vidíme mnoho zpráv o zranitelnostech s děsivými statistikami. Jaké je reálné riziko zneužití nebo ukradení vašeho zařízení Android? Například něco jako Stagefright mělo potenciálně ovlivnit 95 procent
Máme za sebou rok a půl, téměř dva roky od doby, kdy jsme se o tom poprvé dozvěděli, a stále nevíme, že se to někoho skutečně týká. Existují zvěsti, že mohlo být ovlivněno malé množství zařízení, ale ani ta, pro která nemáme žádné podložené důkazy.
A věřte mi, kdykoli slyšíme takovou fámu, snažíme se ji zahnat. Promluvíme si se společností, která toto prohlášení vydává. Ptáme se, zda existují data, která mohou sdílet. Nikdy jsme nebyli schopni doložit žádné z těchto čísel. S jistotou mohu říci, že postiženo nebylo 900 milionů zařízení.
Samozřejmě, že titulky, které běžely, a vzrušení bylo nepřiměřené realitě a je možné, že se to nikoho nedotklo. Což je podle mě neuvěřitelné, i když se ohlédnu zpět, vždy mám obavy, že tam může být něco, co nevidíte, ale čas se zdá být tím, co odhaluje tato slepá místa.
Na zabezpečení Androidu pracuji posledních šest let a pokaždé, když se podíváte do oblasti, kde někdo řekl „to je slepé místo“, nic nenajdeme. Takže na začátku to bylo „na Google Play jsou tuny a tuny malwaru“ a my jsme se podívali, nějaký tam byl, odstranili jsme ho. Pak uslyšíme „je to mimo Google Play“, podíváme se, nějaké jsou, nasadili jsme docela dobré ochrany. Pak „příští rok to půjde nahoru“ a to se také nestalo. Nyní, „jeho zranitelnosti budou zneužity“, ale to nevidíme.
Znovu a znovu se posouváme vpřed v tom, kde hledáme, v kontrolách, které provádíme, a ve službách, které poskytujeme, abychom hledali špatné herce, ale nevidíme žádnou skutečnou škodu.
To znamená, že chceme být tak opatrní, jak jen můžeme, a tak investujeme do služeb, abychom se podívali do všech těch malých temných uliček. Spolupracujeme také s partnery, abychom zajistili, že budou schopni reagovat co nejrychleji, takže do toho jsme hodně investovali bezpečnostní aktualizace, ne proto, že jsme svědky velkého množství skutečného zneužívání, ale protože nechceme, aby to bylo riziko, uvědomil.
Hodně z toho je o tom zůstat napřed a nikdy se nedostat do bodu, kde je problém.
Proč si myslíte, že tento příběh o Androidu jako „toxické pekelné kaši“ zranitelností přetrvává?
Důvodů je několik. Jedním z nich je, že složitost je často velmi děsivá a příběh pro ekosystém Android je složitý. V ekosystému existuje spousta různých výrobců OEM [výrobců telefonů a tabletů], spousta různých modelů zařízení.
"[Strojové učení] je jedním z hlavních důvodů, proč předběhneme útočníky."
Velmi stručně popsat, co se děje v ekosystému Android, je obtížné, podobně jako je velmi obtížné popsat lidskou anatomii nebo lidskou populaci. Ale my to víme medicína se zlepšujea víme, že lidé žijí déle. Víme, že lidé jsou stále zdravější, ale stále čteme spoustu příběhů o lidech, kteří umírají, dějí se špatné věci a nemoci.
Myslím, že je to zrcadlo toho, co se děje v ekosystému Androidu. Je to komplikované, takže často neexistuje uspokojivá, super jednoduchá odpověď, ale celkově je to stále bezpečnější a robustnější.
Vidíme také mnoho příběhů o malwaru, ale je průměrný uživatel Androidu, který nikdy nestahuje aplikace mimo Obchod Play, v nebezpečí?
Od Play je počet malwaru asi 0,05 procenta, což je 5 z 10 000 aplikací, takže je to docela málo. Pokud jde o procento infikovaných zařízení, je to v rozmezí, kdy kdybychom o tom nemluvili, nikdo by nevěděl, že se to vůbec děje.
Mluvíme o tom, abychom zajistili transparentnost ohledně úrovně rizika. Platformy často nechtějí o věcech mluvit. Zavírají oči. Chceme mít transparentnost vůči externím aktérům a našim politikám a procesům, abychom mohli budovat důvěru. Nechceme, aby lidé slepě věřili.
Můj odhad by byl, určitě v ekosystému Android, Obchod Play je nejčistší obchod s aplikacemi. Představoval bych si to podobně jako jiné obchody s aplikacemi s uzavřenějšími ekosystémy. [Věříme, že Adrian odkazuje na Apple App Store.]
Když jsme to probrali s mnoha lidmi, neznáme nikoho, kdo by měl problém s malwarem Android, ale já sám jsem měl problémy s Windows. Proč o tom všichni mluví
Myslím, že nás malware Windows už omrzel, a tak už není zábavné o něm mluvit. Android byl něco nového, vzrušujícího.
Všechno, co jsem viděl, to ukazuje v celém ekosystému Android. Stovky milionů zařízení, která se instalují z Google Play, jsou řádově čistší než spravovaná firemní flotila zařízení Windows. Naše míra infekce je celosvětově půl procenta, přičemž u spravovaných zařízení s Windows je vyšší a u spotřebitelských domácností je míra infekce u zařízení s Windows stále vyšší.
Ale Android je vzrušující. Je to rostoucí trh. Je to rostoucí trh pro spotřebitele, ale myslím si, že je to také rostoucí trh pro bezpečnostní průmysl, takže mají velký zájem na tom, aby si lidé byli vědomi těchto věcí a přemýšleli o nich. To je forma komunikace kolem platformy.
Když najdete malware, jaký typ je nejběžnější?
Většina toho, co vidíme, je komerční povahy. Obvykle se snaží vydělat peníze a mechanismem monetizace na mobilu je instalace aplikací. Vidíme úzce specializované případy aplikací, které jdou po bankovních heslech nebo podobných věcech, ale nejjednodušší způsob, jak zpeněžit, je nainstalovat aplikaci. Velmi velké procento souvisí s tím, co nazýváme nepřátelskými downloadery.
Zajímavé je, že aplikace, které instalují, nejsou samy o sobě škodlivé. Může to být hra, která chce získat propagaci, nebo to může být jiná služba, kde těží z distribuce na trhu. Konečným výsledkem nejsou ty typy věcí, na které lidé myslí, když přemýšlejí o malwaru. Často to není někdo, kdo se snaží ukrást vaše data.
Tam je spyware. Nechci naznačovat, že neexistuje. Tento týden jsme dokonce napsali příspěvek popisující velmi špičkový spyware, který jsme našli, ale to bylo na 25 zařízeních. Rozhodně to není typ věcí, které jsou běžné nebo nejoblíbenější v celém ekosystému.
Je na Androidu něco méně bezpečného ve srovnání s jinými mobilními operačními systémy?
Nemyslím si, že by na platformě bylo něco méně bezpečného. Myslím, že složitost ztěžuje vytváření prohlášení na úrovni platformy.
Lidé rádi porovnávají iPhone a Android. iPhone je zařízení s operačním systémem od výrobce, ve skutečnosti jde o pět různých zařízení. Pokud se podíváte na jednoho výrobce od
Možná by srovnání řady Pixel a Nexus s iPhonem mohlo být spravedlivější?
Ano, velmi podobný hardware – podobné bezpečnostní vlastnosti. Obchody s aplikacemi mají podobné vlastnosti zabezpečení, ověřené aplikace, izolaci aplikací – velmi podobné vlastnosti zabezpečení. Oba mají závazek k rychlým aktualizacím.
"Ve srovnání Samsung a iOS jste již zhruba 20krát složitější, pokud jde o toto zařízení oproti tomuto zařízení."
Kde se dostanete k diferenciaci, je transparentnost. Android je open source. Tyto informace jsou dostupné všem. Prostřednictvím našeho programu odměn za zabezpečení podporujeme výzkum třetích stran, takže víme, že nejen to hledáme problémy na platformě, ale ostatní lidé také, a to je velké rozdíl.
Myslím, že i služby mají velký rozdíl. Záměrně jsme navrhli viditelnost a schopnost kontrolovat zařízení v terénu, zatímco na žádné jiné platformě to neexistuje. Znamená to, že dostáváme zpětnou vazbu o spoustě malých věcí, které se dějí, a můžeme na to reagovat.
Jak bojujete s pomalým zaváděním aktualizací zabezpečení pro nesériová zařízení Android? Je to frustrující?
Opravdu si vážíme toho, kolik lidí přijalo Android a kolik zařízení má
Za poslední rok jsme strávili spoustu času, abychom se pokusili pomoci těm, kteří postupují pomaleji, vyřešit některé z nich technologické výzvy, řeší některé ze svých technických problémů a v některých případech i organizační výzvy. Mohou postrádat tým inženýrů, kteří by poskytovali aktualizace. Možná o tom nepřemýšleli, takže se ptáme, co můžeme udělat, abychom vás dostali do bodu, kdy jste o tom přemýšleli a dává to smysl?
Rozhodně to dělá věci složitější, ale je to také jádro toho, proč byl Android tak úspěšný, protože mnoho různých lidí dokázalo skočit a začít stavět zařízení.
Jaké kroky podnikl tým Android pro zvýšení bezpečnosti platformy? A jakou další oblast byste chtěli řešit nebo zlepšit?
Myslím, že všechny díly jdou dohromady opravdu pěkně. Byla to mnohaletá cesta, ale kryptografická práce, kterou jsme dělali, sandboxing, který jsme dělali, spousta práce na ztížení vykořisťování jde pěkně dohromady, takže to jsou oblasti, na kterých budeme pokračovat na.
Proč je sandboxing důležitý?
Sandboxing na základní úrovni je o tom, jak izolujete jednu aplikaci od druhé. Dokonalým příkladem je hra, o které lidé nepřemýšlejí, ale na PC jsou hry často propojeny sítí. Jsou jednou z mála věcí na tomto druhu zařízení, které má službu síťového portu, takže je to jeden z nejděsivějších kusů softwaru, který používáte na většině spotřebitelských zařízení. Pokud hru ohrozíte, autor hry může být naprosto vlídný, ale tato hra má přístup ke všemu na vašem PC.
Zatímco na Androidu to tak vůbec není. Musíte také ohrozit jádro operačního systému, abyste mohli jít nad rámec toho. Pro nás to bylo opravdu, opravdu důležité, abychom se ujistili, že vždy musíte kompromitovat kód Google, kód Androidu, abyste se dostali do bodu, kdy můžete udělat něco, co uživatele opravdu zraňuje.
Jak důležitý je výzkumný program třetí strany pro hledání chyb a zranitelností?
Je to opravdu důležité. Loni jsme výzkumníkům zaplatili téměř milion dolarů. Myslím, že tam bylo asi 120 různých výzkumníků, kteří našli problémy a nahlásili nám je. Každý měsíc přicházejí desítky, takže je to pro nás opravdu důležité.
Jedna věc, která se ve skutečnosti stala a která je opravdu zajímavá, je, že jsme začali dostávat stále více zpráv o problémech, nikoli v Androidu, ale v jiných komponentách, které jsou v zařízení. Tento týden se například objevila zpráva o problému s ovladači Wi-Fi společnosti Broadcom, který to ovlivnilo
Začíná hrát roli strojové učení? Máte dostatek dat, aby to bylo efektivní?
Nyní máme obrovské množství dat a začali jsme nacházet některé techniky strojového učení, které fungují opravdu dobře pro různé typy věcí. Jedna věc, pro kterou strojové učení funguje opravdu dobře, je hledání dalších aplikací, které jsou také malware. Když najdeme jednu špatnou aplikaci, můžeme být schopni ve stejný den odstranit tisíc nebo více aplikací, o kterých víme, že spolu souvisí na základě technik strojového učení.
A očekáváte, že se to časem zlepší? Je jasné, že se to učí, takže by se to mělo zlepšovat?
"Strojové učení nám umožňuje mnohem rychleji rozvíjet ochranné schopnosti."
Je to jeden z hlavních důvodů, proč se v příštích několika letech dostaneme před útočníky. Strojové učení nám umožňuje vyvinout ochranné schopnosti mnohem rychleji, než může člověk zlepšit své skrývání, což je nakonec důvod, proč byl malware v minulosti trvalý – protože i velmi malé změny jej mohou skrýt účinně. To už tak nebude.
Znamená zpřísnění zabezpečení ztrátu části otevřenosti a přizpůsobitelnosti, které pomohly udělat z Androidu nejoblíbenější mobilní operační systém na světě?
Vůbec ne. Otevřenost, přizpůsobitelnost a bezpečnost Androidu patří mezi jeho největší přednosti. Myslíme si, že je možné se ve všech třech i nadále zlepšovat.
Když se setkáme s funkcí, která zdánlivě staví tyto principy do konfliktu, uděláme vše pro to, abychom našli vyvážený přístup. Jednou z běžných strategií je zajistit, aby výchozí nastavení bylo bezpečnější (aby bylo chráněno co nejvíce uživatelů) a aby uživatelé měli možnost volby (aby bylo možné přizpůsobit).
Totéž děláme s OEM [výrobci zařízení], definujeme model zabezpečení, který je robustní, ale zároveň poskytuje nespočet příležitostí k inovaci a přizpůsobení. Výsledná rozmanitost je sama o sobě bezpečnostním vylepšením, protože je známo, že monokultury jsou náchylnější k systémovému riziku. A v některých případech toto přizpůsobení vede k inovativním vylepšením zabezpečení, což je přínosem pro ekosystém.
Myslíte si, že je potřeba antivirus, antimalware a další bezpečnostní aplikace pro Android od třetích stran?
Zavázali jsme se, že bezplatné ochrany poskytované službou Google Play budou nejlepší ochranou na světě. Už si myslíme, že jsme toho dosáhli, a budeme pokračovat ve zveřejňování informací, které ostatním umožní, aby si to sami překontrolovali a potvrdili.
Jakou radu byste dali uživateli Androidu s bezpečnostními problémy? Jaké akce je potenciálně ohrožují a co mohou udělat, aby zůstali v bezpečí?
Na toto téma jsme publikovali článek centra nápovědy, tady.
Doporučení redakce
- Váš tarif Google One právě dostal 2 velké bezpečnostní aktualizace, díky kterým budete online v bezpečí
- Kdy můj telefon získá Android 13? Google, Samsung, OnePlus a další
- Google platí historickou pokutu 85 milionů dolarů za nelegální sledování telefonů s Androidem
- Android 13 je tady a můžete si ho stáhnout do telefonu Pixel právě teď
- Díky optimalizovaným aplikacím budou tablety Android konečně víc než jen velké telefony
