Er Android virkelig usikker? Vi spurgte eksperterne

Android er den mest udbredte mobile platform på planeten. Mere end 1,4 milliarder mennesker bruger en Android-smartphone eller -tablet hver eneste dag, og det faktum, at det er open source og gratis for producenter at bruge, er en stor del af den popularitet. Men åbenhed er et tveægget sværd: Det har ført til en situation, hvor mange Android-telefoner ikke jævnligt bliver opdateret med de nyeste sikkerhedsrettelser.

Spøgelset af malware har tårnet sig op Android i de sidste par år, hvor forskere har afsløret meget højprofilerede sårbarheder, som f.eks Sceneskræk. De negative nyheder kommer så tykt og hurtigt, at det kan være svært at sætte i perspektiv. I sidste uge rapporterede vi om FalseGuide malware, hvilket kan have påvirket op til 1,8 mio Android brugere.

Går du i overskrifterne alene, vil du blive tilgivet for at have betænkeligheder vedr Android sikkerhed, men hvor går grænsen mellem overdrevenhed og reel risiko? Er platformen virkelig usikker?

»Nej, det er ikke utrygt. Jeg tror, ​​vi har lidt af et opfattelsesproblem, men det er meget forskelligt fra den faktiske brugerrisiko,” Adrian Ludwig, direktør for Android Sikkerhed, fortalte Digital Trends i et nyligt interview. "Det kryptografiske arbejde, vi har lavet, den sandboxing, vi har lavet, og meget af arbejdet for at gøre udnyttelsen sværere, hænger godt sammen."

Der er næppe tvivl om, at de seneste versioner af Android er mere sikre end deres forgængere, men problemet er, at mange Android brugere føler aldrig fordelen. Et tilbageblik på 2016 i en blogindlæg, det Android sikkerhedsteamet indrømmede, at omkring halvdelen af ​​de enheder, der var i brug ved udgangen af ​​2016, ikke havde modtaget en opdatering i mindst 12 måneder.

"Ajourførte versioner af Google Android kan betragtes som sikker,” sagde Maik Morgenstern, administrerende direktør for antivirus-vurderingsorganisationen AV-Test, til Digital Trends. ”Men især hos mange ældre Android versioner, dukker flere og flere sårbarheder op, og mange leverandører leverer ikke opdateringer til deres enheder. I øjeblikket er over 800 sårbarheder kendt."

Hvis vi ser på officielle distributionstal for Android april finder vi, at kun 4,9 pct Android enheder kører de seneste versioner, Nougat 7.0 eller 7.1. Det er en skuffende lille del af totalen. Ser man længere tilbage, Android 6.0 Marshmallow kører på 31,2 procent af enhederne, Android 5.0 eller 5.1, Lollipop, er på 31 procent af enhederne, og en femtedel af Android enhederne kører stadig Android 4.4 KitKat. De fleste af disse enheder kører ældre versioner af Android er usandsynligt nogensinde at blive opdateret.

"Fireogfirs procent af telefonerne er ikke opgraderet, hvilket betyder, at de fleste mobile enheder stadig er i fare," Joshua J. Drake, vicepræsident for Platform Research and Exploitation hos Zimperium, fortalte Digital Trends.

Zimperium er et mobilt sikkerhedsfirma; Drake afslørede Stagefright-sårbarheden tilbage i 2015. Det havde potentialet til at give hackere kontrol over en Android enhed gennem ondsindet kode i en lyd- eller videofil - og op til 95 procent af enhederne var sårbare over for det, ifølge rapporter på det tidspunkt. Drake fortalte os, at nogle enheder stadig er sårbare i dag.

Selvom den potentielle skade var skræmmende, er det uklart, hvad indvirkningen på Android brugere var.

"Her er vi halvandet år i, næsten to år siden, vi først fandt ud af det, og vi ved stadig ikke, at nogen faktisk er berørt," sagde Ludwig.

Men Drake er uenig.

"Vi ved, at der var målrettede angreb ved hjælp af sårbarheder i libstagefright og mediaserver," sagde han. "Vi ved, at det er svært at bevise negativt generelt, og vi respekterer Googles indsats for bedre at sikre deres platform, men uden en sensor på enheden er der ingen måde for nogen at kende risikoen eller trusselsstatus for en enhed - især ikke en en mobil."

Problemet er, at det ikke er nemt at sige, om du er blevet angrebet med succes. I kølvandet på Stagefright-opdagelsen grundlagde sikkerhedsfirmaet Zimperium Håndsæt Alliance at øge kommunikationen mellem forskere, mobilnetværksoperatører, mobilapplikationsudviklere og enhedsleverandører.

"Forskere skal opmuntres til at undersøge månedlige sikkerhedsopdateringer og forsøge at udnytte disse sårbarheder for at fremme bedre patching og en generelt sikrere mobilverden," sagde Drake.

Google har taget nogle vigtige skridt for at reducere sikkerhedsrisici, udgive månedlige patches og nedbryde elementer af Android for at gøre det nemmere at skubbe opdateringer ud. Men ældre versioner af Android er blevet efterladt.

Det Android-fragmenteringsproblem er ikke let at løse. Overtale transportører og producenter til at opdatere deres Android enheder har vist sig at være meget vanskelige for Google. Det har spillet direkte i oppositionens hænder. Apples Tim Cook refererede berømt til en ZDNet artikel berettiget "Android fragmentering, der forvandler enheder til et giftigt helvede af sårbarheder" på et dias på WWDC i 2014. Men er iOS virkelig så meget bedre? Og hvis ja, hvorfor?

"Der har været indtrykket af, at iOS-sikkerhed er overlegen Android sikkerhed, men det er ikke nødvendigvis tilfældet," sagde Drake.

Fordi Android er open source, er det nemmere for sikkerhedsforskere at finde fejl og foreslå rettelser. Den lukkede karakter af iOS gør det sværere for forskere at se, hvad der foregår, sagde han. Morgenstern er enig i denne vurdering, men peger på en vigtig forskel, der gør malware til en større risiko for Android.

"Til Android brugere, er det nemt at installere apps fra enhver kilde,” forklarer Morgenstern. "Dette faktum gør det nemt at få ondsindede apps ind på enheden. Måden andre platforme håndterer dette på er meget strengere ved kun at tillade installationer fra deres lukkede markeder."

Android er et stort mål. Med så stor en brugerbase og open source-kode er det attraktivt bytte for cyberkriminelle. AV-Test registrerer op til 30.000 nye Android malware prøver hver dag. Det er et skræmmende tal, men bekymret Android brugere kan tage skridt til reducere dramatisk risiciene ved at holde sig til Google Play for apps, opdatere enheder, så snart patches er gjort tilgængelige og bruge tredjeparts Android-sikkerhedsapps.

Både Drake og Morgenstern advarer også mod at oprette forbindelse til ukendte netværk og Wi-Fi-hotspots, i det mindste uden at bruge anstændige Android VPN-apps.

"Vores data viser, at de fleste angreb er netværksmæssige, og de skelner ikke mellem iOS, Android, eller andet,” forklarer Drake. "Når en angriber i det stille har opsnappet og omdirigeret din netværkstrafik, er enhver enhed farligt sårbar overfor invasiv overvågning, personligt spydfiskeri, levering af platformsudnyttelse eller et hvilket som helst antal andre efterfølgende angreb."

Android sikkerheden bliver bedre. Vi kan pege på hurtigere opdateringer, enhedskryptering, tilladelsesanmodninger, app-sandboxing for at isolere apps fra hinanden, begrænset adgang til ressourcer og automatisk malware-scanning i Play Butik. Men der er åbenbart stadig arbejde at gøre.

"Sidste år betalte vi næsten en million dollars til forskere," sagde Googles Ludwig, da han blev spurgt om vigtigheden af ​​tredjepartsforskning. Men på trods af dette forskningsprogram føler Drake, at der er brug for mere.

"At forbedre Android overordnet set er det bydende nødvendigt for Google at arbejde tættere med sikkerhedsleverandører," sagde han. "Apple og andre leverandører har øget deres samarbejde, men Google har mindsket det. Googles filosofi er, at de kan gøre alt på egen hånd, men det skader kun deres brugere og gavner desværre malware-forfattere."

I sidste ende spørgsmålet om Android sikkerhed kan komme ned på den enhed, du bruger. Hvis du har en to eller tre år gammel telefon, der kører en ældre version af Android og ikke er blevet opdateret i flere måneder, har du grund til bekymring. Ejere af Googles Pixel modtager derimod de seneste sikkerhedsopdateringer rettidigt, i hvert fald de næste par år.

Det er svært at sige, hvor lang tid det vil vare før de fleste Android enheder kører Nougat eller en nyere version af Android, men selv da vil det langsomme tempo i opdateringer fra nogle producenter og udbydere forblive et problem.

"Indtil hver opdatering når alle enheder, er vi stadig i fare," sagde Morgenstern.

Du kan finde flere nyttige råd om, hvordan du forbliver sikker på din Android telefon i vores Android sikkerhedsvejledning.

Redaktørens anbefalinger

• Er mobiltelefonstråling i virkeligheden farlig? Vi spurgte nogle eksperter