Ideen om, at Android-platformen er usikker, er populær og vedvarende. Og det er muligvis forkert.
Der går knap en uge uden en ny overskrift om en nyligt afsløret sårbarhed eller ny malware, der påvirker millioner af enheder.
Disse problemer forværres af det faktum, at Android økosystemet er kompliceret. Fragmentering gør det utroligt svært at opdatere platformen. En overflod af forskellige enhedsproducenter bygger tusindvis af forskellige telefoner og tablets, der kører forskellige versioner af Android. Som følge heraf tager det måneder at udrulle opdateringer med sikkerhedsrettelser i dem - eller endnu værre, gør det aldrig overhovedet. For mange producenter opdaterer kun deres flagskibe, hvilket efterlader kendte sårbarheder i ældre og mindre enheder, der kan sætte brugerne i fare.
Relaterede
- Google har netop annonceret 9 nye funktioner til din Android-telefon og -ur
- Google Chrome får den Android-tabletopdatering, du har ventet på
- Google vil have dig til at vide, at Android-apps ikke længere kun er til telefoner
Overvej en sårbarhed som Sceneskræk, som kunne give hackere kontrol over en Android-enhed gennem ondsindet kode i en lyd- eller videofil. Rapporter antydede, at op til 95 procent af enhederne var sårbare. Men hvor mange var egentlig berørt?
"Her er vi halvandet år inde, næsten to år siden vi først fandt ud af det, og vi stadig ved ikke, at nogen faktisk er berørt, siger Adrian Ludwig, direktør for Android Security, til Digital Trends.
Bekymringen var, at Google udarbejdede rettelser relativt hurtigt og rullede dem ud til Googles Nexus-enheder med det samme. Patches til andre enheder kom ud efter fabrikanternes skøn.
Det betyder, at hvis du har en Google Pixel med den nyeste Android 7.0 Nougat nyder du godt af den nyeste sikkerhed, men en person med en telefon, der kører KitKat (20 procent af
Det er et vanskeligt problem, som ikke er let at løse, men Android-sikkerhedsteamet har arbejdet hårdt for at reducere risikoen for brugerne. Skræmmende statistikker giver gode overskrifter, men gør det
"Jeg tror, vi har lidt af et opfattelsesproblem, men det er meget forskelligt fra den faktiske brugerrisiko," forklarede Ludwig. "Det kryptografiske arbejde, vi har lavet, den sandboxing, vi har lavet, og meget af arbejdet for at gøre udnyttelsen sværere, hænger godt sammen."
Digital Trends talte med Ludwig på Google Hangouts for at finde ud af den aktuelle tilstand af Android-sikkerhed, spørg, om folk virkelig burde vær bekymret over overskrifters sårbarheder og malware, og lær, hvad Google gør ved fragmentering for at muliggøre bredere sikkerhed opdateringer.
Digitale tendenser: Er Android virkelig usikker?
Adrian Ludwig: Nej, det er ikke usikkert. Der er mange ting, vi har gjort, som har flyttet forventningerne frem i løbet af de sidste par år.
Til Mac eller Windows skulle du have tredjeparts antivirusbeskyttelse, men vi sagde, at vi ville gøre det for alle og gøre det gratis.
Applikationssandboxing er et relativt nyt koncept i Android-sikkerhedsverdenen - ideen om, at applikationer ikke har adgang til alle dine brugerdata, men kun har adgang til deres data er helt nyt, det er ikke noget, der findes på Mac, det er ikke noget, der findes på Windows.
"Vi har lidt af et opfattelsesproblem, men det er meget forskelligt fra den faktiske brugerrisiko."
Så er der enhedskryptering. De fleste virksomheder har det ikke tændt hele tiden. Der er stillet en forventning i mobilrummet om, at alt skal være krypteret hele tiden, og der er endda en forventning om, at det er vil blive krypteret så godt, at det bliver svært selv for et sofistikeret angreb at få adgang til disse data uden bruger bemyndigelse.
Vi har også lært meget om, hvordan de dårlige skuespillere fungerer, og hvad de forsøger at gøre, og vi er nu på lidt af et vendepunkt. I de første par år lærte vi, opbyggede vores forståelse og forbedrede vores teknologistak. Nu kan vi følge med de dårlige skuespillere. Malware-raterne er for eksempel relativt flad i løbet af de sidste tre eller fire år, men jeg tror, det er året, hvor vi er kommer til at se dem falde, måske falde betydeligt, fordi vi er nået til det punkt, hvor vi har nok færdigheder og erfaring. Vi er nu i stand til at bevæge os hurtigere end aktørerne, fange dem hurtigere og handle mere effektivt på tværs af hele økosystemet, end vi kunne før.
Jeg tror, vi er ved et vendepunkt, hvor vi selv efter Android-standarder vil begynde at se ret betydelige forbedringer med hensyn til malware.
Der er stadig mere at gøre, men det er let at glemme, hvor langt vi er nået i løbet af de sidste fem år.
Vi ser mange rapporter om sårbarheder med skræmmende statistikker. Hvad er den realistiske risiko for, at din Android-enhed bliver udnyttet eller kapret? For eksempel blev noget som Stagefright sagt at potentielt påvirke 95 procent af
Her er vi halvandet år, næsten to år siden, vi første gang fandt ud af det, og vi ved stadig ikke, at nogen faktisk er berørt. Der er rygter om, at et lille antal enheder kan være blevet påvirket, men selv dem har vi ikke fået noget underbygget bevis for.
Og tro mig, hver gang vi hører et rygte som det, prøver vi at jage det ned. Vi går og snakker med det firma, der kommer med den udtalelse. Vi spørger, om der er data, som de kan dele. Vi har aldrig været i stand til at underbygge nogen af disse tal. Jeg kan bestemt sige, at der ikke var 900 millioner enheder berørt.
Bestemt, de overskrifter, der løb, og spændingen var ude af proportion til virkeligheden, og det kan være, at ingen var berørt. Hvilket er utroligt, synes jeg, selv når jeg selv ser tilbage, er der altid en bekymring for, at der kan være noget, du ikke ser, men tiden ser ud til at være den ting, der afslører de blinde pletter.
Jeg har arbejdet på Android-sikkerhed i de sidste seks år, og hver gang du kigger i et område, hvor nogen har sagt "det er en blind plet", finder vi ikke noget. Så tidligt var det "der er tonsvis af malware i Google Play", og vi kiggede, der var nogle, vi fjernede det. Så hører vi "det er uden for Google Play", vi ser, der er nogle, vi sætter ret gode beskyttelser på plads. Så "skal det stige næste år", og det skete heller ikke. Nu, "det er sårbarheder, der vil blive udnyttet", men det kan vi ikke se.
Gang på gang bevæger vi os fremad, hvor vi leder efter, og de kontroller, vi laver, og de tjenester, vi leverer for at lede efter dårlige skuespillere, men vi ser bare ikke nogen egentlig skade.
Når det er sagt, vil vi gerne være så forsigtige som muligt, og derfor investerer vi i tjenester, der kan ses i alle de små mørke gyder. Vi arbejder også med partnere for at sikre, at de er i stand til at svare så hurtigt som muligt, så det er der, vi har investeret meget i sikkerhedsopdateringer, ikke fordi vi ser en masse faktisk udnyttelse, men fordi vi ikke ønsker, at det skal være en risiko, der nogensinde bliver gik op for.
Meget af det handler om at være foran og aldrig komme til et punkt, hvor der er et problem.
Hvorfor tror du, at denne fortælling om, at Android er et "giftigt helvede" af sårbarheder, fortsætter?
Der er et par grunde. Den ene er, at kompleksitet ofte er meget skræmmende, og fortællingen for Android-økosystemet er kompleks. Der er masser af forskellige OEM'er [telefon- og tabletproducenter] i økosystemet, masser af forskellige enhedsmodeller.
"[Maskinlæring] er en af hovedårsagerne til, at vi kommer foran angriberne."
Det er svært at beskrive, hvad der sker i Android-økosystemet meget kortfattet, på samme måde som det er meget vanskeligt at beskrive menneskets anatomi eller menneskehedens befolkning. Men det ved vi medicin bliver bedre, og vi ved, at folk lever længere. Vi ved, at folk bliver sundere, men vi læser stadig masser af historier om mennesker, der dør, dårlige ting, der sker, og sygdomme.
Jeg tror, det er et spejl af, hvad vi har gang i i Android-økosystemet. Det er kompliceret, så der er ikke ofte et tilfredsstillende, supersimpelt svar, men generelt bliver det mere og mere sikkert og robust.
Vi ser også mange malware-historier, men er den gennemsnitlige Android-bruger, der aldrig downloader apps uden for Play Butik, i fare?
Fra Play er malware-tallet omkring 0,05 procent, hvilket er 5 ud af 10.000 apps, så det er ret lavt. Med hensyn til hvor stor en procentdel af enheder, der bliver inficeret, er det i det område, hvor ingen ville vide, at det skete, hvis vi ikke talte om det.
Vi taler om det for at sikre, at der er gennemsigtighed omkring risikoniveauet. Ofte vil platforme ikke tale om tingene. De vender det blinde øje til. Vi vil gerne have gennemsigtighed i eksterne aktører og vores politikker og processer, så vi kan opbygge tillid. Vi vil ikke have, at folk stoler blindt.
Mit gæt ville være, bestemt i Android-økosystemet, at Play Butik er den reneste app-butik. Jeg kunne forestille mig, at det kan sammenlignes med andre app-butikker med økosystemer, der er mere lukkede. [Vi tror, at Adrian henviser til Apple App Store.]
Efter at have diskuteret det med en masse mennesker, anekdotisk, kender vi ikke nogen, der har haft et Android-malwareproblem, men jeg har selv haft Windows-problemer. Hvorfor taler alle om
Jeg tror, vi er blevet kede af Windows-malware, og det er derfor ikke sjovt at tale om det længere. Android var en slags nye, spændende ting.
Alt, hvad jeg har set, viser det på tværs af Android-økosystemet. De hundredvis af millioner af enheder, der installeres fra Google Play, er en størrelsesorden renere end en administreret virksomhedsflåde af Windows-enheder. Vores infektionsrate er en halv procent globalt, hvor den for administrerede Windows-enheder er højere, og for forbrugerhusholdninger er infektionsraten for Windows-enheder endnu højere.
Men Android er spændende. Det er et marked i vækst. Det er et voksende marked for forbrugerne, men jeg tror, det også er et voksende marked for sikkerhedsindustrien, så de er meget interesserede i at sikre, at folk er opmærksomme på og tænker over disse ting. Det er formen for kommunikation omkring platformen.
Når du finder malware, hvilken type er den mest almindelige?
Det meste af det, vi ser, er kommercielt. De forsøger typisk at tjene penge, og mekanismen til at tjene penge på mobilen er at installere applikationer. Vi ser faktisk niche-tilfælde af apps, der går efter bankadgangskoder eller sådan noget, men den enkleste måde at tjene penge på er at installere en app. En meget stor procentdel er relateret til det, vi kalder fjendtlige downloadere.
Det interessante er, at de apps, de installerer, ikke i sig selv er skadelige. Det kan være et spil, der søger at få en forfremmelse, eller det kan være en anden tjeneste, hvor de har fordel af at have markedsdistribution. Slutresultatet er ikke den slags ting, folk tænker på, når de tænker på malware. Det er ofte ikke nogen, der forsøger at stjæle dine data.
Der er spyware. Jeg vil ikke antyde, at det ikke eksisterer. Vi lavede endda et indlæg i denne uge, der beskrev en meget avanceret spyware, som vi fandt, men det var på 25 enheder. Det er bestemt ikke den type ting, der er almindelige eller mest populære i hele økosystemet.
Er der noget i sig selv mindre sikkert ved Android sammenlignet med andre mobile operativsystemer?
Jeg tror ikke, der er noget i sig selv mindre sikkert ved platformen. Jeg tror, kompleksiteten gør det sværere at komme med udsagn på platformsniveau.
Folk elsker at sammenligne iPhone med Android. iPhone er en enhed med et styresystem fra en producent, faktisk drejer det sig om fem forskellige enheder. Hvis du ser på én producent fra
Måske er det mere retfærdigt at sammenligne Pixel- og Nexus-linjen med iPhone?
Ja, meget ens hardwaremæssigt - lignende sikkerhedsegenskaber. App-butikkerne har lignende sikkerhedsegenskaber, verificerede apps, applikationsisolering - meget lignende sikkerhedsegenskaber. Begge har en forpligtelse til hurtige opdateringer.
"Sammenligner du Samsung med iOS, er du allerede omkring 20 gange mere kompleks i forhold til denne enhed i forhold til den enhed."
Der, hvor du kommer ind i differentiering, er i gennemsigtighed. Android er open source. Den information er tilgængelig for alle. Vi opfordrer til tredjepartsforskning gennem vores sikkerhedsbelønningsprogram, så det ved vi ikke kun leder vi efter problemer i platformen, men andre mennesker er også, og det gør en stor forskel.
Jeg tror også, at tjenesterne gør en kæmpe forskel. Vi har med vilje designet synlighed og mulighed for at tjekke enheder i marken, mens det ikke findes på nogen anden platform. Det betyder, at vi får feedback på en masse småting, der sker, og det kan vi reagere på.
Hvordan bekæmper du den langsomme udrulning af sikkerhedsopdateringer til Android-enheder, der ikke er på lager? Er det frustrerende?
Vi sætter virkelig pris på, hvor mange mennesker der har taget Android til sig, og hvor mange enheder der har
Vi har brugt meget tid i løbet af det sidste år på at forsøge at hjælpe dem, der bevæger sig langsommere med at løse nogle af deres teknologiske udfordringer, løse nogle af deres tekniske udfordringer og i nogle tilfælde dets organisatoriske udfordringer. De mangler muligvis en stab af ingeniører til at levere opdateringer. Måske tænkte de ikke over det, så vi spørger, hvad kan vi gøre for at få dig til et punkt, hvor du har tænkt over det, og det giver mening?
Det gør helt klart tingene mere komplicerede, men det er også kernen i, hvorfor Android har haft så stor succes, fordi en masse forskellige mennesker var i stand til at hoppe ind og begynde at bygge enheder.
Hvilken handling har Android-teamet taget for at gøre platformen mere sikker? Og hvad er det næste område, du gerne vil tackle eller forbedre?
Jeg synes, at alle brikkerne falder rigtig godt sammen. Det har været en flerårig rejse, men det kryptografiske arbejde, vi har lavet, den sandboxing, vi har lavet, en masse arbejdet med at gøre udnyttelsen sværere hænger fint sammen, så det er de områder, vi vil blive ved med at arbejde med på.
Hvorfor er sandboxing vigtigt?
Sandboxing på et grundlæggende niveau handler om, hvordan du isolerer en applikation fra en anden. Et spil er et perfekt eksempel, et hvor folk ikke tænker over det, men på en pc er spil ofte netværket. De er en af de få ting på den slags enhed, der har netværksportservice, så det er et af de mest skræmmende stykker software, som du kører på de fleste forbrugerenheder. Hvis du kompromitterer et spil, kan spilforfatteren være perfekt godartet, men det spil har adgang til alt på din pc.
Hvorimod det slet ikke er tilfældet på Android. Du skal så også kompromittere kerneoperativsystemet for at kunne gå ud over det. For os var det virkelig, virkelig vigtigt for at sikre, at du altid er nødt til at kompromittere Googles kode, Androids kode, for at komme til det punkt, hvor du kan gøre noget, der virkelig sårer en bruger.
Hvor vigtigt er tredjepartsforskningsprogrammet for at finde fejl og sårbarheder?
Det er virkelig vigtigt faktisk. Sidste år betalte vi næsten en million dollars til forskere. Jeg tror, der var omkring 120 forskellige forskere, der fandt problemer og rapporterede dem til os. Der kommer snesevis ind hver måned, så det er virkelig vigtigt for os.
En ting, der faktisk er sket, og som er virkelig interessant, er, at vi begyndte at få flere og flere rapporter om problemer, ikke i Android, men i andre komponenter, der er i enheden. For eksempel var der i denne uge en rapport om et problem i Broadcoms Wi-Fi-drivere, der påvirkede
Begynder maskinlæring at spille en rolle? Har du nok data til, at det er effektivt?
Vi har en enorm mængde data nu, og vi er begyndt at finde nogle maskinlæringsteknikker, der fungerer rigtig godt til forskellige typer ting. En ting, maskinlæring fungerer rigtig godt til, er at finde andre applikationer, der også er malware. Når vi finder én dårlig app, kan vi muligvis fjerne tusind eller flere applikationer samme dag, som vi ved er relaterede baseret på maskinlæringsteknikker.
Og forventer du, at det bliver bedre over tid? Det er klart, det lærer, så det burde blive bedre?
"Maskinlæring giver os mulighed for at udvikle beskyttelsesfunktioner meget hurtigere."
Det er en af hovedårsagerne til, at vi i de næste par år kommer foran angriberne. Maskinlæring lader os udvikle beskyttelsesevner meget hurtigere, end et menneske kan forbedre deres skjul, hvilket i sidste ende er grunden til, at malware tidligere har været vedvarende - fordi selv meget små ændringer kan skjule det effektivt. Sådan bliver det ikke længere.
Betyder en stramning af sikkerheden, at man mister noget af den åbenhed og tilpasningsevne, der har været med til at gøre Android til det mest populære mobile OS i verden?
Slet ikke. Åbenheden, tilpasningsmulighederne og sikkerheden ved Android er alle blandt dens største styrker. Vi tror, det er muligt at fortsætte med at forbedre sig på alle tre.
Når vi bliver konfronteret med en funktion, der ser ud til at sætte disse principper i konflikt, vil vi gå meget langt for at finde en tilgang, der er afbalanceret. En almindelig strategi er at få standarden til at være mere sikker (for at beskytte så mange brugere som muligt), samtidig med at brugerne tillader valg (for at give mulighed for tilpasning).
Vi gør det samme med OEM'er [enhedsproducenter], der definerer en sikkerhedsmodel, der er robust, men som også giver et utal af muligheder for at innovere og tilpasse. Den resulterende mangfoldighed er i sig selv en sikkerhedsforbedring, da monokulturer er kendt for at være mere modtagelige for systemiske risici. Og i nogle tilfælde fører denne tilpasning til innovative sikkerhedsforbedringer, hvilket er en velsignelse for økosystemet.
Tror du, at antivirus, anti-malware og andre tredjeparts Android-sikkerhedsapps er nødvendige?
Vi er forpligtet til at gøre den gratis beskyttelse, som Google Play tilbyder, til den bedste beskyttelse i verden. Vi mener allerede, at vi har opnået det, og vi vil fortsætte med at offentliggøre oplysninger, der gør det muligt for andre at dobbelttjekke og bekræfte det selv.
Hvilket råd ville du give en Android-bruger med sikkerhedsproblemer? Hvilke handlinger kan sætte dem i fare, og hvad kan de gøre for at forblive sikre?
Vi har udgivet en artikel i Hjælp om dette emne, her.
Redaktørens anbefalinger
- Dit Google One-abonnement har lige fået 2 store sikkerhedsopdateringer for at holde dig sikker online
- Hvornår får min telefon Android 13? Google, Samsung, OnePlus og flere
- Google betaler en historisk bøde på 85 millioner dollars efter ulovlig sporing af Android-telefoner
- Android 13 er her, og du kan downloade den på din Pixel-telefon lige nu
- Med optimerede apps vil Android-tablets endelig være mere end store telefoner