Die Vorstellung, dass die Android-Plattform unsicher sei, ist weit verbreitet und hält sich hartnäckig. Und möglicherweise falsch.
Es vergeht kaum eine Woche ohne eine neue Schlagzeile über eine neu entdeckte Sicherheitslücke oder neue Malware, die Millionen von Geräten betrifft.
Diese Probleme werden durch die Tatsache verschärft, dass die Android Ökosystem ist kompliziert. Zersplitterung macht es unglaublich schwierig, die Plattform zu aktualisieren. Eine Vielzahl verschiedener Gerätehersteller stellt Tausende verschiedener Telefone und Tablets her, auf denen unterschiedliche Android-Versionen ausgeführt werden. Daher dauert die Einführung von Updates mit Sicherheitsfixes Monate – oder schlimmer noch, sie kommt gar nicht erst heraus. Zu viele Hersteller aktualisieren nur ihre Flaggschiffe und hinterlassen bekannte Schwachstellen in älteren und minderwertigen Geräten, die die Benutzer gefährden könnten.
Verwandt
- Google hat gerade 9 neue Funktionen für Ihr Android-Telefon und Ihre Android-Uhr angekündigt
- Google Chrome erhält das Android-Tablet-Update, auf das Sie gewartet haben
- Google möchte Sie wissen lassen, dass Android-Apps nicht mehr nur für Telefone gedacht sind
Betrachten Sie eine Sicherheitslücke wie Lampenfieber, die Hackern durch Schadcode in einer Audio- oder Videodatei die Kontrolle über ein Android-Gerät verschaffen könnte. Berichten zufolge waren bis zu 95 Prozent der Geräte anfällig. Doch wie viele waren tatsächlich betroffen?
„Seit wir zum ersten Mal davon erfahren haben, sind nun schon anderthalb, fast schon zwei Jahre vergangen, und wir sind immer noch dabei Ich weiß nicht, dass tatsächlich jemand betroffen ist“, sagte Adrian Ludwig, Direktor für Android-Sicherheit, gegenüber Digital Trends.
Die Sorge bestand darin, dass Google relativ schnell Lösungen erarbeitete und diese sofort auf die Nexus-Gerätereihe von Google ausweitete. Patches für andere Geräte wurden nach Ermessen der Hersteller herausgegeben.
Das heißt, wenn Sie eine haben Google Pixel Mit dem neuesten Android 7.0 Nougat profitieren Sie von der neuesten Sicherheit, aber jemand mit einem Telefon, auf dem KitKat läuft (20 Prozent von
Es handelt sich um ein heikles Problem, das nicht einfach zu lösen ist, aber das Android-Sicherheitsteam hat hart daran gearbeitet, das Risiko für Benutzer zu verringern. Beängstigende Statistiken sorgen für gute Schlagzeilen, tun es aber
„Ich denke zwar, dass wir ein gewisses Wahrnehmungsproblem haben, aber es unterscheidet sich stark vom tatsächlichen Benutzerrisiko“, erklärte Ludwig. „Die kryptografische Arbeit, die wir durchgeführt haben, das Sandboxing, das wir durchgeführt haben, und viele Arbeiten, um die Ausnutzung zu erschweren, passen alle gut zusammen.“
Digital Trends hat mit Ludwig über Google Hangouts gesprochen, um den aktuellen Stand der Android-Sicherheit herauszufinden und zu fragen, ob die Leute das wirklich tun sollten Seien Sie besorgt über Schlagzeilen-Schwachstellen und Malware und erfahren Sie, was Google gegen Fragmentierung unternimmt, um eine umfassendere Sicherheit zu ermöglichen Aktualisierung.
Digitale Trends: Ist Android wirklich unsicher?
Adrian Ludwig: Nein, es ist nicht unsicher. Wir haben in den letzten Jahren viele Dinge getan, die die Erwartungen nach oben getrieben haben.
Für Mac oder Windows war ein Virenschutz eines Drittanbieters erforderlich, aber wir haben gesagt, dass wir das für alle kostenlos machen werden.
Anwendungs-Sandboxing ist ein relativ neues Konzept in der Welt der Android-Sicherheit – die Idee, dass Anwendungen keinen Zugriff auf alle Ihre Daten haben Benutzerdaten zu haben, aber nur Zugriff auf ihre Daten zu haben, ist völlig neu, es ist nichts, was auf dem Mac existiert, es ist nichts, was auf dem Mac existiert Windows.
„Wir haben ein gewisses Wahrnehmungsproblem, aber es unterscheidet sich stark vom tatsächlichen Benutzerrisiko.“
Dann gibt es noch die Geräteverschlüsselung. In den meisten Unternehmen ist es nicht ständig eingeschaltet. Im mobilen Bereich wurde die Erwartung geweckt, dass alles ständig verschlüsselt sein sollte, und es gibt sogar die Erwartung, dass dies der Fall ist werden so gut verschlüsselt, dass es selbst für einen raffinierten Angriff schwierig sein wird, ohne Benutzer Zugriff auf diese Daten zu erhalten Genehmigung.
Wir haben auch viel darüber gelernt, wie die schlechten Akteure arbeiten und was sie zu tun versuchen, und wir befinden uns jetzt an einem kleinen Wendepunkt. In den ersten Jahren haben wir gelernt, unser Verständnis ausgebaut und unseren Technologie-Stack verbessert. Jetzt können wir mit den schlechten Schauspielern Schritt halten. Beispielsweise sind die Malware-Raten in den letzten drei oder vier Jahren relativ stabil geblieben, aber ich denke, dies ist das Jahr, in dem wir uns befinden Ich werde sehen, wie sie sinken, vielleicht deutlich sinken, weil wir an einem Punkt angelangt sind, an dem wir über genügend Fähigkeiten und Fähigkeiten verfügen Erfahrung. Wir sind jetzt in der Lage, schneller als die Akteure zu agieren, sie früher zu fangen und im gesamten Ökosystem effektiver zu handeln als zuvor.
Ich denke, wir befinden uns an einem Wendepunkt, an dem wir selbst für Android-Verhältnisse ziemlich deutliche Verbesserungen in Bezug auf Malware feststellen werden.
Es gibt noch viel zu tun, aber man vergisst leicht, wie weit wir in den letzten fünf Jahren gekommen sind.
Wir sehen viele Berichte über Schwachstellen mit erschreckenden Statistiken. Wie hoch ist das realistische Risiko, dass Ihr Android-Gerät ausgenutzt oder gekapert wird? Etwas wie Stagefright soll beispielsweise potenziell 95 Prozent davon beeinflussen
Seit wir zum ersten Mal davon erfahren haben, sind nun anderthalb, fast schon zwei Jahre vergangen, und wir wissen immer noch nicht, ob tatsächlich irgendjemand davon betroffen ist. Es gibt Gerüchte, dass eine kleine Anzahl von Geräten betroffen sein könnte, aber selbst für diese haben wir keine stichhaltigen Beweise.
Und glauben Sie mir, wann immer wir ein solches Gerücht hören, versuchen wir, ihm nachzujagen. Wir sprechen mit dem Unternehmen, das diese Aussage macht. Wir fragen, ob es Daten gibt, die sie teilen können. Wir konnten keine dieser Zahlen belegen. Ich kann definitiv sagen, dass nicht 900 Millionen Geräte betroffen waren.
Sicherlich standen die Schlagzeilen und die Aufregung in keinem Verhältnis zur Realität und es kann sein, dass niemand davon betroffen war. Was meiner Meinung nach unglaublich ist. Selbst wenn ich zurückblicke, besteht immer die Sorge, dass es etwas gibt, das man nicht sieht, aber die Zeit scheint es zu sein, die diese blinden Flecken aufdeckt.
Ich arbeite seit sechs Jahren an der Android-Sicherheit, und jedes Mal, wenn man in einen Bereich schaut, in dem jemand sagt: „Das ist ein blinder Fleck“, finden wir nichts. Am Anfang hieß es also: „Es gibt jede Menge Malware in Google Play“, und wir haben nachgesehen, ob es welche gibt, und haben sie entfernt. Dann hören wir „es ist außerhalb von Google Play“, wir schauen, es gibt einige, wir haben ziemlich gute Schutzmaßnahmen eingerichtet. Dann „geht es nächstes Jahr bergauf“ und auch das ist nicht passiert. Nun „werden seine Schwachstellen ausgenutzt“, aber wir sehen das nicht.
Immer wieder machen wir Fortschritte bei der Suche, den Kontrollen, die wir durchführen, und den Dienstleistungen, die wir anbieten, um nach schlechten Akteuren zu suchen, aber wir sehen einfach keinen wirklichen Schaden.
Allerdings wollen wir so vorsichtig wie möglich sein und investieren deshalb in Dienste, um in all diesen kleinen dunklen Gassen nachzuschauen. Wir arbeiten auch mit Partnern zusammen, um sicherzustellen, dass sie so schnell wie möglich reagieren können. Deshalb haben wir viel investiert Sicherheitsupdates, nicht weil wir viele tatsächliche Ausnutzungen sehen, sondern weil wir nicht wollen, dass dies jemals zu einem Risiko wird erkannte.
Bei vielen geht es darum, vorne zu bleiben und nie an den Punkt zu gelangen, an dem es ein Problem gibt.
Warum hält sich Ihrer Meinung nach das Narrativ, Android sei ein „giftiger Teufelskreis“ von Schwachstellen, hartnäckig?
Es gibt ein paar Gründe. Einer davon ist, dass Komplexität oft sehr beängstigend ist und die Geschichte des Android-Ökosystems komplex ist. Es gibt viele verschiedene OEMs [Handy- und Tablet-Hersteller] im Ökosystem, viele verschiedene Gerätemodelle.
„[Maschinelles Lernen] ist einer der Hauptgründe, warum wir den Angreifern einen Schritt voraus sein werden.“
Es ist schwierig, die Vorgänge im Android-Ökosystem sehr prägnant zu beschreiben, genauso wie es sehr schwierig ist, die menschliche Anatomie oder die Bevölkerung der Menschheit zu beschreiben. Aber das wissen wir Die Medizin wird besser, und wir wissen, dass die Menschen länger leben. Wir wissen, dass die Menschen gesünder werden, aber wir lesen immer noch viele Geschichten über das Sterben von Menschen, schlimme Ereignisse und Krankheiten.
Ich denke, das ist ein Spiegel dessen, was wir im Android-Ökosystem vor sich haben. Es ist kompliziert, daher gibt es nicht oft eine zufriedenstellende, supereinfache Antwort, aber insgesamt wird es immer sicherer und robuster.
Wir sehen auch viele Malware-Geschichten, aber ist der durchschnittliche Android-Benutzer, der niemals Apps außerhalb des Play Store herunterlädt, in Gefahr?
Bei Play beträgt die Malware-Anzahl etwa 0,05 Prozent, also 5 von 10.000 Apps, also ist das ziemlich niedrig. Der Prozentsatz der infizierten Geräte liegt in einem Bereich, in dem, wenn wir nicht darüber reden würden, niemand wüsste, dass es überhaupt passiert.
Wir sprechen darüber, um Transparenz über die Höhe des Risikos zu gewährleisten. Oft wollen Plattformen nicht über Dinge reden. Sie verschließen die Augen. Wir möchten Transparenz über externe Akteure sowie unsere Richtlinien und Prozesse haben, damit wir Vertrauen aufbauen können. Wir wollen nicht, dass Menschen blind vertrauen.
Ich vermute, dass im Android-Ökosystem der Play Store sicherlich der sauberste App Store ist. Ich könnte mir vorstellen, dass es im Vergleich zu anderen App-Stores mit geschlosseneren Ökosystemen vergleichbar ist. [Wir glauben, dass Adrian sich auf den Apple App Store bezieht.]
Nachdem wir es mit vielen Leuten besprochen haben, wissen wir anekdotisch, dass wir niemanden kennen, der ein Android-Malware-Problem hatte, aber ich hatte selbst Windows-Probleme. Warum reden alle darüber?
Ich glaube, Windows-Malware ist uns langweilig geworden und deshalb macht es keinen Spaß mehr, darüber zu reden. Android war irgendwie das neue, aufregende Ding.
Alles, was ich gesehen habe, zeigt das im gesamten Android-Ökosystem. Die Hunderte Millionen Geräte, die über Google Play installiert werden, sind um ein Vielfaches sauberer als eine verwaltete Unternehmensflotte von Windows-Geräten. Unsere Infektionsrate liegt weltweit bei einem halben Prozent, wobei sie bei verwalteten Windows-Geräten höher ist und bei Verbraucherhaushalten die Infektionsrate bei Windows-Geräten noch höher ist.
Aber Android ist aufregend. Es ist ein wachsender Markt. Es ist ein wachsender Markt für Verbraucher, aber ich denke, es ist auch ein wachsender Markt für die Sicherheitsbranche, daher sind sie sehr daran interessiert, sicherzustellen, dass die Menschen sich dieser Dinge bewusst sind und darüber nachdenken. Das ist die Form der Kommunikation rund um die Plattform.
Welcher Typ kommt am häufigsten vor, wenn Sie Malware finden?
Das meiste, was wir sehen, ist kommerzieller Natur. Sie versuchen in der Regel, Geld zu verdienen, und der Mechanismus zur Monetarisierung auf Mobilgeräten besteht darin, Anwendungen zu installieren. Es gibt zwar Nischenfälle von Apps, die es auf Banking-Passwörter oder Ähnliches abgesehen haben, aber der einfachste Weg, Geld zu verdienen, ist die Installation einer App. Ein sehr großer Prozentsatz hängt mit sogenannten feindlichen Downloadern zusammen.
Interessant ist, dass die von ihnen installierten Apps selbst nicht schädlich sind. Es könnte sich um ein Spiel handeln, das beworben werden soll, oder es könnte sich um einen anderen Dienst handeln, bei dem das Unternehmen von der Vermarktung auf dem Markt profitiert. Das Endergebnis sind nicht die Dinge, an die Menschen denken, wenn sie an Malware denken. Oftmals ist es nicht jemand, der versucht, Ihre Daten zu stehlen.
Dort Ist Spyware. Ich möchte nicht behaupten, dass es sie nicht gibt. Wir haben diese Woche sogar einen Beitrag verfasst, in dem wir eine sehr hochwertige Spyware beschrieben haben, die wir gefunden haben, allerdings auf 25 Geräten. Es ist sicherlich nicht die Art von Dingen, die im gesamten Ökosystem verbreitet oder am beliebtesten sind.
Ist Android im Vergleich zu anderen mobilen Betriebssystemen von Natur aus weniger sicher?
Ich glaube nicht, dass die Plattform von Natur aus weniger sicher ist. Ich denke, die Komplexität macht es schwieriger, Aussagen auf Plattformebene zu treffen.
Die Leute lieben es, das iPhone mit Android zu vergleichen. Beim iPhone handelt es sich um ein Gerät mit einem Betriebssystem eines Herstellers, tatsächlich handelt es sich um fünf verschiedene Geräte. Wenn Sie sich einen Hersteller ansehen von
Vielleicht wäre es fairer, die Pixel- und Nexus-Reihe mit dem iPhone zu vergleichen?
Ja, von der Hardware her sehr ähnlich – ähnliche Sicherheitseigenschaften. Die App Stores verfügen über ähnliche Sicherheitseigenschaften, verifizierte Apps, Anwendungsisolation – sehr ähnliche Sicherheitseigenschaften. Beide verpflichten sich zu schnellen Updates.
„Wenn man Samsung mit iOS vergleicht, ist man bei diesem Gerät im Vergleich zu jenem Gerät bereits etwa 20-mal komplexer.“
Der Einstieg in die Differenzierung liegt in der Transparenz. Android ist Open Source. Diese Informationen stehen jedem zur Verfügung. Wir fördern die Recherche Dritter durch unser Sicherheitsprämienprogramm, also wissen wir das nicht nur Suchen wir nach Problemen auf der Plattform, aber andere Leute sind es auch und das macht einen großen Unterschied Unterschied.
Ich denke, auch die Dienstleistungen machen einen großen Unterschied. Wir haben bewusst auf Sichtbarkeit und die Möglichkeit zur Überprüfung von Geräten vor Ort geachtet, was auf keiner anderen Plattform der Fall ist. Das bedeutet, dass wir Feedback zu vielen kleinen Dingen bekommen, die passieren, und darauf reagieren können.
Wie bekämpfen Sie die langsame Einführung von Sicherheitsupdates für Android-Geräte, die nicht auf Lager sind? Ist es frustrierend?
Wir wissen wirklich zu schätzen, wie viele Menschen Android eingeführt haben und wie viele Geräte dies getan haben
Wir haben im letzten Jahr viel Zeit damit verbracht, denjenigen, die langsamer vorankommen, bei der Lösung einiger ihrer Probleme zu helfen technische Herausforderungen lösen, einige ihrer technischen Herausforderungen lösen und in einigen Fällen auch organisatorische Herausforderungen bewältigen Herausforderungen. Möglicherweise fehlt es ihnen an Ingenieuren, die Updates bereitstellen können. Vielleicht haben sie nicht darüber nachgedacht, also fragen wir: Was können wir tun, um Sie an einen Punkt zu bringen, an dem Sie darüber nachgedacht haben und es einen Sinn ergibt?
Es macht die Sache auf jeden Fall komplizierter, ist aber auch der Grund dafür, dass Android so erfolgreich ist, denn viele verschiedene Leute konnten einsteigen und mit der Entwicklung von Geräten beginnen.
Welche Maßnahmen hat das Android-Team ergriffen, um die Plattform sicherer zu machen? Und was ist der nächste Bereich, den Sie angehen oder verbessern möchten?
Ich denke, dass alle Teile wirklich gut zusammenpassen. Es war eine mehrjährige Reise, aber die kryptografische Arbeit, die wir gemacht haben, das Sandboxing, das wir gemacht haben, viel Die Arbeiten zur Erschwerung der Ausbeutung laufen alle gut zusammen, das sind also die Bereiche, an denen wir weiter arbeiten werden An.
Warum ist Sandboxing wichtig?
Beim Sandboxing geht es im Grunde darum, wie Sie eine Anwendung von einer anderen isolieren. Ein Spiel ist ein perfektes Beispiel, eines, bei dem die Leute nicht darüber nachdenken, aber auf einem PC sind Spiele oft vernetzt. Sie gehören zu den wenigen Dingen auf Geräten dieser Art, die über einen Netzwerk-Port-Service verfügen. Es handelt sich also um eine der gruseligsten Softwarekomponenten, die Sie auf den meisten Consumer-Geräten ausführen. Wenn Sie ein Spiel kompromittieren, ist der Spieleautor vielleicht völlig harmlos, aber das Spiel hat Zugriff auf alles auf Ihrem PC.
Bei Android hingegen ist das überhaupt nicht der Fall. Um darüber hinauszugehen, muss man dann auch das Kernbetriebssystem kompromittieren. Für uns war das wirklich sehr wichtig, um sicherzustellen, dass man immer den Code von Google und Android kompromittieren muss, um an den Punkt zu gelangen, an dem man etwas tun kann, das einem Benutzer wirklich schadet.
Wie wichtig ist das Forschungsprogramm Dritter für die Suche nach Fehlern und Schwachstellen?
Es ist wirklich wichtig. Letztes Jahr haben wir fast eine Million Dollar an Forscher gezahlt. Ich glaube, es gab etwa 120 verschiedene Forscher, die Probleme fanden und uns darüber berichteten. Jeden Monat kommen Dutzende, daher ist das wirklich wichtig für uns.
Was wirklich interessant ist, ist, dass wir immer mehr Berichte über Probleme erhalten, nicht bei Android, sondern bei anderen Komponenten im Gerät. Diese Woche gab es beispielsweise einen Bericht über ein Problem in den WLAN-Treibern von Broadcom, das betroffen war
Beginnt maschinelles Lernen eine Rolle zu spielen? Verfügen Sie über genügend Daten, damit es effektiv ist?
Wir verfügen mittlerweile über riesige Datenmengen und haben begonnen, einige Techniken des maschinellen Lernens zu finden, die für verschiedene Arten von Dingen wirklich gut funktionieren. Eine Sache, bei der maschinelles Lernen wirklich gut funktioniert, ist das Auffinden anderer Anwendungen, die ebenfalls Malware sind. Wenn wir eine fehlerhafte App finden, können wir aufgrund maschineller Lerntechniken möglicherweise noch am selben Tag tausend oder mehr Anwendungen entfernen, von denen wir wissen, dass sie miteinander in Zusammenhang stehen.
Und Sie erwarten, dass sich das mit der Zeit verbessert? Offensichtlich lernt es, also sollte es besser werden?
„Durch maschinelles Lernen können wir Schutzfunktionen viel schneller entwickeln.“
Das ist einer der Hauptgründe dafür, dass wir in den nächsten Jahren den Angreifern einen Schritt voraus sein werden. Durch maschinelles Lernen können wir Schutzfähigkeiten viel schneller entwickeln, als ein Mensch sein Versteck verbessern kann. Das ist letztendlich der Grund, warum Malware in der Vergangenheit hartnäckig war – weil selbst sehr kleine Änderungen sie verbergen können effektiv. Das wird nicht mehr der Fall sein.
Bedeutet die Verschärfung der Sicherheit, dass etwas von der Offenheit und Anpassbarkeit verloren geht, die dazu beigetragen haben, Android zum beliebtesten mobilen Betriebssystem der Welt zu machen?
Gar nicht. Die Offenheit, Anpassbarkeit und Sicherheit von Android gehören zu seinen größten Stärken. Wir glauben, dass es möglich ist, uns in allen drei Bereichen weiter zu verbessern.
Wenn wir mit einer Funktion konfrontiert werden, die diese Prinzipien in Konflikt zu bringen scheint, werden wir große Anstrengungen unternehmen, um einen ausgewogenen Ansatz zu finden. Eine gängige Strategie besteht darin, die Standardeinstellung sicherer zu gestalten (um so viele Benutzer wie möglich zu schützen) und den Benutzern gleichzeitig Wahlmöglichkeiten zu lassen (um Anpassungen zu ermöglichen).
Das Gleiche machen wir mit OEMs [Geräteherstellern]: Wir definieren ein Sicherheitsmodell, das robust ist, aber auch unzählige Möglichkeiten für Innovationen und Anpassungen bietet. Die daraus resultierende Vielfalt stellt selbst eine Sicherheitsverbesserung dar, da Monokulturen bekanntermaßen anfälliger für systemische Risiken sind. Und in einigen Fällen führt diese Anpassung zu innovativen Sicherheitsverbesserungen, was ein Segen für das Ökosystem ist.
Glauben Sie, dass Antiviren-, Anti-Malware- und andere Android-Sicherheits-Apps von Drittanbietern benötigt werden?
Wir sind bestrebt, den kostenlosen Schutz von Google Play zum besten Schutz der Welt zu machen. Wir glauben bereits, dass wir das erreicht haben, und wir werden weiterhin Informationen veröffentlichen, die es anderen ermöglichen, dies selbst zu überprüfen und zu bestätigen.
Welchen Rat würden Sie einem Android-Benutzer mit Sicherheitsbedenken geben? Welche Handlungen gefährden sie möglicherweise und was können sie tun, um sicher zu bleiben?
Wir haben einen Hilfeartikel zu diesem Thema veröffentlicht: Hier.
Empfehlungen der Redaktion
- Ihr Google One-Plan hat gerade zwei große Sicherheitsupdates erhalten, um Ihre Sicherheit im Internet zu gewährleisten
- Wann erhält mein Telefon Android 13? Google, Samsung, OnePlus und mehr
- Google zahlt eine historische Strafe von 85 Millionen US-Dollar, nachdem es Android-Telefone illegal verfolgt hat
- Android 13 ist da und Sie können es jetzt auf Ihr Pixel-Telefon herunterladen
- Mit optimierten Apps werden Android-Tablets endlich mehr sein als große Telefone
