Mõte, et Androidi platvorm on ebaturvaline, on populaarne ja püsiv. Ja üsna tõenäoliselt vale.
Möödub vaevalt nädal ilma uue pealkirjata värskelt avastatud haavatavusest või uuest pahavarast, mis mõjutab miljoneid seadmeid.
Neid probleeme süvendab asjaolu, et Android ökosüsteem on keeruline. Killustumine muudab platvormi värskendamise uskumatult keeruliseks. Suur hulk erinevaid seadmetootjaid loob tuhandeid erinevaid telefone ja tahvelarvuteid, mis kasutavad Androidi erinevaid versioone. Seetõttu kulub turvaparandustega värskenduste kasutuselevõtuks kuid – või mis veelgi hullem, ei jõua seda üldse teha. Liiga paljud tootjad värskendavad ainult oma lipulaevu, jättes vanematesse ja väiksematesse seadmetesse teadaolevaid turvaauke, mis võivad kasutajad ohtu seada.
Seotud
- Google teatas just 9 uuest funktsioonist teie Android-telefoni ja -kella jaoks
- Google Chrome saab Androidi tahvelarvuti värskenduse, mida olete oodanud
- Google soovib, et te teaksite, et Androidi rakendused pole enam mõeldud ainult telefonidele
Kaaluge haavatavust nagu Rambipalavik, mis võib anda häkkeritele kontrolli Android-seadme üle heli- või videofailis oleva pahatahtliku koodi kaudu. Aruannete kohaselt oli kuni 95 protsenti seadmetest haavatavad. Aga kui paljusid see tegelikult mõjutas?
"Siin on poolteist aastat möödas, peaaegu kaks aastat sellest ajast, kui me sellest esimest korda teada saime, ja me oleme siiani ma ei tea, et see tegelikult kedagi puudutab,” ütles Androidi turvalisuse direktor Adrian Ludwig Digitalile Trendid.
Mure seisnes selles, et Google töötas suhteliselt kiiresti välja parandused ja edastas need kohe Google'i Nexuse seadmete sarjale. Muude seadmete plaastrid tulid välja tootjate äranägemisel.
See tähendab, et kui teil on a Google Pixel uusima Android 7.0 Nougatiga saate kasu uusimast turvalisusest, kuid keegi, kelle telefon töötab KitKatiga (20 protsenti
See on keeruline probleem, mida ei ole lihtne lahendada, kuid Androidi turvameeskond on teinud kõvasti tööd, et vähendada kasutajate ohtu. Hirmutav statistika annab häid pealkirju, kuid teeb
"Ma arvan, et meil on natuke tajumisprobleem, kuid see erineb oluliselt kasutaja tegelikust riskist," selgitas Ludwig. "Krüptograafiline töö, mida oleme teinud, liivakast, mida oleme teinud, ja suur osa ärakasutamise raskemaks muutmisest, saavad kõik kenasti kokku."
Digital Trends vestles Ludwigiga Google Hangoutsis, et saada teada Androidi turvalisuse hetkeseisust ja küsida, kas inimesed peaksid tõesti olge mures pealkirjade haavatavuste ja pahavara pärast ning uurige, mida Google teeb killustatuse osas, et võimaldada laiemat turvalisust uuendused.
Digitaalsed suundumused: kas Android on tõesti ebaturvaline?
Adrian Ludwig: Ei, see ei ole ebakindel. Oleme teinud palju asju, mis on viimase paari aasta jooksul ootusi edasi viinud.
Maci või Windowsi jaoks pidi teil olema kolmanda osapoole viirusetõrje, kuid me ütlesime, et teeme seda kõigi jaoks ja teeme selle tasuta.
Rakenduste liivakast on Androidi turbemaailmas suhteliselt uus kontseptsioon – idee, et rakendustel pole juurdepääsu kõigile teie kasutajaandmed, kuid juurdepääs ainult nende andmetele on täiesti uus, see pole midagi, mis on Macis olemas, see pole midagi, mis on olemas Windows.
"Meil on natuke tajumisprobleem, kuid see erineb oluliselt kasutaja tegelikust riskist."
Siis on seadme krüpteerimine. Enamikul ettevõtetel pole see kogu aeg sisse lülitatud. Mobiiliruumis on seatud ootus, et kõik peaks olema kogu aeg krüptitud ja isegi eeldatakse, et see on krüpteeritakse nii hästi, et isegi keerukal rünnakul on raske neile andmetele juurdepääsu saada ilma kasutajata luba.
Oleme ka palju õppinud selle kohta, kuidas halvad näitlejad töötavad ja mida nad teha üritavad, ning oleme nüüd veidi käändepunktis. Esimesed paar aastat õppisime, arendasime arusaamist ja täiustasime oma tehnoloogiapakki. Nüüd saame halbade näitlejatega sammu pidada. Näiteks pahavara määr on viimase kolme või nelja aasta jooksul suhteliselt ühtlane, kuid ma arvan, et see on aasta, kus me oleme näeme nende langust, võib-olla oluliselt langevat, sest oleme jõudnud punkti, kus meil on piisavalt oskusi ja kogemusi. Nüüd suudame tegutsejatest kiiremini liikuda, nad kiiremini tabada ja kogu ökosüsteemis tõhusamalt tegutseda kui varem.
Arvan, et oleme pöördepunktis, kus isegi Androidi standardite kohaselt hakkame pahavara osas nägema üsna olulisi täiustusi.
Teha on veel, kuid lihtne on unustada, kui kaugele oleme viimase viie aastaga jõudnud.
Näeme palju hirmuäratava statistikaga teateid haavatavuste kohta. Milline on reaalne oht, et teie Android-seadet kasutatakse ära või kaaperdatakse? Näiteks väideti, et midagi nagu Stagefright võib mõjutada 95 protsenti
Siin on poolteist aastat möödas, peaaegu kaks aastat sellest ajast, kui me sellest esimest korda teada saime, ja me ei tea ikka veel, et see kedagi tegelikult puudutab. Käivad kuulujutud, et mõju võis mõjutada väikest hulka seadmeid, kuid isegi neid, mille kohta meil pole ühtegi põhjendatud tõendit.
Ja uskuge mind, kui kuuleme sellist kuulujuttu, püüame seda jälitada. Me räägime selle avalduse teinud ettevõttega. Küsime, kas on andmeid, mida nad saavad jagada. Me pole kunagi suutnud ühtegi neist numbritest põhjendada. Võin kindlalt öelda, et see ei mõjutanud 900 miljonit seadet.
Kindlasti olid jooksnud pealkirjad ja põnevus tegelikkusega ebaproportsionaalsed ning võib juhtuda, et see ei mõjutanud kedagi. Mis on minu meelest uskumatu, isegi ennast tagasi vaadates on alati mure, et võib olla midagi, mida te ei näe, kuid aeg näib olevat asi, mis need pimealad paljastab.
Olen Androidi turvalisuse kallal töötanud viimased kuus aastat ja iga kord, kui vaatate piirkonda, kus keegi on öelnud, et see on pime ala, ei leia me midagi. Nii et alguses oli see "Google Plays on tonnide viisi pahavara" ja me vaatasime, seal oli mõnda, eemaldasime selle. Siis kuuleme "see on väljaspool Google Playd", vaatame, seal on mõned, paneme paika päris head kaitsed. Siis "see ronib järgmisel aastal" ja seda ka ei juhtunud. Nüüd "kasutatakse ära selle haavatavusi", kuid me ei näe seda.
Ikka ja jälle liigume edasi selles suunas, kuhu me otsime, kontrollime, mida teeme, ja teenuseid, mida pakume, et otsida halbu tegijaid, kuid me lihtsalt ei näe mingit tegelikku kahju.
Sellegipoolest tahame olla võimalikult ettevaatlikud ja investeerime teenustesse, et vaadata kõiki neid pimedaid tänavaid. Samuti teeme koostööd partneritega, et nad saaksid võimalikult kiiresti reageerida, seega oleme sellesse palju investeerinud. turvavärskendused, mitte sellepärast, et me näeme palju tegelikku ärakasutamist, vaid sellepärast, et me ei taha, et see oleks risk, mis kunagi tekib aru saanud.
Suur osa sellest seisneb ees püsimises ja mitte kunagi jõudmises punktini, kus on probleem.
Miks arvate, et see narratiiv Androidi kohta, mis on haavatavuste "mürgine põrguhaav", püsib?
Siin on mõned põhjused. Üks on see, et keerukus on sageli väga hirmutav ja Androidi ökosüsteemi narratiiv on keeruline. Ökosüsteemis on palju erinevaid originaalseadmete tootjaid [telefonide ja tahvelarvutite tootjaid], palju erinevaid seadmemudeleid.
"[Masinõpe] on üks peamisi põhjusi, miks me ründajatest ette jõuame."
Androidi ökosüsteemis toimuva väga lühidalt kirjeldamine on keeruline, samamoodi nagu inimese anatoomia või inimkonna populatsiooni kirjeldamine. Aga me teame seda meditsiin läheb paremaksja me teame, et inimesed elavad kauem. Teame, et inimesed muutuvad tervemaks, kuid loeme ikka veel palju lugusid inimeste suremisest, halbadest asjadest ja haigustest.
Ma arvan, et see on peegel sellest, mis meil Androidi ökosüsteemis toimub. See on keeruline, nii et sageli ei ole rahuldavat ülilihtsat vastust, kuid üldiselt muutub see üha turvalisemaks ja jõulisemaks.
Näeme ka palju pahavara lugusid, kuid kas keskmine Androidi kasutaja, kes ei laadi kunagi rakendusi alla väljaspool Play poodi, on ohus?
Play pahavara arv on umbes 0,05 protsenti, mis on 5 rakendust 10 000-st, seega on see üsna madal. Seoses sellega, mitu protsenti seadmetest nakatub, jääb see vahemikku, kus kui me sellest ei räägiks, ei teaks keegi, et see isegi juhtus.
Räägime sellest, et tagada riskitaseme läbipaistvus. Sageli ei taha platvormid asjadest rääkida. Nad pigistavad silmad kinni. Meile meeldib läbipaistvus väliste osalejate ning meie poliitika ja protsesside suhtes, et saaksime luua usaldust. Me ei taha, et inimesed pimesi usaldaksid.
Arvan, et Androidi ökosüsteemis on Play pood kõige puhtam rakenduste pood. Ma kujutan ette, et see on võrreldav teiste rakenduste poodidega, mille ökosüsteemid on suletud. [Usume, et Adrian viitab Apple App Store'ile.]
Olles seda paljude inimestega arutanud, ei tea me anekdootlikult kedagi, kellel oleks olnud Androidi pahavara probleem, kuid mul on Windowsiga probleeme olnud. Miks kõik räägivad
Arvan, et oleme Windowsi pahavarast tüdinud ja seetõttu pole sellest enam lõbus rääkida. Android oli omamoodi uus ja põnev asi.
Kõik, mida olen näinud, näitab seda kogu Androidi ökosüsteemis. Google Playst installitavad sajad miljonid seadmed on suurusjärgu võrra puhtamad kui ettevõtte hallatud Windowsi seadmed. Meie nakatumise määr on kogu maailmas pool protsenti, kus hallatavate Windowsi seadmete puhul on see kõrgem ja tarbijaleibkondades on Windowsi seadmete nakatumise määr veelgi kõrgem.
Aga Android on põnev. See on kasvav turg. See on kasvav turg tarbijate jaoks, kuid ma arvan, et see on kasvav turg ka turvatööstuse jaoks, nii et nad on väga huvitatud sellest, et inimesed oleksid nendest asjadest teadlikud ja mõtleksid neile. See on platvormi ümbritseva suhtluse kuju.
Kui leiate pahavara, siis millist tüüpi pahavara on kõige levinum?
Enamik sellest, mida me näeme, on oma olemuselt kommertslik. Tavaliselt püüavad nad raha teenida ja mobiilis raha teenimise mehhanism on rakenduste installimine. Näeme küll nišijuhtumeid rakenduste kohta, mis kasutavad pangaparoole või muud taolist, kuid lihtsaim viis raha teenimiseks on rakenduse installimine. Väga suur protsent on seotud vaenulike allalaadijatega.
Huvitav on see, et nende installitud rakendused ei ole iseenesest kahjulikud. See võib olla mäng, mis soovib saada reklaami, või see võib olla mõni muu teenus, kus nad saavad kasu turu levitamisest. Lõpptulemus ei ole see, millele inimesed pahavarale mõeldes mõtlevad. Sageli ei ürita keegi teie andmeid varastada.
Seal on nuhkvara. Ma ei taha väita, et seda pole olemas. Tegime sel nädalal isegi postituse, milles kirjeldasime väga kõrgetasemelist nuhkvara, mille leidsime, kuid see oli 25 seadmes. See ei ole kindlasti seda tüüpi asi, mis on kogu ökosüsteemis levinud või kõige populaarsem.
Kas Androidis on midagi oma olemuselt vähem turvalist võrreldes teiste mobiilsete operatsioonisüsteemidega?
Ma arvan, et platvormil pole midagi oma olemuselt vähem turvalist. Ma arvan, et keerukus muudab avalduste tegemise platvormi tasemel keerulisemaks.
Inimestele meeldib võrrelda iPhone'i Androidiga. IPhone on tootja operatsioonisüsteemiga seade, tegelikult on see umbes viis erinevat seadet. Kui vaadata ühte tootjat
Võib-olla võib Pixeli ja Nexuse liini võrdlemine iPhone'iga olla õiglasem?
Jah, riistvaraliselt väga sarnased – sarnased turvaomadused. Rakenduste poodidel on sarnased turbeomadused, kinnitatud rakendused, rakenduse isolatsioon – väga sarnased turbeomadused. Mõlemad on pühendunud kiiretele värskendustele.
"Võrreldes Samsungi iOS-iga, olete selle seadme ja selle seadme osas juba ligikaudu 20 korda keerulisem."
See, kus te eristumiseni jõuate, on läbipaistvus. Android on avatud lähtekoodiga. See teave on kõigile kättesaadav. Julgustame oma turvapreemiate programmi kaudu kolmandate osapoolte uuringuid, nii et me teame seda mitte ainult kas me otsime platvormis probleeme, aga teised inimesed on samuti ja see teeb suureks erinevus.
Ma arvan, et ka teenustel on suur erinevus. Oleme tahtlikult kavandanud nähtavuse ja võimaluse kohapeal seadmeid kontrollida, samas kui seda pole ühelgi teisel platvormil. See tähendab, et saame tagasisidet paljude toimuvate pisiasjade kohta ja saame sellele reageerida.
Kuidas võidelda turbevärskenduste aeglase kasutuselevõtuga mitte-laos olevate Android-seadmete jaoks? Kas see on masendav?
Hindame väga seda, kui paljud inimesed on Androidi kasutusele võtnud ja kui palju seadmeid on
Oleme viimase aasta jooksul kulutanud palju aega, et aidata neil, kes liiguvad aeglasemalt, mõne probleemi lahendamisel tehnoloogilised väljakutsed, lahendada mõned nende inseneriprobleemid ja mõnel juhul ka organisatsioonilised väljakutseid. Neil võib puududa värskenduste pakkumiseks insenere. Võib-olla nad ei mõelnud sellele, seega küsime, mida saame teha, et viia teid punkti, kus olete selle üle mõelnud ja see on mõttekas?
See muudab asjad kindlasti keerulisemaks, kuid see on ka põhjuseks, miks Android on olnud nii edukas, sest paljud erinevad inimesed said hüpata ja hakata seadmeid ehitama.
Milliseid meetmeid on Androidi meeskond platvormi turvalisemaks muutmiseks ette võtnud? Ja mis on järgmine valdkond, millega tahaksite tegeleda või parandada?
Ma arvan, et kõik tükid saavad väga kenasti kokku. See on olnud mitmeaastane teekond, kuid krüptotöö, mida me oleme teinud, liivakastitöö, mida oleme teinud, on palju ärakasutamise raskemaks muutmise töö on kõik kenasti koos, nii et need on valdkonnad, mida me jätkame peal.
Miks on liivakast oluline?
Liivakast põhitasandil seisneb selles, kuidas te eraldate ühe rakenduse teisest. Mäng on suurepärane näide, kus inimesed ei mõtle sellele, kuid arvutis on mängud sageli võrgus. Need on üks väheseid asju sellises seadmes, millel on võrgupordi teenus, nii et see on üks hirmutavamaid tarkvara tükke, mida enamikus tarbijaseadmetes kasutate. Kui teete mängu ohtu, võib mängu autor olla täiesti healoomuline, kuid sellel mängul on juurdepääs kõigele, mis teie arvutis on.
Androidi puhul pole see aga sugugi nii. Seejärel peate tegema kompromisse ka põhioperatsioonisüsteemis, et saaksite sellest kaugemale minna. Meie jaoks oli see tõesti väga oluline tagamaks, et peate alati Google'i koodi ehk Androidi koodiga kompromisse tegema, et jõuda punktini, kus saate teha midagi, mis kasutajale tõesti haiget teeb.
Kui oluline on kolmanda osapoole uurimisprogramm vigade ja haavatavuste leidmisel?
See on tegelikult väga oluline. Eelmisel aastal maksime teadlastele ligi miljon dollarit. Ma arvan, et umbes 120 erinevat teadlast leidsid probleemid ja teatasid neist meile. Iga kuu tuleb kümneid, seega on see meie jaoks väga oluline.
Üks asi, mis on juhtunud, on tõesti huvitav, on see, et hakkasime saama üha rohkem teateid probleemidest, mitte Androidis, vaid muudes seadmes olevates komponentides. Näiteks sel nädalal teatati probleemist Broadcomi WiFi-draiverites
Kas masinõpe hakkab rolli mängima? Kas teil on piisavalt andmeid, et see oleks tõhus?
Meil on praegu tohutult palju andmeid ja oleme hakanud leidma masinõppetehnikaid, mis toimivad väga hästi erinevat tüüpi asjade puhul. Üks asi, mille jaoks masinõpe väga hästi töötab, on teiste rakenduste leidmine, mis on samuti pahavara. Kui leiame ühe halva rakenduse, võime võib-olla samal päeval maha võtta tuhat või enam rakendust, mis meie teada on masinõppetehnikate põhjal omavahel seotud.
Ja ootate, et see aja jooksul paraneks? Ilmselgelt see õpib, nii et see peaks paremaks minema?
"Masinõpe võimaldab meil kaitsevõimalusi palju kiiremini arendada."
See on üks peamisi põhjuseid, miks me järgmise paari aasta jooksul ründajatest ette jõuame. Masinõpe võimaldab meil arendada kaitsevõimet palju kiiremini, kui inimene suudab oma varjamist parandada, Seetõttu on pahavara minevikus olnud püsiv, sest isegi väga väikesed muudatused võivad seda varjata tõhusalt. See ei lähe enam nii.
Kas turvalisuse karmistamine tähendab osa avatuse ja kohandatavuse kaotamist, mis on aidanud muuta Androidi maailma populaarseimaks mobiilioperaatoriks?
Üldse mitte. Androidi avatus, kohandatavus ja turvalisus on kõik selle suurimad tugevused. Arvame, et kõigi kolme osas on võimalik jätkuvalt täiustada.
Kui seisame silmitsi funktsiooniga, mis näib panevat need põhimõtted vastuollu, näeme palju vaeva, et leida tasakaalustatud lähenemisviis. Üks levinud strateegia on, et vaikeseade oleks turvalisem (võimalikult paljude kasutajate kaitsmiseks), võimaldades samal ajal kasutajatel valida (kohandamise võimaldamiseks).
Me teeme sama asja originaalseadmete valmistajatega [seadmetootjatega], määratledes turvamudeli, mis on vastupidav, kuid pakub ka hulgaliselt võimalusi uuendusteks ja kohandamiseks. Sellest tulenev mitmekesisus on iseenesest turvalisuse suurendamine, kuna monokultuurid on teadaolevalt süsteemsetele riskidele vastuvõtlikumad. Ja mõnel juhul viib see kohandamine uuenduslike turvatäiustusteni, mis on ökosüsteemile õnnistuseks.
Kas arvate, et viirusetõrjet, pahavaratõrjet ja muid kolmanda osapoole Androidi turvarakendusi on vaja?
Oleme pühendunud sellele, et Google Play pakutavad tasuta kaitsed oleksid maailma parim kaitse. Arvame, et oleme selle juba saavutanud, ja jätkame teabe avaldamist, mis võimaldab teistel seda üle kontrollida ja ise kinnitada.
Millist nõu annaksite turvaprobleemidega Androidi kasutajale? Millised tegevused võivad nad ohtu seada ja mida saavad nad turvalisuse tagamiseks ette võtta?
Oleme avaldanud sellel teemal abikeskuse artikli, siin.
Toimetajate soovitused
- Teie Google One’i pakett sai just kaks suurt turvavärskendust, et teid võrgus turvaliselt hoida
- Millal mu telefon saab Android 13? Google, Samsung, OnePlus ja palju muud
- Google maksab pärast Android-telefonide ebaseaduslikku jälgimist ajaloolise 85 miljoni dollari suuruse trahvi
- Android 13 on käes ja saate selle kohe oma Pixeli telefoni alla laadida
- Optimeeritud rakendustega on Androidi tahvelarvutid lõpuks enamat kui suured telefonid