Ajatus siitä, että Android-alusta on epävarma, on suosittu ja jatkuva. Ja hyvinkin mahdollisesti väärin.
Tuskin viikko kuluu ilman uutta otsikkoa juuri paljastuneesta haavoittuvuudesta tai uusista haittaohjelmista, jotka vaikuttavat miljooniin laitteisiin.
Näitä ongelmia pahentaa se, että Android ekosysteemi on monimutkainen. Hajanaisuus tekee alustan päivittämisestä uskomattoman vaikeaa. Useat eri laitevalmistajat rakentavat tuhansia erilaisia puhelimia ja tabletteja, joissa on eri Android-versiot. Tämän seurauksena tietoturvakorjauksia sisältävien päivitysten käyttöönotto kestää kuukausia – tai mikä pahempaa, ei tehdä ollenkaan. Liian monet valmistajat päivittävät vain lippulaivansa ja jättävät vanhoihin ja pienempiin laitteisiin tunnettuja haavoittuvuuksia, jotka voivat vaarantaa käyttäjät.
Liittyvät
- Google julkisti juuri 9 uutta ominaisuutta Android-puhelimeesi ja -kellollesi
- Google Chrome saa Android-tablettipäivityksen, jota olet odottanut
- Google haluaa sinun tietävän, että Android-sovellukset eivät ole enää vain puhelimia varten
Harkitse haavoittuvuutta, kuten Ramppikuume, joka voi antaa hakkereille mahdollisuuden hallita Android-laitetta ääni- tai videotiedostossa olevan haitallisen koodin avulla. Raporttien mukaan jopa 95 prosenttia laitteista oli haavoittuvia. Mutta kuinka moni todella vaikutti?
"Tässä on puolitoista vuotta, melkein kaksi vuotta siitä, kun saimme tietää siitä ensimmäisen kerran, ja olemme edelleen en tiedä, että ketään todella koskee", Android-tietoturvajohtaja Adrian Ludwig kertoi Digitalille Trendit.
Huolenaiheena oli, että Google kehitti korjaukset suhteellisen nopeasti ja toimitti ne välittömästi Googlen Nexus-laitteille. Muiden laitteiden korjaustiedostot julkaistiin valmistajien harkinnan mukaan.
Tämä tarkoittaa, että jos sinulla on a Google Pixel uusimmalla Android 7.0 Nougatilla hyödyt uusimmasta tietoturvasta, mutta joku, jonka puhelin käyttää KitKatia (20 prosenttia
Se on hankala ongelma, jota ei ole helppo ratkaista, mutta Android-tietoturvatiimi on työskennellyt kovasti vähentääkseen käyttäjille aiheutuvaa riskiä. Pelottavat tilastot tekevät hyviä otsikoita, mutta tekevät
"Luulen, että meillä on hieman havaintoongelma, mutta se eroaa hyvin todellisesta käyttäjäriskistä", Ludwig selitti. "Salaustyö, jota olemme tehneet, hiekkalaatikkotyöt, joita olemme tehneet, ja suuri osa hyväksikäytön vaikeuttamistyöstä yhdistyvät hienosti."
Digital Trends keskusteli Ludwigin kanssa Google Hangoutsissa selvittääkseen Android-tietoturvan nykytilan ja kysyäkseen, pitäisikö ihmisten todella olla huolissaan otsikoiden haavoittuvuuksista ja haittaohjelmista ja oppia, mitä Google tekee pirstoutumisesta mahdollistaakseen laajemman turvallisuuden päivitykset.
Digitaalitrendit: Onko Android todella epävarma?
Adrian Ludwig: Ei, se ei ole epävarmaa. Olemme tehneet monia asioita, jotka ovat siirtäneet odotuksia eteenpäin parin viime vuoden aikana.
Macissa tai Windowsissa sinulla oli oltava kolmannen osapuolen virustorjunta, mutta sanoimme, että teemme sen kaikille ja teemme sen ilmaiseksi.
Sovellusten hiekkalaatikko on suhteellisen uusi käsite Android-tietoturvan maailmassa – ajatus siitä, että sovelluksilla ei ole pääsyä kaikkiin käyttäjätiedot, mutta vain pääsy heidän tietoihinsa on täysin uutta, se ei ole jotain, joka on olemassa Macissa, se ei ole jotain, joka on olemassa Windows.
"Meillä on hieman havaintoongelma, mutta se eroaa hyvin todellisesta käyttäjäriskistä."
Sitten on laitteen salaus. Useimmissa yrityksissä se ei ole päällä koko ajan. Mobiiliavaruudessa on asetettu odotus, että kaikki pitäisi salata koko ajan ja jopa odotetaan, että se on salataan niin hyvin, että jopa hienostuneen hyökkäyksen on vaikea päästä käsiksi tietoihin ilman käyttäjää valtuutus.
Olemme myös oppineet paljon siitä, miten huonot näyttelijät toimivat ja mitä he yrittävät tehdä, ja olemme nyt hieman käännekohdassa. Muutaman ensimmäisen vuoden aikana opimme, rakensimme ymmärrystämme ja kehitimme teknologiapinoamme. Nyt voimme pysyä huonojen näyttelijöiden perässä. Esimerkiksi haittaohjelmien määrä on pysynyt suhteellisen tasaisena viimeisten kolmen tai neljän vuoden aikana, mutta mielestäni tämä on vuosi, jolloin olemme näemme niiden putoavan, ehkä merkittävästi, koska olemme päässeet siihen pisteeseen, jossa meillä on tarpeeksi taitoa ja kokea. Pystymme nyt liikkumaan nopeammin kuin toimijat, saamaan heidät kiinni nopeammin ja toimimaan tehokkaammin koko ekosysteemissä kuin ennen.
Uskon, että olemme käännekohdassa, jossa jopa Android-standardien mukaan alamme nähdä melko merkittäviä parannuksia haittaohjelmien suhteen.
Paljon on vielä tehtävää, mutta on helppo unohtaa, kuinka pitkälle olemme tulleet viimeisen viiden vuoden aikana.
Näemme paljon haavoittuvuuksista kertovia raportteja, joissa on pelottavia tilastoja. Mikä on realistinen riski, että Android-laitettasi käytetään hyväksi tai kaapataan? Esimerkiksi jotain Stagefrightin sanottiin vaikuttavan 95 prosenttiin
Tässä on puolitoista vuotta aikaa, melkein kaksi vuotta siitä, kun saimme ensimmäisen kerran tietää siitä, emmekä vieläkään tiedä, että ketään todella koskee. On huhuja, että pieni määrä laitteita on saattanut vaikuttaa, mutta jopa ne, joista meillä ei ole perusteltua näyttöä.
Ja luota minuun, aina kun kuulemme tällaisen huhun, yritämme ajaa sen alas. Menemme puhumaan yrityksen kanssa, joka tekee tämän lausunnon. Kysymme, onko tietoja, joita he voivat jakaa. Emme ole koskaan pystyneet todistamaan mitään noista lukuista. Voin sanoa varmasti, että vaikutus ei koskenut 900 miljoonaa laitetta.
Varmasti ilmestyneet otsikot ja jännitys olivat suhteettomia todellisuuteen, ja voi olla, että kukaan ei vaikuttanut. Mikä on mielestäni uskomatonta, jopa itseäni taaksepäin katsoessani on aina huoli siitä, että saattaa olla jotain, mitä et näe, mutta aika näyttää olevan se asia, joka paljastaa nuo sokeat pisteet.
Olen työskennellyt Android-tietoturvan parissa viimeiset kuusi vuotta, ja aina kun katsot alueelle, jossa joku on sanonut "se on sokea piste", emme löydä mitään. Joten varhain se oli "Google Playssa on tonnia haittaohjelmia", ja katsoimme, niitä oli, poistimme sen. Sitten kuulemme "se on Google Playn ulkopuolella", katsomme, siellä on joitain, laitamme melko hyvät suojat paikalleen. Sitten "se kiipeää ensi vuonna", eikä sitäkään tapahtunut. Nyt "sen haavoittuvuuksia tullaan hyödyntämään", mutta emme näe sitä.
Kerta toisensa jälkeen siirrymme eteenpäin siinä, missä etsimme ja tarkastuksissa, joita teemme, ja tarjoamissamme palveluissa etsiäksemme huonoja toimijoita, mutta emme vain näe mitään todellista haittaa.
Haluamme kuitenkin olla niin varovaisia kuin mahdollista, ja siksi investoimme palveluihin katsoaksemme kaikkia näitä pieniä pimeitä kujia. Työskentelemme myös kumppaneiden kanssa varmistaaksemme, että he pystyvät vastaamaan mahdollisimman nopeasti, joten olemme investoineet siihen paljon tietoturvapäivitykset, ei siksi, että näemme paljon todellista hyväksikäyttöä, vaan koska emme halua, että se on riski, joka koskaan saa tajusi.
Suurin osa siitä on pysymistä edellä eikä koskaan päästä pisteeseen, jossa on ongelma.
Miksi arvelet, että tämä kertomus Androidista haavoittuvuuksien "myrkyllisenä helvettinä" jatkuu?
On olemassa muutamia syitä. Yksi on, että monimutkaisuus on usein hyvin pelottavaa ja Android-ekosysteemin tarina on monimutkainen. Ekosysteemissä on paljon erilaisia OEM-valmistajia [puhelinten ja tablettien valmistajia], paljon erilaisia laitemalleja.
"[Koneoppiminen] on yksi tärkeimmistä syistä, miksi pääsemme hyökkääjien edellä."
Android-ekosysteemin tapahtumien kuvaaminen ytimekkäästi on vaikeaa, aivan samalla tavalla kuin ihmisen anatomian tai ihmiskunnan populaation kuvaaminen on erittäin vaikeaa. Mutta me tiedämme sen lääketiede paranee, ja tiedämme, että ihmiset elävät pidempään. Tiedämme, että ihmiset paranevat, mutta luemme silti paljon tarinoita ihmisten kuolemasta, pahoista asioista ja sairauksista.
Mielestäni se on peili siitä, mitä meillä on meneillään Android-ekosysteemissä. Se on monimutkainen, joten siihen ei useinkaan ole tyydyttävää, erittäin yksinkertaista vastausta, mutta kaiken kaikkiaan se on yhä turvallisempi ja kestävämpi.
Näemme myös paljon haittaohjelmatarinoita, mutta onko keskimääräinen Android-käyttäjä, joka ei koskaan lataa sovelluksia Play Kaupan ulkopuolelta, vaarassa?
Playn haittaohjelmien määrä on noin 0,05 prosenttia, mikä on 5 sovelluksesta 10 000:sta, joten se on melko alhainen. Mitä tulee siihen, kuinka suuri prosenttiosuus laitteista saa tartunnan, se on alueella, jossa jos emme puhuisi siitä, kukaan ei tietäisi sen tapahtuvan.
Puhumme siitä varmistaaksemme, että riskin taso on läpinäkyvä. Usein alustat eivät halua puhua asioista. He sulkevat silmänsä. Haluamme avoimuutta ulkoisiin toimijoihin sekä politiikkaamme ja prosessejamme kohtaan, jotta voimme rakentaa luottamusta. Emme halua ihmisten luottavan sokeasti.
Veikkaan, että Android-ekosysteemissä Play Kauppa on puhtain sovelluskauppa. Voisin kuvitella, että se verrataan samalla tavalla muihin sovelluskauppoihin, joiden ekosysteemit ovat suljetumpia. [Uskomme, että Adrian viittaa Apple App Storeen.]
Keskusteltuamme siitä monien ihmisten kanssa, anekdoottisesti, emme tunne ketään, jolla olisi ollut Android-haittaohjelmaongelma, mutta minulla on ollut Windows-ongelmia itselläni. Miksi kaikki puhuvat
Luulen, että olemme kyllästyneet Windowsin haittaohjelmiin, joten niistä ei ole enää hauskaa puhua. Android oli tavallaan uusi, jännittävä asia.
Kaikki näkemäni osoittaa sen Android-ekosysteemissä. Sadat miljoonat Google Playsta asennettavat laitteet ovat suuruusluokkaa puhtaampia kuin hallittu yrityksen Windows-laitekanta. Tartuntaprosenttimme on maailmanlaajuisesti puoli prosenttia, missä se on korkeampi hallituilla Windows-laitteilla ja kuluttajatalouksissa Windows-laitteiden tartuntaprosentti on vielä korkeampi.
Mutta Android on jännittävä. Se on kasvava markkina. Se on kasvava markkina kuluttajille, mutta uskon, että se on myös kasvava markkina turvateollisuudelle, joten he ovat erittäin kiinnostuneita varmistamaan, että ihmiset ovat tietoisia ja ajattelevat näitä asioita. Tämä on alustan ympärillä olevan viestinnän muoto.
Kun löydät haittaohjelmia, mikä tyyppi on yleisin?
Suurin osa näkemästämme on luonteeltaan kaupallista. He yrittävät yleensä ansaita rahaa, ja mekanismi ansaita rahaa mobiililaitteella on asentaa sovelluksia. Näemme kapeita tapauksia sovelluksista, jotka hakevat pankkien salasanoja tai vastaavia, mutta yksinkertaisin tapa ansaita rahaa on asentaa sovellus. Erittäin suuri prosenttiosuus liittyy niin kutsuttuihin vihamielisiin lataajiin.
Mielenkiintoista on, että heidän asentamansa sovellukset eivät itsessään ole haitallisia. Se voi olla peli, joka haluaa saada promootiota, tai se voi olla toinen palvelu, jossa he hyötyvät markkinoiden jakelusta. Lopputulos ei ole sellaisia asioita, joita ihmiset ajattelevat, kun he ajattelevat haittaohjelmia. Usein kukaan ei yritä varastaa tietojasi.
siellä On vakoiluohjelma. En halua väittää, etteikö sitä ole olemassa. Teimme tällä viikolla jopa postauksen, jossa kuvailimme erittäin huippuluokan vakoiluohjelmaa, jonka löysimme, mutta se oli 25 laitteessa. Se ei todellakaan ole sen tyyppinen asia, joka on yleisin tai suosituin koko ekosysteemissä.
Onko Androidissa jotain luonnostaan vähemmän turvallista verrattuna muihin mobiilikäyttöjärjestelmiin?
En usko, että alustassa on mitään luonnostaan vähemmän turvallista. Mielestäni monimutkaisuus vaikeuttaa lausuntojen antamista alustatasolla.
Ihmiset rakastavat vertailla iPhonea Androidiin. IPhone on laite, jossa on valmistajan käyttöjärjestelmä, itse asiassa se on noin viisi eri laitetta. Jos katsot yhtä valmistajaa
Ehkä Pixel- ja Nexus-sarjan vertaaminen iPhoneen voisi olla oikeudenmukaisempaa?
Kyllä, laitteistoltaan hyvin samankaltainen – samanlaiset suojausominaisuudet. Sovelluskaupoissa on samanlaiset suojausominaisuudet, vahvistetut sovellukset, sovellusten eristäminen – hyvin samankaltaiset suojausominaisuudet. Molemmat ovat sitoutuneet nopeisiin päivityksiin.
"Verrattaessa Samsungia iOS: ään olet jo noin 20 kertaa monimutkaisempi tämän laitteen suhteen verrattuna tuohon laitteeseen."
Se, missä pääset erottumaan, on läpinäkyvyys. Android on avoin lähdekoodi. Se tieto on kaikkien saatavilla. Kannustamme kolmannen osapuolen tutkimusta tietoturvapalkkio-ohjelmamme kautta, joten tiedämme sen lisäksi etsimmekö ongelmia alustasta, mutta myös muut ihmiset ovat niin, ja se on suuri ero.
Uskon, että palveluilla on myös suuri merkitys. Olemme tarkoituksella suunnitelleet näkyvyyden ja laitteiden tarkastamisen kentällä, kun taas sellaista ei ole millään muulla alustalla. Se tarkoittaa, että saamme palautetta monista tapahtuvista pienistä asioista ja voimme vastata siihen.
Kuinka torjut tietoturvapäivitysten hidasta käyttöönottoa ei-varastossa oleville Android-laitteille? Onko se turhauttavaa?
Arvostamme todella sitä, kuinka monet ihmiset ovat ottaneet käyttöön Androidin ja kuinka moni laite on ottanut käyttöön
Olemme käyttäneet paljon aikaa viimeisen vuoden aikana yrittääksemme auttaa hitaammin eteneviä ratkaisemaan osan heidän tehtävistään teknologian haasteisiin, ratkaista jotkin niiden suunnitteluhaasteet ja joissakin tapauksissa sen organisaatioon liittyvät haasteet haasteita. Heiltä saattaa puuttua insinöörien henkilökunta päivittääkseen. Ehkä he eivät ajatelleet sitä, joten kysymme, mitä voimme tehdä saadaksemme sinut pisteeseen, jossa olet ajatellut sitä ja siinä on järkeä?
Se tekee asioista varmasti monimutkaisempia, mutta se on myös ydin siihen, miksi Android on ollut niin menestyvä, koska monet eri ihmiset pystyivät hyppäämään mukaan ja aloittamaan laitteiden rakentamisen.
Mihin toimiin Android-tiimi on ryhtynyt tehdäkseen alustasta turvallisemman? Ja mikä on seuraava alue, johon haluaisit puuttua tai parantaa?
Minusta kaikki osat sopivat hyvin yhteen. Se on ollut monivuotinen matka, mutta tekemämme kryptografinen työ, tekemämme hiekkalaatikko, paljon työ hyväksikäytön vaikeuttamiseksi yhdistyy hienosti, joten näillä aloilla aiomme jatkaa työskentelyä päällä.
Miksi hiekkalaatikko on tärkeää?
Perustason hiekkalaatikko tarkoittaa sitä, kuinka eristät yhden sovelluksen toisesta. Peli on täydellinen esimerkki, jossa ihmiset eivät ajattele sitä, mutta PC: llä pelit ovat usein verkotettuja. Ne ovat yksi harvoista asioista sellaisissa laitteissa, joissa on verkkoporttipalvelu, joten se on yksi pelottavimmista ohjelmistoista, joita käytät useimmissa kuluttajalaitteissa. Jos vaarannat pelin, pelin kirjoittaja saattaa olla täysin hyväntahtoinen, mutta sillä on pääsy kaikkeen tietokoneellesi.
Androidissa se ei kuitenkaan ole ollenkaan niin. Sinun on tällöin myös vaarannettava ydinkäyttöjärjestelmä voidaksesi mennä pidemmälle. Meille se oli todella, todella tärkeää varmistaaksemme, että joudut aina vaarantamaan Googlen koodin eli Androidin koodin päästäksesi pisteeseen, jossa voit tehdä jotain, joka todella satuttaa käyttäjää.
Kuinka tärkeä kolmannen osapuolen tutkimusohjelma on virheiden ja haavoittuvuuksien löytämisessä?
Se on itse asiassa todella tärkeää. Viime vuonna maksoimme tutkijoille lähes miljoona dollaria. Luulen, että noin 120 eri tutkijaa löysi ongelmia ja ilmoitti niistä meille. Kymmeniä tulee joka kuukausi, joten se on meille todella tärkeää.
Yksi asia, joka on itse asiassa tapahtunut, on todella mielenkiintoista, että aloimme saada yhä enemmän raportteja ongelmista, ei Androidissa, vaan muissa laitteessa olevissa komponenteissa. Esimerkiksi tällä viikolla ilmoitettiin ongelmasta Broadcomin Wi-Fi-ajureissa
Alkaako koneoppiminen olla roolissaan? Onko sinulla tarpeeksi dataa, jotta se olisi tehokas?
Meillä on nyt valtava määrä dataa, ja olemme alkaneet löytää koneoppimistekniikoita, jotka toimivat todella hyvin erityyppisissä asioissa. Yksi asia, johon koneoppiminen toimii todella hyvin, on löytää muita sovelluksia, jotka ovat myös haittaohjelmia. Kun löydämme yhden huonon sovelluksen, voimme ehkä poistaa samana päivänä tuhat tai useampia sovelluksia, joiden tiedämme liittyvän toisiinsa koneoppimistekniikoiden perusteella.
Ja odotatko sen paranevan ajan myötä? Ilmeisesti se oppii, joten sen pitäisi parantua?
"Koneoppimisen avulla voimme kehittää suojausominaisuuksia paljon nopeammin."
Se on yksi tärkeimmistä syistä, miksi pääsemme parin seuraavan vuoden aikana hyökkääjien edellä. Koneoppimisen avulla voimme kehittää suojausominaisuuksia paljon nopeammin kuin ihminen voi parantaa piiloutumisaan, Tämän vuoksi haittaohjelmat ovat viime kädessä olleet pysyviä – koska jopa hyvin pienet muutokset voivat piilottaa sen tehokkaasti. Se ei tule olemaan enää niin.
Tarkoittaako turvallisuuden tiukentaminen osan avoimuuden ja muokattavuuden menettämistä, mikä on auttanut tekemään Androidista maailman suosituimman mobiilikäyttöjärjestelmän?
Ei lainkaan. Androidin avoimuus, muokattavuus ja turvallisuus ovat kaikki sen vahvuuksia. Uskomme, että on mahdollista jatkaa parantamista kaikissa kolmessa.
Kun kohtaamme ominaisuuden, joka näyttää saattavan nämä periaatteet ristiriitaan, teemme paljon töitä löytääksemme tasapainoisen lähestymistavan. Yksi yleinen strategia on, että oletusasetus on turvallisempi (suojatakseen mahdollisimman monia käyttäjiä) ja sallii samalla käyttäjien valinnanvaran (mukauttaminen).
Teemme saman OEM-valmistajien [laitevalmistajien] kanssa määrittelemällä tietoturvamallin, joka on vankka, mutta tarjoaa myös lukemattomia mahdollisuuksia innovoida ja mukauttaa. Tuloksena oleva monimuotoisuus lisää turvallisuutta, sillä monokulttuurien tiedetään olevan alttiimpia systeemisille riskeille. Ja joissakin tapauksissa tämä räätälöinti johtaa innovatiivisiin tietoturvaparannuksiin, mikä on siunaus ekosysteemille.
Luuletko, että virustorjuntaa, haittaohjelmien torjuntaa ja muita kolmannen osapuolen Android-tietoturvasovelluksia tarvitaan?
Olemme sitoutuneet tekemään Google Playn tarjoamista ilmaisista suojauksista maailman parhaan suojan. Uskomme jo saavuttaneemme sen, ja julkaisemme edelleen tietoja, joiden avulla muut voivat tarkistaa ja vahvistaa ne itse.
Mitä neuvoja antaisit Android-käyttäjälle, jolla on turvallisuusongelmia? Mitkä toimet saattavat vaarantaa heidät ja mitä he voivat tehdä pysyäkseen turvassa?
Olemme julkaisseet tästä aiheesta ohjekeskuksen artikkelin, tässä.
Toimittajien suositukset
- Google One ‑pakettisi sai juuri kaksi suurta tietoturvapäivitystä, jotka pitävät sinut turvassa verkossa
- Milloin puhelimeeni saa Android 13:n? Google, Samsung, OnePlus ja paljon muuta
- Google maksaa historiallisen 85 miljoonan dollarin sakon Android-puhelimien laittoman jäljittämisen jälkeen
- Android 13 on täällä, ja voit ladata sen Pixel-puhelimeesi heti
- Optimoitujen sovellusten ansiosta Android-tabletit ovat vihdoin enemmän kuin isot puhelimet
