L’idée selon laquelle la plateforme Android n’est pas sécurisée est populaire et persistante. Et très probablement faux.
Il se passe à peine une semaine sans qu’un nouveau titre fasse la une d’une vulnérabilité récemment découverte ou d’un nouveau malware affectant des millions d’appareils.
Ces problèmes sont exacerbés par le fait que Android l’écosystème est compliqué. Fragmentation rend incroyablement difficile la mise à jour de la plateforme. Une multitude de fabricants d'appareils différents fabriquent des milliers de téléphones et de tablettes différents exécutant différentes versions d'Android. En conséquence, les mises à jour contenant des correctifs de sécurité prennent des mois à être déployées – ou pire, ne le font jamais du tout. Trop de fabricants se contentent de mettre à jour leurs produits phares, laissant des vulnérabilités connues dans des appareils plus anciens et de moindre taille qui pourraient mettre les utilisateurs en danger.
En rapport
- Google vient d'annoncer 9 nouvelles fonctionnalités pour votre téléphone et votre montre Android
- Google Chrome reçoit la mise à jour pour tablette Android que vous attendiez
- Google veut que vous sachiez que les applications Android ne sont plus réservées aux téléphones
Considérons une vulnérabilité comme Trac, qui pourrait permettre aux pirates de contrôler un appareil Android via un code malveillant présent dans un fichier audio ou vidéo. Les rapports suggèrent que jusqu'à 95 % des appareils étaient vulnérables. Mais combien ont été réellement concernés ?
« Voilà déjà un an et demi, presque deux ans que nous en avons eu connaissance et nous continuons à le faire. Je ne sais pas si quelqu'un est réellement concerné », a déclaré Adrian Ludwig, directeur de la sécurité Android, à Digital. Les tendances.
Le problème était que Google avait élaboré des correctifs relativement rapidement et les avait immédiatement déployés sur la gamme d'appareils Nexus de Google. Les correctifs pour d'autres appareils sont sortis à la discrétion des fabricants.
Cela signifie que si vous avez un Google-Pixels avec le dernier Android 7.0 Nougat, vous bénéficiez des dernières sécurités, mais quelqu'un possédant un téléphone exécutant KitKat (20 % des
Il s’agit d’un problème épineux qui n’est pas facile à résoudre, mais l’équipe de sécurité Android a travaillé dur pour réduire les risques pour les utilisateurs. Des statistiques effrayantes font de bons titres, mais c’est le cas
"Je pense que nous avons un petit problème de perception, mais c'est très différent du risque réel pour l'utilisateur", a expliqué Ludwig. "Le travail cryptographique que nous avons effectué, le sandboxing que nous avons effectué et une grande partie du travail visant à rendre l'exploitation plus difficile s'assemblent bien."
Digital Trends s'est entretenu avec Ludwig sur Google Hangouts pour connaître l'état actuel de la sécurité Android et demander si les gens devraient vraiment Soyez préoccupé par les vulnérabilités et les logiciels malveillants qui font la une des journaux, et découvrez ce que Google fait en matière de fragmentation pour permettre une sécurité plus large. mises à jour.
Tendances numériques: Android est-il vraiment peu sécurisé ?
Adrien Ludwig: Non, ce n’est pas dangereux. Nous avons fait beaucoup de choses qui ont fait progresser les attentes au cours des deux dernières années.
Pour Mac ou Windows, vous deviez disposer d’une protection antivirus tierce, mais nous avons dit que nous allions le faire pour tout le monde et le rendre gratuitement.
Le sandboxing des applications est un concept relativement nouveau dans le monde de la sécurité Android: l'idée selon laquelle les applications n'ont pas accès à tous vos fichiers. les données des utilisateurs, mais seulement avoir accès à leurs données est entièrement nouveau, ce n'est pas quelque chose qui existe sur Mac, ce n'est pas quelque chose qui existe sur Les fenêtres.
« Nous avons un petit problème de perception, mais c’est très différent du risque réel pour les utilisateurs. »
Ensuite, il y a le cryptage des appareils. La plupart des entreprises ne l’activent pas en permanence. Dans l’espace mobile, on s’attend à ce que tout soit crypté à tout moment et on s’attend même à ce que ce soit le cas. sera si bien crypté qu'il sera difficile, même pour une attaque sophistiquée, d'accéder à ces données sans utilisateur autorisation.
Nous avons également beaucoup appris sur le fonctionnement des mauvais acteurs et sur ce qu’ils essaient de faire, et nous sommes maintenant à un petit point d’inflexion. Au cours des premières années, nous avons appris, développé notre compréhension et amélioré notre pile technologique. Nous pouvons désormais suivre le rythme des mauvais acteurs. Les taux de logiciels malveillants, par exemple, sont relativement stables au cours des trois ou quatre dernières années, mais je pense que c’est l’année où nous sommes en nous allons les voir baisser, peut-être de manière significative, parce que nous sommes arrivés au point où nous avons suffisamment de compétences et expérience. Nous sommes désormais en mesure d’agir plus rapidement que les acteurs, de les détecter plus tôt et d’agir plus efficacement qu’auparavant dans l’ensemble de l’écosystème.
Je pense que nous sommes à un tournant où, même selon les normes Android, nous allons commencer à constater des améliorations assez significatives en ce qui concerne les logiciels malveillants.
Il reste encore beaucoup à faire, mais il est facile d’oublier tout le chemin parcouru au cours des cinq dernières années.
Nous voyons de nombreux rapports sur des vulnérabilités avec des statistiques effrayantes. Quel est le risque réaliste que votre appareil Android soit exploité ou piraté? Par exemple, quelque chose comme Stagefright aurait un impact potentiel sur 95 pour cent des
Cela fait déjà un an et demi, presque deux ans, que nous en avons eu connaissance et nous ne savons toujours pas si qui que ce soit est réellement concerné. Il y a des rumeurs selon lesquelles un petit nombre d’appareils pourraient avoir été concernés, mais même pour ceux-là, nous n’avons aucune preuve étayée.
Et croyez-moi, chaque fois que nous entendons une rumeur comme celle-là, nous essayons de la traquer. Nous allons parler à l’entreprise qui fait cette déclaration. Nous leur demandons s’il existe des données qu’ils peuvent partager. Nous n’avons jamais pu étayer aucun de ces chiffres. Je peux affirmer avec certitude que 900 millions d’appareils n’ont pas été concernés.
Certes, les gros titres et l'enthousiasme ont été disproportionnés par rapport à la réalité et il se peut que personne n'ait été touché. Ce qui est incroyable, je pense, même en regardant en arrière, on craint toujours qu’il y ait quelque chose que l’on ne voit pas, mais le temps semble être ce qui révèle ces angles morts.
Je travaille sur la sécurité Android depuis six ans et chaque fois que vous regardez dans une zone où quelqu'un a dit « c'est un angle mort », nous ne trouvons rien. Donc, au début, c'était « il y a des tonnes et des tonnes de logiciels malveillants sur Google Play » et nous avons regardé, il y en avait, nous les avons supprimés. Puis on entend « c’est en dehors de Google Play », on regarde, il y en a, on met en place des protections plutôt bonnes. Puis « ça va grimper l’année prochaine » et ça non plus n’est pas arrivé. Désormais, « ses vulnérabilités vont être exploitées », mais nous ne le voyons pas.
À maintes reprises, nous avançons dans nos recherches, dans les contrôles que nous effectuons et dans les services que nous fournissons pour rechercher les mauvais acteurs, mais nous ne constatons tout simplement aucun préjudice réel.
Cela dit, nous voulons être aussi prudents que possible et nous investissons donc dans des services permettant de surveiller toutes ces petites ruelles sombres. Nous travaillons également avec des partenaires pour nous assurer qu'ils sont en mesure de répondre le plus rapidement possible, c'est là que nous avons beaucoup investi. mises à jour de sécurité, non pas parce que nous constatons de nombreuses exploitations réelles, mais parce que nous ne voulons pas que cela soit un risque qui se produise un jour. réalisé.
Il s’agit en grande partie de garder une longueur d’avance et de ne jamais arriver à un point où il y a un problème.
Pourquoi pensez-vous que ce récit selon lequel Android est un « ragoût toxique » de vulnérabilités persiste ?
Il y a plusieurs raisons. La première est que la complexité est souvent très effrayante et que le récit de l’écosystème Android est complexe. Il existe de nombreux OEM différents [fabricants de téléphones et de tablettes] dans l'écosystème, ainsi que de nombreux modèles d'appareils différents.
« [L’apprentissage automatique] est l’une des principales raisons pour lesquelles nous devançons les attaquants. »
Il est difficile de décrire très succinctement ce qui se passe dans l’écosystème Android, de la même manière qu’il est très difficile de décrire l’anatomie humaine ou la population humaine. Mais nous le savons la médecine s'améliore, et nous savons que les gens vivent plus longtemps. Nous savons que les gens sont en meilleure santé, mais nous lisons encore beaucoup d’histoires sur des personnes qui meurent, de mauvaises choses se produisent et des maladies.
Je pense que c’est le miroir de ce qui se passe dans l’écosystème Android. C’est compliqué, donc il n’y a pas souvent de réponse satisfaisante et super simple, mais dans l’ensemble, cela devient de plus en plus sûr et robuste.
Nous voyons également de nombreuses histoires de malwares, mais l'utilisateur Android moyen, qui ne télécharge jamais d'applications en dehors du Play Store, est-il en danger ?
D’après Play, le nombre de logiciels malveillants est d’environ 0,05 %, soit 5 applications sur 10 000, ce qui est donc assez faible. En termes de pourcentage d’appareils infectés, c’est dans une fourchette où si nous n’en parlions pas, personne ne saurait même que cela se produit.
Nous en parlons pour garantir la transparence sur le niveau de risque. Souvent, les plateformes ne veulent pas parler de choses. Ils ferment les yeux. Nous aimons faire preuve de transparence à l’égard des acteurs externes ainsi que de nos politiques et processus, afin de pouvoir instaurer la confiance. Nous ne voulons pas que les gens fassent aveuglément confiance.
Je suppose que, certainement dans l’écosystème Android, le Play Store est la boutique d’applications la plus propre. J'imagine que cela se compare de la même manière à d'autres magasins d'applications avec des écosystèmes plus fermés. [Nous pensons qu'Adrian fait référence à l'App Store d'Apple.]
Après en avoir discuté avec de nombreuses personnes, de manière anecdotique, nous ne connaissons personne ayant eu un problème de malware Android, mais j'ai moi-même eu des problèmes avec Windows. Pourquoi tout le monde parle de
Je pense que nous en avons assez des logiciels malveillants Windows et ce n’est donc plus amusant d’en parler. Android était en quelque sorte la nouveauté et la nouveauté.
Tout ce que j’ai vu le montre dans l’écosystème Android. Les centaines de millions d’appareils installés à partir de Google Play sont bien plus propres qu’un parc d’appareils Windows géré par une entreprise. Notre taux d’infection est d’un demi pour cent à l’échelle mondiale, alors que pour les appareils Windows gérés, il est plus élevé, et pour les ménages de consommateurs, le taux d’infection pour les appareils Windows est encore plus élevé.
Mais Android est passionnant. C’est un marché en croissance. C’est un marché en croissance pour les consommateurs, mais je pense que c’est aussi un marché en croissance pour le secteur de la sécurité, ils sont donc très intéressés à s’assurer que les gens sont conscients et réfléchissent à ces choses. C’est la forme de communication autour de la plateforme.
Lorsque vous trouvez des logiciels malveillants, quel type est le plus courant?
La plupart de ce que nous voyons est de nature commerciale. Ils essaient généralement de gagner de l’argent et le mécanisme pour monétiser sur mobile consiste à installer des applications. Nous voyons des cas de niche d'applications qui s'attaquent aux mots de passe bancaires ou à des choses de ce genre, mais le moyen le plus simple de monétiser est d'installer une application. Un très grand pourcentage est lié à ce que nous appelons des téléchargeurs hostiles.
Ce qui est intéressant, c’est que les applications qu’ils installent ne sont pas elles-mêmes nuisibles. Il peut s’agir d’un jeu qui cherche à bénéficier d’une promotion, ou d’un autre service bénéficiant d’une distribution sur le marché. Le résultat final n’est pas le genre de choses auxquelles les gens pensent lorsqu’ils pensent aux logiciels malveillants. Ce n’est souvent pas quelqu’un qui essaie de voler vos données.
Là est Spyware. Je ne veux pas suggérer que cela n’existe pas. Nous avons même publié un article cette semaine décrivant un logiciel espion très haut de gamme que nous avons trouvé, mais qui était présent sur 25 appareils. Ce n’est certainement pas le genre de chose qui est courante ou la plus populaire dans l’écosystème.
Y a-t-il quelque chose de intrinsèquement moins sécurisé dans Android par rapport aux autres systèmes d’exploitation mobiles ?
Je ne pense pas qu’il y ait quoi que ce soit de moins sécurisé en soi sur la plateforme. Je pense que la complexité rend plus difficile la formulation de déclarations au niveau de la plateforme.
Les gens adorent comparer l’iPhone à Android. L’iPhone est un appareil doté d’un système d’exploitation d’un fabricant, en fait il s’agit d’environ cinq appareils différents. Si vous regardez un fabricant de
Peut-être que comparer la gamme Pixel et Nexus à l'iPhone pourrait être plus juste ?
Oui, très similaire au niveau matériel – propriétés de sécurité similaires. Les magasins d'applications ont des propriétés de sécurité similaires, des applications vérifiées, une isolation des applications – des propriétés de sécurité très similaires. Les deux s’engagent à effectuer des mises à jour rapides.
"En comparant Samsung à iOS, vous êtes déjà environ 20 fois plus complexe, en termes d'appareil par rapport à cet appareil."
Là où l’on entre dans la différenciation, c’est dans la transparence. Android est open source. Cette information est accessible à tous. Nous encourageons la recherche par des tiers via notre programme de récompenses de sécurité. Nous savons donc que non seulement recherchons-nous des problèmes dans la plateforme, mais d'autres personnes le font aussi et cela fait un gros problème différence.
Je pense que les services font également une énorme différence. Nous avons intentionnellement conçu la visibilité et la possibilité de vérifier les appareils sur le terrain, alors que cela n'existe sur aucune autre plateforme. Cela signifie que nous recevons des commentaires sur beaucoup de petites choses qui se produisent et que nous pouvons y répondre.
Comment lutter contre la lenteur du déploiement des mises à jour de sécurité pour les appareils Android non stockés? Est-ce frustrant ?
Nous apprécions vraiment le nombre de personnes qui ont adopté Android et le nombre d'appareils
Nous avons consacré beaucoup de temps au cours de l’année dernière à essayer d’aider ceux qui avancent plus lentement à résoudre certains de leurs problèmes. défis technologiques, résoudre certains de leurs défis d'ingénierie et, dans certains cas, son organisation défis. Il leur manque peut-être une équipe d’ingénieurs pour fournir des mises à jour. Peut-être qu’ils n’y ont pas pensé, alors nous vous demandons que pouvons-nous faire pour vous amener à un point où vous y avez réfléchi et où cela a du sens ?
Cela rend certainement les choses plus compliquées, mais c'est aussi la raison pour laquelle Android a connu un tel succès, car de nombreuses personnes différentes ont pu se lancer et commencer à créer des appareils.
Quelles mesures l'équipe Android a-t-elle prises pour rendre la plateforme plus sécurisée? Et quel est le prochain domaine que vous aimeriez aborder ou améliorer ?
Je pense que toutes les pièces s’assemblent très bien. Cela a été un voyage de plusieurs années, mais le travail cryptographique que nous avons effectué, le sandboxing que nous avons réalisé, beaucoup de le travail visant à rendre l’exploitation plus difficile se déroule bien, ce sont donc les domaines sur lesquels nous allons continuer à travailler sur.
Pourquoi le sandboxing est-il important ?
Le sandboxing, à un niveau fondamental, concerne la façon dont vous isolez une application d’une autre. Un jeu en est un parfait exemple, où les gens n’y pensent pas, mais sur PC, les jeux sont souvent en réseau. C’est l’un des rares éléments de ce type d’appareil doté d’un service de port réseau, c’est donc l’un des logiciels les plus effrayants que vous exécutez sur la plupart des appareils grand public. Si vous compromettez un jeu, l'auteur du jeu peut être parfaitement inoffensif, mais ce jeu a accès à tout ce qui se trouve sur votre PC.
Alors que sur Android, ce n’est pas du tout le cas. Vous devez alors également compromettre le système d’exploitation principal pour pouvoir aller au-delà. Pour nous, c’était vraiment très important de s’assurer que vous deviez toujours compromettre le code de Google, le code d’Android, pour arriver au point où vous pouvez faire quelque chose qui nuit vraiment à un utilisateur.
Quelle est l’importance du programme de recherche tiers pour trouver les bugs et les vulnérabilités?
C’est vraiment important en fait. L'année dernière, nous avons versé près d'un million de dollars aux chercheurs. Je pense qu'environ 120 chercheurs différents ont trouvé des problèmes et nous les ont signalés. Il y en a des dizaines chaque mois, donc c’est vraiment important pour nous.
Une chose qui s'est produite et qui est vraiment intéressante est que nous avons commencé à recevoir de plus en plus de rapports de problèmes, non pas dans Android, mais dans d'autres composants de l'appareil. Par exemple, cette semaine, un problème a été signalé dans les pilotes Wi-Fi de Broadcom affectant
L’apprentissage automatique commence-t-il à jouer un rôle? Disposez-vous de suffisamment de données pour que cela soit efficace ?
Nous disposons désormais d’une énorme quantité de données et nous avons commencé à trouver des techniques d’apprentissage automatique qui fonctionnent très bien pour différents types de choses. L’apprentissage automatique fonctionne très bien pour trouver d’autres applications qui sont également des logiciels malveillants. Lorsque nous trouvons une mauvaise application, nous pouvons être en mesure de supprimer le même jour un millier ou plus d’applications dont nous savons qu’elles sont liées sur la base de techniques d’apprentissage automatique.
Et vous attendez-vous à ce que cela s’améliore avec le temps? Évidemment, ça apprend donc ça devrait s’améliorer ?
« L'apprentissage automatique nous permet de développer des capacités de protection beaucoup plus rapidement. »
C’est l’une des principales raisons pour lesquelles nous devrons devancer les attaquants dans les années à venir. L'apprentissage automatique nous permet de développer des capacités de protection beaucoup plus rapidement qu'un humain ne peut améliorer sa dissimulation, C'est en fin de compte la raison pour laquelle les logiciels malveillants ont été persistants dans le passé, car même de très petits changements peuvent les masquer. effectivement. Ce ne sera plus le cas.
Le renforcement de la sécurité signifie-t-il perdre une partie de l’ouverture et de la personnalisation qui ont contribué à faire d’Android le système d’exploitation mobile le plus populaire au monde ?
Pas du tout. L'ouverture, la personnalisation et la sécurité d'Android font partie de ses plus grands atouts. Nous pensons qu’il est possible de continuer à s’améliorer dans ces trois domaines.
Lorsque nous sommes confrontés à une fonctionnalité qui semble mettre ces principes en conflit, nous ferons de grands efforts pour trouver une approche équilibrée. Une stratégie courante consiste à rendre la valeur par défaut plus sécurisée (pour protéger autant d'utilisateurs que possible) tout en permettant aux utilisateurs de choisir (pour permettre la personnalisation).
Nous faisons la même chose avec les OEM [fabricants d'appareils], en définissant un modèle de sécurité robuste, mais en offrant également une myriade d'opportunités d'innovation et de personnalisation. La diversité qui en résulte constitue en soi un renforcement de la sécurité, car les monocultures sont connues pour être plus sensibles au risque systémique. Et dans certains cas, cette personnalisation conduit à des améliorations de sécurité innovantes, ce qui constitue une aubaine pour l’écosystème.
Pensez-vous que des antivirus, des anti-malware et d’autres applications de sécurité Android tierces sont nécessaires ?
Nous nous engageons à faire des protections gratuites fournies par Google Play la meilleure protection au monde. Nous pensons déjà avoir accompli cet objectif et nous continuerons à publier des informations permettant à d’autres de les vérifier et de les confirmer par eux-mêmes.
Quels conseils donneriez-vous à un utilisateur Android ayant des problèmes de sécurité? Quelles actions les mettent potentiellement en danger et que peuvent-ils faire pour rester en sécurité ?
Nous avons publié un article du centre d'aide sur ce sujet, ici.
Recommandations des rédacteurs
- Votre forfait Google One vient de recevoir deux mises à jour de sécurité majeures pour assurer votre sécurité en ligne
- Quand mon téléphone recevra-t-il Android 13? Google, Samsung, OnePlus et plus
- Google paie une amende historique de 85 millions de dollars après avoir suivi illégalement des téléphones Android
- Android 13 est là et vous pouvez le télécharger sur votre téléphone Pixel dès maintenant
- Avec des applications optimisées, les tablettes Android seront enfin plus que de gros téléphones
