L’idea che la piattaforma Android non sia sicura è diffusa e persistente. E molto probabilmente sbagliato.
Non passa quasi una settimana senza un nuovo titolo su una vulnerabilità appena scoperta o su un nuovo malware che colpisce milioni di dispositivi.
Questi problemi sono esacerbati dal fatto che Androide L'ecosistema è complicato. Frammentazione rende incredibilmente difficile aggiornare la piattaforma. Un eccesso di produttori di dispositivi diversi costruisce migliaia di telefoni e tablet diversi con versioni diverse di Android. Di conseguenza, gli aggiornamenti che contengono correzioni di sicurezza richiedono mesi per essere implementati o, peggio, non lo fanno mai. Troppi produttori aggiornano solo i loro modelli di punta, lasciando vulnerabilità note nei dispositivi più vecchi e meno recenti che potrebbero mettere a rischio gli utenti.
Imparentato
- Google ha appena annunciato 9 nuove funzionalità per il tuo telefono e orologio Android
- Google Chrome sta ricevendo l'aggiornamento per tablet Android che stavi aspettando
- Google vuole che tu sappia che le app Android non sono più solo per telefoni
Considera una vulnerabilità come Panico da palcoscenico, che potrebbe fornire agli hacker il controllo di un dispositivo Android tramite codice dannoso in un file audio o video. I rapporti suggerivano che fino al 95% dei dispositivi erano vulnerabili. Ma quanti sono stati effettivamente colpiti?
“Eccoci qui da un anno e mezzo, quasi due anni da quando l'abbiamo scoperto per la prima volta e lo facciamo ancora non so se qualcuno sia effettivamente interessato", ha detto a Digital Adrian Ludwig, direttore della sicurezza Android Tendenze.
La preoccupazione era che Google ha elaborato le soluzioni in tempi relativamente brevi e le ha implementate immediatamente sulla linea di dispositivi Nexus di Google. Le patch per altri dispositivi sono state rilasciate a discrezione dei produttori.
Ciò significa che, se hai un file GooglePixel con l'ultimo Android 7.0 Nougat, beneficerai della sicurezza più recente, ma qualcuno con un telefono con KitKat (20% del
È una questione spinosa di non facile risoluzione, ma il team di sicurezza di Android ha lavorato duramente per ridurre il rischio per gli utenti. Le statistiche spaventose creano buoni titoli, ma lo fanno
"Penso che abbiamo un po' di un problema di percezione, ma è molto diverso dal rischio effettivo per l'utente", ha spiegato Ludwig. "Il lavoro crittografico che abbiamo svolto, il sandboxing che abbiamo svolto e gran parte del lavoro per rendere più difficile lo sfruttamento stanno andando tutti bene insieme."
Digital Trends ha parlato con Ludwig su Google Hangouts per scoprire lo stato attuale della sicurezza Android e chiedere se le persone dovrebbero davvero farlo preoccupati delle principali vulnerabilità e malware e scopri cosa sta facendo Google riguardo alla frammentazione per consentire una maggiore sicurezza aggiornamenti.
Tendenze digitali: Android è davvero insicuro?
Adriano Ludovico: No, non è insicuro. Ci sono molte cose che abbiamo fatto che hanno fatto avanzare le aspettative negli ultimi due anni.
Per Mac o Windows, dovevi avere una protezione antivirus di terze parti, ma abbiamo detto che lo faremo per tutti e lo renderemo gratuito.
Il sandboxing delle applicazioni è un concetto relativamente nuovo nel mondo della sicurezza Android: l'idea che le applicazioni non abbiano accesso a tutti i tuoi dati. dati dell'utente, ma avere accesso solo ai propri dati è completamente nuovo, non è qualcosa che esiste su Mac, non è qualcosa che esiste su Finestre.
"Abbiamo un piccolo problema di percezione, ma è molto diverso dal rischio effettivo per l'utente."
Poi c'è la crittografia del dispositivo. La maggior parte delle aziende non lo tiene sempre acceso. Nello spazio mobile è stata stabilita l'aspettativa che tutto dovrebbe essere crittografato in ogni momento e c'è anche l'aspettativa che lo sia saranno crittografati così bene che sarà difficile anche per un attacco sofisticato ottenere l'accesso a quei dati senza l'utente autorizzazione.
Abbiamo anche imparato molto su come lavorano i cattivi attori e cosa stanno cercando di fare, e ora siamo a un punto di svolta. Per i primi anni abbiamo imparato, sviluppato la nostra comprensione e migliorato il nostro stack tecnologico. Ora possiamo tenere il passo con i cattivi attori. I tassi di malware, ad esempio, sono rimasti relativamente stabili negli ultimi tre o quattro anni, ma penso che questo sia l’anno in cui siamo li vedremo diminuire, forse diminuire in modo significativo, perché siamo arrivati al punto in cui abbiamo abbastanza abilità e esperienza. Ora siamo in grado di muoverci più rapidamente degli attori, catturarli prima e agire in modo più efficace nell’intero ecosistema rispetto a prima.
Penso che siamo a un punto di svolta in cui anche per gli standard Android inizieremo a vedere miglioramenti piuttosto significativi per quanto riguarda il malware.
C’è ancora molto da fare, ma è facile dimenticare quanta strada abbiamo fatto negli ultimi cinque anni.
Vediamo molti rapporti sulle vulnerabilità con statistiche spaventose. Qual è il rischio realistico che il tuo dispositivo Android venga sfruttato o dirottato? Ad esempio, si dice che qualcosa come Stagefright possa avere un impatto potenziale sul 95% dei casi
Siamo qui da un anno e mezzo, quasi due anni, da quando l'abbiamo scoperto per la prima volta e non sappiamo ancora se qualcuno ne sia effettivamente affetto. Circolano voci secondo cui un piccolo numero di dispositivi potrebbe essere stato colpito, ma anche per quelli non abbiamo prove concrete.
E credetemi, ogni volta che sentiamo una voce del genere cerchiamo di scovarla. Andiamo a parlare con la società che sta facendo questa dichiarazione. Chiediamo se ci sono dati che possono condividere. Non siamo mai stati in grado di comprovare nessuno di questi numeri. Posso affermare con certezza che non sono stati colpiti 900 milioni di dispositivi.
Certamente i titoli dei giornali e l'entusiasmo erano sproporzionati rispetto alla realtà e può darsi che nessuno ne sia rimasto toccato. Il che è incredibile, penso, anche guardandomi indietro c'è sempre la preoccupazione che possa esserci qualcosa che non vedi, ma il tempo sembra essere la cosa che sta rivelando quei punti ciechi.
Ho lavorato sulla sicurezza Android negli ultimi sei anni e ogni volta che guardiamo in un'area in cui qualcuno ha detto "quello è un punto cieco", non troviamo nulla. Quindi, all'inizio era "ci sono tonnellate e tonnellate di malware in Google Play" e abbiamo guardato, ce n'era qualcuno e lo abbiamo rimosso. Poi sentiamo "è fuori da Google Play", guardiamo, ce ne sono alcuni, mettiamo in atto protezioni piuttosto buone. Quindi “aumenterà l’anno prossimo” e neanche questo è successo. Ora, “le sue vulnerabilità verranno sfruttate”, ma non lo vediamo.
Di volta in volta stiamo andando avanti nella ricerca, nei controlli che stiamo facendo e nei servizi che stiamo fornendo per cercare i cattivi attori, ma non vediamo alcun danno reale.
Detto questo, vogliamo essere il più prudenti possibile e quindi stiamo investendo in servizi per cercare in tutti quei piccoli vicoli bui. Stiamo anche lavorando con i partner per assicurarci che siano in grado di rispondere il più rapidamente possibile, ed è qui che abbiamo investito molto aggiornamenti di sicurezza, non perché stiamo assistendo a molti casi di sfruttamento effettivo, ma perché non vogliamo che questo sia un rischio che possa mai verificarsi realizzato.
Si tratta in gran parte di restare al passo e di non arrivare mai al punto in cui si presenta un problema.
Perché pensi che persista questa narrazione secondo cui Android è un “inferno tossico” di vulnerabilità?
Ci sono alcuni motivi. Il primo è che la complessità è spesso molto spaventosa e la narrativa dell’ecosistema Android è complessa. Ci sono molti OEM diversi [produttori di telefoni e tablet] nell'ecosistema, molti modelli di dispositivi diversi.
"[L'apprendimento automatico] è uno dei motivi principali per cui riusciremo a superare gli aggressori."
Descrivere in modo molto succinto ciò che sta accadendo nell’ecosistema Android è difficile, più o meno allo stesso modo in cui è molto difficile descrivere l’anatomia umana o la popolazione dell’umanità. Ma lo sappiamo la medicina sta migliorando, e sappiamo che le persone vivono più a lungo. Sappiamo che le persone stanno diventando più sane, ma leggiamo ancora molte storie di persone che muoiono, di cose brutte che accadono e di malattie.
Penso che sia uno specchio di ciò che stiamo accadendo nell’ecosistema Android. È complicato, quindi spesso non esiste una risposta soddisfacente e semplicissima, ma nel complesso sta diventando sempre più sicuro e robusto.
Vediamo anche molte storie di malware, ma l'utente medio di Android, che non scarica mai app al di fuori del Play Store, è in pericolo?
Da Play il numero di malware è di circa lo 0,05%, ovvero 5 app su 10.000, quindi è piuttosto basso. In termini di percentuale di dispositivi che vengono infettati, si tratta di un intervallo in cui se non ne parlassimo, nessuno saprebbe nemmeno che sta accadendo.
Ne parliamo per garantire che ci sia trasparenza sul livello di rischio. Spesso le piattaforme non vogliono parlare di cose. Chiudono un occhio. Ci piace avere trasparenza sugli attori esterni e sulle nostre politiche e processi, in modo da poter creare fiducia. Non vogliamo che le persone si fidino ciecamente.
La mia ipotesi sarebbe che, sicuramente nell'ecosistema Android, il Play Store sia l'app store più pulito. Immagino che si confronti in modo simile ad altri app store con ecosistemi più chiusi. [Crediamo che Adrian si riferisca all'Apple App Store.]
Avendone discusso con molte persone, aneddoticamente non conosciamo nessuno che abbia avuto un problema con malware Android, ma anch'io ho avuto problemi con Windows. Perché tutti ne parlano
Penso che ci siamo stufati del malware Windows e quindi non è più divertente parlarne. Android era una specie di cosa nuova ed entusiasmante.
Tutto quello che ho visto lo dimostra nell’ecosistema Android. Le centinaia di milioni di dispositivi che si installano da Google Play sono molto più puliti di un parco aziendale gestito di dispositivi Windows. Il nostro tasso di infezione è pari allo 0,5% a livello globale, dove per i dispositivi Windows gestiti è più elevato e per le famiglie consumer il tasso di infezione per i dispositivi Windows è ancora più elevato.
Ma Android è entusiasmante. È un mercato in crescita. È un mercato in crescita per i consumatori, ma penso che sia anche un mercato in crescita per il settore della sicurezza, quindi sono molto interessati ad assicurarsi che le persone siano consapevoli e pensino a queste cose. Questa è la forma della comunicazione attorno alla piattaforma.
Quando trovi malware, quale tipo è più comune?
La maggior parte di ciò che vediamo è di natura commerciale. In genere cercano di fare soldi e il meccanismo per monetizzare sui dispositivi mobili è installare applicazioni. Vediamo casi di nicchia di app che inseguono password bancarie o cose del genere, ma il modo più semplice per monetizzare è installare un'app. Una percentuale molto elevata è legata a ciò che chiamiamo downloader ostili.
La cosa interessante è che le app installate non sono dannose. Potrebbe essere un gioco che sta cercando di ottenere una promozione, o potrebbe essere un altro servizio da cui traggono vantaggio dalla distribuzione sul mercato. Il risultato finale non corrisponde al tipo di cose a cui pensano le persone quando pensano al malware. Spesso non si tratta di qualcuno che cerca di rubare i tuoi dati.
Là È spyware. Non voglio suggerire che non esista. Questa settimana abbiamo anche pubblicato un post descrivendo uno spyware di fascia alta che abbiamo trovato, ma era presente su 25 dispositivi. Non è certamente il tipo di cosa comune o più popolare in tutto l’ecosistema.
C'è qualcosa di intrinsecamente meno sicuro in Android rispetto ad altri sistemi operativi mobili?
Non penso che ci sia qualcosa di intrinsecamente meno sicuro nella piattaforma. Penso che la complessità renda più difficile fare dichiarazioni a livello di piattaforma.
Alla gente piace confrontare iPhone con Android. L'iPhone è un dispositivo con un sistema operativo di un produttore, in realtà si tratta di cinque dispositivi diversi. Se guardi un produttore da
Forse confrontare la linea Pixel e Nexus con iPhone potrebbe essere più giusto?
Sì, molto simile dal punto di vista hardware: proprietà di sicurezza simili. Gli app store hanno proprietà di sicurezza simili, app verificate e isolamento delle applicazioni: proprietà di sicurezza molto simili. Entrambi si impegnano a fornire aggiornamenti rapidi.
"Confrontando Samsung con iOS sei già circa 20 volte più complesso, in termini di questo dispositivo rispetto a quel dispositivo."
Il punto in cui entri nella differenziazione è nella trasparenza. Android è open source. Tali informazioni sono disponibili a tutti. Incoraggiamo la ricerca di terze parti attraverso il nostro programma di premi per la sicurezza, quindi sappiamo non solo questo stiamo cercando problemi nella piattaforma, ma lo sono anche altre persone e questo è importante differenza.
Penso che anche i servizi facciano una grande differenza. Abbiamo intenzionalmente progettato la visibilità e la capacità di controllare i dispositivi sul campo, mentre ciò non esiste su nessun'altra piattaforma. Significa che riceviamo feedback su molte piccole cose che stanno accadendo e possiamo rispondere a ciò.
Come contrastare la lentezza nell'implementazione degli aggiornamenti di sicurezza per i dispositivi Android non di serie? È frustrante?
Apprezziamo davvero quante persone hanno adottato Android e quanti dispositivi lo hanno
Abbiamo dedicato molto tempo nell'ultimo anno per cercare di aiutare coloro che si muovono più lentamente a risolvere alcuni dei loro problemi sfide tecnologiche, risolvere alcune delle loro sfide ingegneristiche e, in alcuni casi, organizzative sfide. Potrebbero non avere uno staff di ingegneri per fornire aggiornamenti. Forse non ci hanno pensato, quindi chiediamo cosa possiamo fare per portarti al punto in cui ci hai pensato e ha senso?
Rende sicuramente le cose più complicate, ma è anche il motivo per cui Android ha avuto così tanto successo, perché molte persone diverse sono state in grado di intervenire e iniziare a costruire dispositivi.
Quali azioni ha intrapreso il team Android per rendere la piattaforma più sicura? E qual è la prossima area che vorresti affrontare o migliorare?
Penso che tutti i pezzi si stiano unendo davvero bene. È stato un viaggio durato molti anni, ma il lavoro crittografico che abbiamo svolto, il sandboxing che abbiamo svolto, molto il lavoro per rendere lo sfruttamento più difficile sta procedendo bene, quindi queste sono le aree su cui continueremo a lavorare SU.
Perché il sandboxing è importante?
Il sandboxing a livello fondamentale riguarda il modo in cui si isola un'applicazione da un'altra. Un gioco è un esempio perfetto, uno a cui le persone non ci pensano, ma su un PC i giochi sono spesso collegati in rete. Sono una delle poche cose su quel tipo di dispositivo che dispone di un servizio di porta di rete, quindi è uno dei software più spaventosi in esecuzione sulla maggior parte dei dispositivi consumer. Se comprometti un gioco, l'autore del gioco potrebbe essere del tutto benigno, ma quel gioco ha accesso a tutto sul tuo PC.
Mentre su Android non è affatto così. Bisogna poi compromettere anche il sistema operativo principale per poter andare oltre. Per noi era davvero, davvero importante assicurarci di dover sempre compromettere il codice di Google, il codice di Android, per arrivare al punto in cui puoi fare qualcosa che danneggia davvero un utente.
Quanto è importante il programma di ricerca di terze parti per individuare bug e vulnerabilità?
È davvero importante in realtà. L'anno scorso abbiamo pagato quasi un milione di dollari ai ricercatori. Penso che ci siano stati circa 120 ricercatori diversi che hanno riscontrato problemi e ce li hanno segnalati. Ne arrivano dozzine ogni mese, quindi è davvero importante per noi.
Una cosa davvero interessante è che abbiamo iniziato a ricevere sempre più segnalazioni di problemi, non in Android, ma in altri componenti del dispositivo. Ad esempio, questa settimana è stato segnalato un problema relativo ai driver Wi-Fi di Broadcom
Il machine learning sta iniziando a svolgere un ruolo? Hai abbastanza dati perché sia efficace?
Ora disponiamo di un'enorme quantità di dati e abbiamo iniziato a trovare alcune tecniche di apprendimento automatico che funzionano davvero bene per diversi tipi di cose. Una cosa per cui l’apprendimento automatico funziona davvero bene è trovare altre applicazioni che sono anch’esse malware. Quando troviamo un'app difettosa, potremmo essere in grado di rimuovere mille o più applicazioni nello stesso giorno che sappiamo essere correlate in base a tecniche di apprendimento automatico.
E ti aspetti che migliori nel tempo? Ovviamente sta imparando, quindi dovrebbe migliorare?
"Il machine learning ci consente di sviluppare capacità di protezione molto più rapidamente."
È uno dei motivi principali per cui nei prossimi due anni riusciremo a superare gli aggressori. L'apprendimento automatico ci consente di sviluppare capacità di protezione molto più rapidamente di quanto un essere umano possa migliorare il proprio nascondiglio, che è in definitiva il motivo per cui il malware in passato è stato persistente, perché anche cambiamenti molto piccoli possono nasconderlo effettivamente. Non sarà più così.
Rafforzare la sicurezza significa perdere parte dell’apertura e della personalizzazione che hanno contribuito a rendere Android il sistema operativo mobile più popolare al mondo?
Affatto. L'apertura, la personalizzazione e la sicurezza di Android sono tutti tra i suoi maggiori punti di forza. Pensiamo che sia possibile continuare a migliorare su tutti e tre.
Quando ci troviamo di fronte a una caratteristica che sembra mettere in conflitto questi principi, faremo di tutto per trovare un approccio equilibrato. Una strategia comune è quella di rendere l'impostazione predefinita più sicura (per proteggere il maggior numero possibile di utenti) consentendo al tempo stesso la scelta degli utenti (per consentire la personalizzazione).
Facciamo la stessa cosa con gli OEM [produttori di dispositivi], definendo un modello di sicurezza robusto, ma fornendo anche una miriade di opportunità di innovazione e personalizzazione. La diversità che ne risulta è di per sé un miglioramento della sicurezza, poiché è noto che le monocolture sono più suscettibili al rischio sistemico. E in alcuni casi, questa personalizzazione porta a miglioramenti innovativi della sicurezza, il che è un vantaggio per l’ecosistema.
Pensi che siano necessari antivirus, antimalware e altre app di sicurezza Android di terze parti?
Ci impegniamo a rendere le protezioni gratuite fornite da Google Play la migliore protezione al mondo. Pensiamo già di averlo raggiunto e continueremo a pubblicare informazioni che consentano ad altri di ricontrollarle e confermarle da sole.
Che consiglio daresti a un utente Android con problemi di sicurezza? Quali azioni li mettono potenzialmente a rischio e cosa possono fare per rimanere al sicuro?
Abbiamo pubblicato un articolo del Centro assistenza su questo argomento, Qui.
Raccomandazioni degli editori
- Il tuo piano Google One ha appena ricevuto due importanti aggiornamenti di sicurezza per tenerti al sicuro online
- Quando il mio telefono riceverà Android 13? Google, Samsung, OnePlus e altri
- Google sta pagando una multa storica di 85 milioni di dollari per aver tracciato illegalmente i telefoni Android
- Android 13 è qui e puoi scaricarlo subito sul tuo telefono Pixel
- Con le app ottimizzate, i tablet Android saranno finalmente più che grandi telefoni
