הרעיון שפלטפורמת האנדרואיד אינה מאובטחת הוא פופולרי ומתמשך. ויתכן מאוד שגוי.
בקושי עובר שבוע בלי כותרת חדשה על פגיעות טרייה שהתגלתה או תוכנה זדונית חדשה המשפיעה על מיליוני מכשירים.
בעיות אלה מחמירות בשל העובדה כי דְמוּי אָדָם המערכת האקולוגית מסובכת. הִתנַפְּצוּת מקשה מאוד על עדכון הפלטפורמה. שפע של יצרני מכשירים שונים בונים אלפי טלפונים וטאבלטים שונים המריצים גרסאות שונות של אנדרואיד. כתוצאה מכך, עדכונים עם תיקוני אבטחה בהם נמשכים חודשים - או גרוע מכך, אף פעם לא עושים אותם בכלל. יותר מדי יצרנים מעדכנים רק את ספינות הדגל שלהם, ומשאירים נקודות תורפה ידועות במכשירים ישנים ופחות שעלולים לסכן את המשתמשים.
קָשׁוּר
- גוגל הכריזה זה עתה על 9 תכונות חדשות לטלפון ולשעון אנדרואיד שלך
- Google Chrome מקבל את עדכון הטאבלט של Android שחיכית לו
- גוגל רוצה שתדע שאפליקציות אנדרואיד כבר לא מיועדות רק לטלפונים
שקול פגיעות כמו פחד במה, מה שעלול לתת להאקרים שליטה במכשיר אנדרואיד באמצעות קוד זדוני בקובץ אודיו או וידאו. דיווחים העלו כי עד 95 אחוז מהמכשירים היו פגיעים. אבל כמה נפגעו בפועל?
"הנה אנחנו כבר שנה וחצי, כמעט נמשכות שנתיים מאז שגילינו את זה לראשונה, ועדיין לא יודע שמישהו באמת מושפע", אמר אדריאן לודוויג, מנהל אבטחת אנדרואיד, לדיגיטל טרנדים.
החשש היה שגוגל פיתחה תיקונים מהר יחסית, והוציאה אותם לליין מכשירי הנקסוס של גוגל באופן מיידי. טלאים למכשירים אחרים יצאו לפי שיקול דעתם של היצרנים.
כלומר, אם יש לך א גוגל פיקסל עם אנדרואיד 7.0 נוגט העדכנית ביותר, אתה נהנה מהאבטחה העדכנית ביותר, אבל מישהו עם טלפון שמריץ KitKat (20 אחוזים
זו בעיה קוצנית שלא נפתרת בקלות, אבל צוות האבטחה של אנדרואיד עבד קשה כדי להפחית את הסיכון למשתמשים. נתונים סטטיסטיים מפחידים יוצרים כותרות טובות, אבל כן
"אני כן חושב שיש לנו קצת בעיית תפיסה, אבל זה שונה מאוד מסיכון המשתמש בפועל", הסביר לודוויג. "העבודה הקריפטוגרפית שעשינו, ארגז החול שעשינו והרבה מהעבודה להקשות על הניצול, כולם מסתדרים יפה".
Digital Trends שוחח עם לודוויג ב-Google Hangouts כדי לגלות את המצב הנוכחי של אבטחת אנדרואיד, לשאול אם אנשים באמת צריכים להיות מודאגים מפגיעויות כותרות ותוכנות זדוניות, ולמד מה גוגל עושה לגבי פיצול כדי לאפשר אבטחה רחבה יותר עדכונים.
טרנדים דיגיטליים: האם אנדרואיד באמת לא בטוח?
אדריאן לודוויג: לא, זה לא חסר ביטחון. יש הרבה דברים שעשינו שהניעו את הציפיות קדימה במהלך השנים האחרונות.
עבור Mac או Windows, היית צריך הגנת אנטי-וירוס של צד שלישי, אבל אמרנו שאנחנו הולכים לעשות את זה עבור כולם ולעשות את זה בחינם.
ארגז חול של יישומים הוא מושג חדש יחסית בעולם האבטחה של אנדרואיד - הרעיון שלאפליקציות אין גישה לכל נתוני משתמש, אבל יש להם רק גישה לנתונים שלהם הם חדשים לגמרי, זה לא משהו שקיים ב-Mac, זה לא משהו שקיים ב-Mac. חלונות.
"יש לנו קצת בעיית תפיסה, אבל היא שונה מאוד מסיכון המשתמש בפועל."
ואז יש הצפנת מכשיר. לרוב הארגונים זה לא מופעל כל הזמן. במרחב הנייד נקבעה ציפייה שהכל צריך להיות מוצפן כל הזמן ויש אפילו ציפייה שזה הולך להיות מוצפן כל כך טוב שזה יהיה קשה אפילו למתקפה מתוחכמת לקבל גישה לנתונים האלה ללא משתמש הרשאה.
למדנו הרבה גם על איך השחקנים הרעים עובדים ומה הם מנסים לעשות, ואנחנו עכשיו בנקודת פיתול קטנה. בשנים הראשונות למדנו, בנינו את ההבנה שלנו ושיפרנו את ערימת הטכנולוגיה שלנו. עכשיו אנחנו יכולים לשמור על קשר עם השחקנים הרעים. שיעורי התוכנה הזדונית, למשל, קבועים יחסית בשלוש או ארבע השנים האחרונות, אבל אני חושב שזו השנה שבה אנחנו נמצאים הולך לראות אותם יורדים, אולי יורדים משמעותית, כי הגענו לנקודה שבה יש לנו מספיק מיומנות ו ניסיון. כעת אנו מסוגלים לנוע מהר יותר מהשחקנים, לתפוס אותם מוקדם יותר ולנקוט פעולה בצורה יעילה יותר על פני המערכת האקולוגית כולה מכפי שיכולנו קודם לכן.
אני חושב שאנחנו בנקודת מפנה שבה אפילו בסטנדרטים של אנדרואיד נתחיל לראות שיפורים משמעותיים למדי בכל הנוגע לתוכנות זדוניות.
יש עוד מה לעשות, אבל קל לשכוח כמה רחוק הגענו בחמש השנים האחרונות.
אנו רואים הרבה דיווחים על נקודות תורפה עם נתונים סטטיסטיים מפחידים. מה הסיכון הריאלי של ניצול או חטיפת מכשיר האנדרואיד שלך? לדוגמה, נאמר שמשהו כמו Stagefright עשוי להשפיע על 95 אחוזים
הנה, עברנו שנה וחצי, כמעט עברו שנתיים מאז שגילינו את זה לראשונה ועדיין לא יודעים שמישהו באמת מושפע. יש שמועות שייתכן כי מספר קטן של מכשירים הושפעו, אבל אפילו אלה אין לנו ראיות מבוססות עבורם.
ותאמין לי, בכל פעם שאנחנו שומעים שמועה כזו אנחנו מנסים לרדוף אחריה. אנחנו הולכים לדבר עם החברה שמוציאה את ההצהרה הזו. אנחנו שואלים אם יש נתונים שהם יכולים לשתף. מעולם לא הצלחנו לבסס אף אחד מהמספרים הללו. אני יכול לומר בוודאות שלא היו 900 מיליון מכשירים שהושפעו.
אין ספק שהכותרות שרצו וההתרגשות לא היו פרופורציונליים למציאות וייתכן שאף אחד לא הושפע מכך. וזה מדהים לדעתי, אפילו במבט לאחור יש תמיד חשש שאולי יש משהו שאתה לא רואה, אבל נראה שהזמן הוא הדבר שחושף את הנקודות העיוורות האלה.
עבדתי על אבטחת אנדרואיד בשש השנים האחרונות ובכל פעם שאתה מסתכל באזור שבו מישהו אמר "זו נקודה עיוורת", אנחנו לא מוצאים כלום. אז, בשלב מוקדם זה היה "יש המון המון תוכנות זדוניות ב-Google Play" ובדקנו, יש כאלה, הסרנו את זה. ואז אנחנו שומעים "זה מחוץ ל-Google Play", אנחנו מסתכלים, יש כמה, שמנו הגנות די טובות במקום. ואז "זה הולך לטפס בשנה הבאה" וגם זה לא קרה. עכשיו, "הפגיעויות עומדות להיות מנוצלות", אבל אנחנו לא רואים את זה.
פעם אחר פעם אנחנו מתקדמים לאן שאנחנו מחפשים והבדיקות שאנחנו עושים והשירותים שאנחנו מספקים כדי לחפש שחקנים גרועים, אבל אנחנו פשוט לא רואים שום נזק ממשי.
עם זאת, אנחנו רוצים להיות זהירים ככל האפשר ולכן אנחנו משקיעים בשירותים כדי לחפש בכל הסמטאות הקטנות והאפלות האלה. אנחנו גם עובדים עם שותפים כדי לוודא שהם מסוגלים להגיב מהר ככל האפשר, אז שם השקענו בו הרבה עדכוני אבטחה, לא בגלל שאנחנו רואים הרבה ניצול ממשי, אלא בגלל שאנחנו לא רוצים שזה יהיה סיכון שאי פעם יגיע הבין.
הרבה מהעניין הוא להישאר קדימה ולעולם לא להגיע לנקודה שבה יש בעיה.
למה אתה חושב שהנרטיב הזה על אנדרואיד שהוא "תבשיל רעיל" של פגיעויות נמשך?
יש כמה סיבות. האחת היא שמורכבות היא לעתים קרובות מאוד מפחידה והנרטיב עבור המערכת האקולוגית של אנדרואיד הוא מורכב. יש הרבה יצרני OEM שונים [יצרני טלפונים וטאבלטים] במערכת האקולוגית, המון דגמי מכשירים שונים.
"[למידה מכונה] היא אחת הסיבות העיקריות שנקדים את התוקפים".
קשה מאוד לתאר בתמציתיות את מה שקורה במערכת האקולוגית של אנדרואיד, בדיוק באותה צורה שבה קשה מאוד לתאר את האנטומיה של האדם או את אוכלוסיית האנושות. אבל אנחנו יודעים את זה הרפואה משתפרת, ואנחנו יודעים שאנשים חיים יותר. אנחנו יודעים שאנשים נעשים בריאים יותר, אבל אנחנו עדיין קוראים הרבה סיפורים על אנשים שמתים, דברים רעים שקורים ומחלות.
אני חושב שזה מראה של מה שקורה לנו במערכת האקולוגית של אנדרואיד. זה מסובך, כך שלעתים קרובות אין תשובה מספקת וסופר פשוטה, אבל בסך הכל היא נעשית יותר ויותר בטוחה וחסונה.
אנו רואים גם הרבה סיפורי תוכנות זדוניות, אך האם משתמש אנדרואיד ממוצע, שלעולם לא מוריד אפליקציות מחוץ לחנות Play, נמצא בסכנה?
מ-Play מספר התוכנות הזדוניות הוא בערך 0.05 אחוז שהם 5 מתוך 10,000 אפליקציות, אז זה די נמוך. מבחינת אחוז המכשירים שנדבקים, זה בטווח שבו אם לא היינו מדברים על זה, אף אחד לא היה יודע שזה בכלל קורה.
אנחנו מדברים על זה כדי לוודא שיש שקיפות לגבי רמת הסיכון. לעתים קרובות פלטפורמות לא רוצות לדבר על דברים. הם מעלימים עין. אנחנו אוהבים שתהיה לנו שקיפות כלפי גורמים חיצוניים והמדיניות והתהליכים שלנו, כדי שנוכל לבנות אמון. אנחנו לא רוצים שאנשים יבטחו בעיוורון.
הניחוש שלי יהיה, בוודאי במערכת האקולוגית של אנדרואיד, חנות Play היא חנות האפליקציות הנקייה ביותר. הייתי מתאר לעצמי שהוא משווה באופן דומה לחנויות אפליקציות אחרות עם מערכות אקולוגיות סגורות יותר. [אנו מאמינים שאדריאן מתייחס לחנות האפליקציות של אפל.]
לאחר שדיברנו על זה עם הרבה אנשים, באופן אנקדוטי, אנחנו לא מכירים מישהו שהיה לו בעיית תוכנות זדוניות של אנדרואיד, אבל היו לי בעיות של Windows בעצמי. למה כולם מדברים
אני חושב שנמאס לנו מתוכנות זדוניות של Windows ולכן זה לא כיף לדבר על זה יותר. אנדרואיד היה סוג של הדבר החדש והמרגש.
כל מה שראיתי מראה את זה בכל מערכת האקולוגית של אנדרואיד. מאות מיליוני המכשירים שמתקינים מ-Google Play הם נקיים בסדר גודל מצי ארגוני מנוהל של מכשירי Windows. שיעור ההדבקה שלנו הוא חצי אחוז ברחבי העולם, כאשר עבור מכשירי Windows מנוהלים הוא גבוה יותר, ובמשקי בית צרכנים שיעור ההדבקה עבור מכשירי Windows עדיין גבוה יותר.
אבל אנדרואיד מרגש. זה שוק צומח. זה שוק צומח לצרכנים, אבל אני חושב שזה גם שוק צומח לתעשיית האבטחה, אז הם מאוד מעוניינים לוודא שאנשים מודעים לדברים האלה ויחשבו עליהם. זו צורת התקשורת סביב הפלטפורמה.
כאשר אתה מוצא תוכנה זדונית, איזה סוג הוא הנפוץ ביותר?
רוב מה שאנחנו רואים הוא מסחרי באופיו. בדרך כלל הם מנסים להרוויח כסף והמנגנון לייצר רווח בנייד הוא התקנת אפליקציות. אנחנו כן רואים מקרי נישה של אפליקציות שרודפות אחרי סיסמאות בנקאיות או דברים כאלה, אבל הדרך הפשוטה ביותר לייצר רווחים היא להתקין אפליקציה. אחוז גדול מאוד קשור למה שאנו מכנים הורדות עוינות.
מה שמעניין הוא שהאפליקציות שהם מתקינים אינן מזיקות בעצמן. זה יכול להיות משחק שמחפש קידום, או שזה יכול להיות שירות אחר שבו הם נהנים מהפצת שוק. התוצאה הסופית היא לא סוגי הדברים שאנשים חושבים עליהם כשהם חושבים על תוכנות זדוניות. לעתים קרובות זה לא מישהו שמנסה לגנוב את הנתונים שלך.
שם הוא תוכנות ריגול. אני לא רוצה להציע שזה לא קיים. אפילו פרסמנו השבוע פוסט שמתאר תוכנת ריגול מתקדמת מאוד שמצאנו, אבל זה היה ב-25 מכשירים. זה בהחלט לא סוג הדברים הנפוץ או הפופולרי ביותר ברחבי המערכת האקולוגית.
האם יש משהו פחות מאובטח באנדרואיד בהשוואה למערכות הפעלה אחרות לנייד?
אני לא חושב שיש משהו פחות בטוח מטבעו בפלטפורמה. אני חושב שהמורכבות מקשה על הצהרות ברמת הפלטפורמה.
אנשים אוהבים להשוות בין אייפון לאנדרואיד. האייפון הוא מכשיר עם מערכת הפעלה של יצרן, למעשה מדובר בחמישה מכשירים שונים. אם אתה מסתכל על יצרן אחד מ
אולי השוואת קו Pixel ו-Nexus לאייפון עשויה להיות הוגנת יותר?
כן, מאוד דומים מבחינת החומרה - מאפייני אבטחה דומים. לחנויות האפליקציות יש מאפייני אבטחה דומים, אפליקציות מאומתות, בידוד יישומים - מאפייני אבטחה דומים מאוד. לשניהם יש מחויבות לעדכונים מהירים.
"בהשוואה של סמסונג ל-iOS אתה כבר בערך פי 20 יותר מורכב, מבחינת המכשיר הזה לעומת המכשיר הזה."
המקום שבו אתה נכנס לבידול הוא בשקיפות. אנדרואיד הוא קוד פתוח. המידע הזה זמין לכולם. אנו מעודדים מחקר של צד שלישי באמצעות תוכנית תגמולי האבטחה שלנו, כך שאנו יודעים זאת לא רק האם אנחנו מחפשים בעיות בפלטפורמה, אבל אנשים אחרים גם כן וזה עושה בגדול הֶבדֵל.
אני חושב שגם השירותים עושים הבדל עצום. תכננו בכוונה את הנראות ואת היכולת לבדוק מכשירים בשטח, בעוד שזה לא קיים בשום פלטפורמה אחרת. זה אומר שאנחנו מקבלים משוב על הרבה דברים קטנים שקורים ואנחנו יכולים להגיב לזה.
איך נלחמים בהשקה איטית של עדכוני אבטחה עבור מכשירי אנדרואיד שאינם במלאי? האם זה מתסכל?
אנחנו מאוד מעריכים כמה אנשים אימצו את אנדרואיד וכמה מכשירים יש להם
בילינו הרבה זמן במהלך השנה האחרונה כדי לנסות לעזור לאלה שזזים לאט יותר לפתור חלק מהם אתגרים טכנולוגיים, פותרים חלק מהאתגרים ההנדסיים שלהם, ובמקרים מסוימים ארגוניים אתגרים. ייתכן שחסר להם צוות מהנדסים שיספק עדכונים. אולי הם לא חשבו על זה, אז אנחנו שואלים מה אנחנו יכולים לעשות כדי להביא אותך לנקודה שבה חשבת על זה וזה אכן הגיוני?
זה בהחלט הופך את הדברים למסובכים יותר, אבל זה גם בבסיס הסיבה לכך שאנדרואיד הצליחה כל כך, מכיוון שהרבה אנשים שונים הצליחו לקפוץ פנימה ולהתחיל לבנות מכשירים.
איזו פעולה נקטה צוות אנדרואיד כדי להפוך את הפלטפורמה לאבטחה יותר? ומה התחום הבא שתרצה להתמודד או לשפר?
אני חושב שכל החלקים מתחברים ממש יפה. זה היה מסע רב-שנתי, אבל העבודה הקריפטוגרפית שעשינו, ארגז החול שעשינו, הרבה העבודה כדי להפוך את הניצול לקשה יותר מסתדרת יפה, אז אלו הם התחומים שנמשיך לעבוד עַל.
למה ארגז חול חשוב?
ארגז חול ברמה בסיסית עוסק באופן שבו אתה מבודד אפליקציה אחת מהשנייה. משחק הוא דוגמה מושלמת, כזו שבה אנשים לא חושבים על זה, אבל במחשב, משחקים לרוב מחוברים לרשת. הם אחד הדברים הבודדים במכשיר מסוג זה שיש לו שירות יציאות רשת, כך שזו אחת מחלקי התוכנה המפחידים ביותר שאתה מריץ ברוב מכשירי הצרכן. אם אתה מתפשר על משחק, יכול להיות שמחבר המשחק שפיר לחלוטין, אבל למשחק הזה יש גישה לכל דבר במחשב שלך.
ואילו באנדרואיד זה בכלל לא המקרה. אתה צריך אז גם להתפשר על מערכת ההפעלה הליבה כדי להיות מסוגל לעבור מעבר לזה. עבורנו, זה היה ממש ממש חשוב כדי לוודא שאתה תמיד צריך להתפשר על הקוד של גוגל, הקוד של אנדרואיד, כדי להגיע לנקודה שבה אתה יכול לעשות משהו שבאמת פוגע במשתמש.
עד כמה חשובה תוכנית המחקר של צד שלישי לאיתור באגים ופגיעויות?
זה ממש חשוב בעצם. בשנה שעברה שילמנו כמעט מיליון דולר לחוקרים. אני חושב שהיו בערך 120 חוקרים שונים שמצאו בעיות ודיווחו לנו עליהן. עשרות מגיעים מדי חודש, אז זה ממש חשוב לנו.
דבר אחד שקרה למעשה וזה ממש מעניין הוא שהתחלנו לקבל יותר ויותר דיווחים על בעיות, לא באנדרואיד, אלא ברכיבים אחרים שנמצאים במכשיר. לדוגמה, השבוע היה דיווח על בעיה בדרייברי ה-Wi-Fi של ברודקום שהשפיעה
האם למידת מכונה מתחילה לשחק תפקיד? האם יש לך מספיק נתונים כדי שזה יהיה יעיל?
יש לנו עכשיו כמות עצומה של נתונים והתחלנו למצוא כמה טכניקות למידת מכונה שעובדות ממש טוב עבור סוגים שונים של דברים. דבר אחד שלמידת מכונה עובדת ממש טוב עבורו הוא מציאת יישומים אחרים שהם גם תוכנות זדוניות. כאשר אנו מוצאים אפליקציה אחת גרועה, ייתכן שנוכל להוריד אלף אפליקציות או יותר באותו יום שאנו יודעים שהן קשורות בהתבסס על טכניקות למידת מכונה.
ואתה מצפה שזה ישתפר עם הזמן? ברור שזה למידה אז זה צריך להשתפר?
"למידה מכונה מאפשרת לנו לפתח יכולות הגנה הרבה יותר מהר."
זו אחת הסיבות העיקריות שבשנתיים הקרובות נקדים את התוקפים. למידת מכונה מאפשרת לנו לפתח יכולות הגנה הרבה יותר מהר ממה שאדם יכול לשפר את מסתורם, וזו בסופו של דבר הסיבה שהתוכנה הזדונית בעבר הייתה מתמשכת - כי אפילו שינויים קטנים מאוד יכולים להסתיר אותה ביעילות. זה לא הולך להיות המקרה יותר.
האם הידוק האבטחה אומר איבוד חלק מהפתיחות וההתאמה האישית שעזרו להפוך את אנדרואיד למערכת ההפעלה הניידת הפופולרית ביותר בעולם?
בכלל לא. הפתיחות, ההתאמה האישית והאבטחה של אנדרואיד הם כולם מהיתרונות הגדולים ביותר שלה. אנחנו חושבים שאפשר להמשיך ולהשתפר בשלושתם.
כאשר אנו מתמודדים עם תכונה שנראה כי היא מעמידה את העקרונות הללו בקונפליקט, אנו נעשה מאמצים רבים כדי למצוא גישה מאוזנת. אסטרטגיה נפוצה אחת היא שברירת המחדל תהיה מאובטחת יותר (כדי להגן על כמה שיותר משתמשים) תוך מתן אפשרות למשתמשים לבחור (כדי לאפשר התאמה אישית).
אנחנו עושים את אותו הדבר עם יצרני ציוד מקורי [יצרני מכשירים], מגדירים מודל אבטחה חזק, אך גם מספק אינספור הזדמנויות לחדש ולהתאים אישית. הגיוון שנוצר הוא כשלעצמו שיפור אבטחה, שכן ידוע שמונו-תרבותיות רגישות יותר לסיכון מערכתי. ובמקרים מסוימים, התאמה אישית זו מובילה לשיפורי אבטחה חדשניים, המהווה ברכה למערכת האקולוגית.
האם אתה חושב שיש צורך באנטי-וירוס, אנטי-תוכנות זדוניות ואפליקציות אבטחה אחרות של צד שלישי לאנדרואיד?
אנו מחויבים להפוך את ההגנות החינמיות שמספק Google Play להגנה הטובה ביותר בעולם. אנחנו כבר חושבים שהשגנו את זה, ונמשיך לפרסם מידע שיאפשר לאחרים לבדוק ולוודא אותו בעצמם.
איזו עצה היית נותן למשתמש אנדרואיד עם חששות אבטחה? אילו פעולות עלולות לסכן אותם ומה הם יכולים לעשות כדי להישאר בטוחים?
פרסמנו מאמר במרכז העזרה בנושא זה, כאן.
המלצות עורכים
- תוכנית Google One שלך קיבלה 2 עדכוני אבטחה גדולים כדי לשמור על בטיחותך באינטרנט
- מתי הטלפון שלי מקבל אנדרואיד 13? גוגל, סמסונג, OnePlus ועוד
- גוגל משלמת קנס היסטורי של 85 מיליון דולר לאחר מעקב לא חוקי אחר טלפונים אנדרואיד
- אנדרואיד 13 כבר כאן, ואתה יכול להוריד אותו בטלפון Pixel שלך עכשיו
- עם אפליקציות מותאמות, טאבלטים של אנדרואיד יהיו סוף סוף יותר מטלפונים גדולים
