Android는 지구상에서 가장 널리 사용되는 모바일 플랫폼입니다. 매일 14억 명이 넘는 사람들이 Android 스마트폰이나 태블릿을 사용하고 있으며, Android 스마트폰이나 태블릿이 오픈 소스이고 제조업체에서 무료로 사용할 수 있다는 점이 이러한 인기의 큰 부분을 차지합니다. 그러나 개방성은 양날의 검입니다. 이로 인해 많은 Android 휴대폰이 최신 보안 패치로 정기적으로 업데이트되지 않는 상황이 발생했습니다.
맬웨어의 유령이 크게 나타났습니다. 기계적 인조 인간 지난 몇 년 동안 연구원들은 다음과 같은 매우 세간의 이목을 끄는 취약점을 발견했습니다. 무대 공포증. 부정적인 소식은 너무 두껍고 빠르게 다가와서 관점을 파악하기 어려울 수 있습니다. 지난 주에 우리는 다음과 같은 내용을 보도했습니다. FalseGuide 악성 코드, 이는 최대 180만 명에게 영향을 미쳤을 수 있음 기계적 인조 인간 사용자.
헤드라인에만 나오는 것만으로도 의구심을 갖는 것은 용서받을 수 있습니다. 기계적 인조 인간 보안은 중요하지만 과장된 표현과 실제 위험 사이의 경계는 어디입니까? 플랫폼이 정말 안전하지 않은 걸까요?
관련된
UFS 3.0 스토리지란 무엇입니까? 휴대폰용 SSD에 대해 전문가에게 물어봤습니다.
“아니, 불안한 건 아니야. 약간의 인식 문제가 있다고 생각하지만 실제 사용자 위험과는 매우 다릅니다.”라고 Adrian Ludwig 이사는 말합니다. 기계적 인조 인간 보안, 디지털 트렌드에 전하다 최근 인터뷰에서. "우리가 해왔던 암호화 작업, 우리가 해왔던 샌드박싱, 그리고 악용을 더욱 어렵게 만드는 많은 작업이 모두 잘 어우러지고 있습니다."
최신 버전의 기계적 인조 인간 이전 버전보다 더 안전하지만 문제는 많은 기계적 인조 인간 사용자는 결코 이점을 느끼지 못합니다. 2016년을 되돌아보며 블로그 게시물, 기계적 인조 인간 보안 팀은 2016년 말 현재 사용 중인 장치 중 약 절반이 최소 12개월 동안 업데이트를 받지 못했다고 인정했습니다.
“전화기의 84%가 업그레이드되지 않았습니다. 이는 대부분의 모바일 장치가 여전히 위험에 처해 있다는 것을 의미합니다.”
“최신 버전의 Google 기계적 인조 인간 바이러스 백신 평가 기관인 AV-Test의 CEO인 Maik Morgenstern은 Digital Trends에 이렇게 말했습니다. “그러나 특히 많은 노년층에서는 기계적 인조 인간 버전이 늘어나면서 점점 더 많은 취약점이 표면화되고 있으며 많은 공급업체가 장치에 대한 업데이트를 제공하지 않습니다. 현재 알려진 취약점은 800개 이상이다.”
우리가 살펴보면 Android의 공식 배포 수치 4월 현재 4.9%에 불과한 것으로 나타났습니다. 기계적 인조 인간 장치는 최신 버전인 Nougat 7.0 또는 7.1을 실행합니다. 이는 전체에서 실망스러울 정도로 작은 부분입니다. 좀 더 과거를 살펴보면, 기계적 인조 인간 6.0 Marshmallow는 31.2%의 장치에서 실행되고 있습니다. 기계적 인조 인간 5.0 또는 5.1인 Lollipop은 전체 기기의 31%, 전체 기기의 5분의 1에 설치되어 있습니다. 기계적 인조 인간 장치가 아직 실행 중입니다 기계적 인조 인간 4.4 킷캣. 이전 버전을 실행하는 이러한 장치의 대부분은 기계적 인조 인간 업데이트될 가능성이 거의 없습니다.
Joshua J. Zimperium의 플랫폼 연구 및 활용 담당 부사장인 Drake는 Digital Trends에 말했습니다.
Zimperium은 모바일 보안 회사입니다. 드레이크 Stagefright 취약점을 발견했습니다 2015년에 다시. 해커에게 통제권을 줄 가능성이 있었습니다. 기계적 인조 인간 당시 보고서에 따르면 오디오 또는 비디오 파일의 악성 코드를 통해 장치의 최대 95%가 이에 취약했습니다. Drake는 오늘날에도 일부 장치가 여전히 취약하다고 말했습니다.
잠재적인 피해가 무서웠지만, 그 영향이 무엇인지는 불분명합니다. 기계적 인조 인간 사용자였습니다.
Ludwig는 "1년 반이 지났고 처음 발견한 지 거의 2년이 지났지만 실제로 영향을 받은 사람이 있는지는 아직 알 수 없습니다"라고 말했습니다.
하지만 드레이크는 이에 동의하지 않습니다.
Maik Morgenstern, AV Test의 CEO 겸 기술 이사
“우리는 libstagefright와 미디어 서버의 취약점을 이용한 표적 공격이 있었던 것으로 알고 있습니다.”라고 그는 말했습니다. “우리는 일반적으로 부정적인 결과를 입증하기 어렵다는 것을 알고 있으며 플랫폼 보안을 강화하려는 Google의 노력을 존중합니다. 장치에 센서가 없으면 누구도 장치의 위험이나 위협 상태를 알 수 없습니다. 특히 모바일 하나.”
문제는 공격에 성공했는지 알기가 쉽지 않다는 점이다. Stagefright 발견의 여파로 보안 회사는 Zimperium 핸드셋 얼라이언스 연구원, 모바일 네트워크 운영자, 모바일 애플리케이션 개발자 및 장치 공급업체 간의 커뮤니케이션을 강화합니다.
Drake는 “연구자들은 더 나은 패치와 전반적으로 안전한 모바일 세계를 촉진하기 위해 월별 보안 업데이트를 조사하고 이러한 취약점을 악용하도록 장려되어야 합니다.”라고 말했습니다.
Google은 보안 위험을 줄이기 위해 월별 패치를 출시하고 보안 요소를 세분화하는 등 몇 가지 중요한 조치를 취했습니다. 기계적 인조 인간 업데이트를 더 쉽게 푸시할 수 있습니다. 그러나 이전 버전의 기계적 인조 인간 남겨졌습니다.
그만큼 안드로이드 조각화 문제 쉽게 해결되지 않습니다. 통신업체와 제조업체가 업데이트하도록 설득 기계적 인조 인간 기기는 Google에게 매우 어려운 것으로 입증되었습니다. 그것은 야당의 손에 직접적으로 작용했습니다. Apple의 Tim Cook은 다음을 언급한 것으로 유명합니다. ZDNet 기사 "라는 제목의기계적 인조 인간 2014년 WWDC의 슬라이드에서 장치를 유독한 취약점으로 바꾸는 조각화입니다. 하지만 iOS가 정말 그렇게나 나은가요? 그렇다면 왜 그렇습니까?
“iOS 보안이 보안보다 우수하다는 인상이 있었습니다. 기계적 인조 인간 보안이 필요하지만 반드시 그런 것은 아닙니다.”라고 Drake는 말했습니다.
왜냐하면 기계적 인조 인간 오픈 소스이므로 보안 연구원이 결함을 찾아 수정 사항을 제안하는 것이 더 쉽습니다. 그는 iOS의 폐쇄적 특성으로 인해 연구자들이 무슨 일이 일어나고 있는지 파악하기가 더 어렵다고 말했습니다. Morgenstern은 이 평가에 동의하지만 악성 코드가 더 큰 위험을 초래한다는 중요한 차이점을 지적합니다. 기계적 인조 인간.
“모든 업데이트가 모든 장치에 적용될 때까지 우리는 여전히 위험에 처해 있습니다.”
"을 위한 기계적 인조 인간 사용자는 어떤 소스에서든 앱을 쉽게 설치할 수 있습니다.”라고 Morgenstern은 설명합니다. “이 사실로 인해 악성 앱이 기기에 쉽게 설치될 수 있습니다. 다른 플랫폼이 이를 처리하는 방식은 폐쇄된 시장에서만 설치를 허용함으로써 훨씬 더 엄격합니다.”
기계적 인조 인간 큰 목표다. 이러한 대규모 사용자 기반과 오픈 소스 코드로 인해 사이버 범죄자에게 매력적인 먹잇감이 됩니다. AV-Test는 최대 30,000개의 신규 등록을 기록합니다. 기계적 인조 인간 매일 악성 코드 샘플을 수집합니다. 무서운 숫자지만 걱정스럽습니다 기계적 인조 인간 사용자는 다음 조치를 취할 수 있습니다. 대폭 감소 앱용 Google Play를 고수하고, 패치가 제공되는 즉시 기기를 업데이트하고, 타사 Android 보안 앱.
Drake와 Morgenstern은 적어도 괜찮은 네트워크를 사용하지 않고 알 수 없는 네트워크와 Wi-Fi 핫스팟에 연결하는 것에 대해 경고합니다. 안드로이드 VPN 앱.
“우리 데이터에 따르면 대부분의 공격은 본질적으로 네트워크이며 iOS, 기계적 인조 인간, 또는 기타”라고 Drake는 설명합니다. “공격자가 조용히 네트워크 트래픽을 가로채서 리디렉션하면 모든 장치는 위험할 정도로 취약해집니다. 침입적 감시, 개인화된 작살낚시, 플랫폼 익스플로잇 전달 또는 기타 후속 공격이 가능합니다.”
기계적 인조 인간 보안이 향상되고 있습니다. 더 빠른 업데이트, 기기 암호화, 권한 요청, 앱 샌드박싱을 통해 격리할 수 있습니다. 앱 간의 상호 연결, 리소스에 대한 액세스 제한, Play의 자동 맬웨어 검사 가게. 하지만 아직 해야 할 일이 분명히 남아 있습니다.
Google의 Ludwig는 제3자 연구의 중요성에 대한 질문에 “지난해 우리는 연구자들에게 거의 백만 달러를 지불했습니다.”라고 말했습니다. 그러나 이 연구 프로그램에도 불구하고 Drake는 더 많은 것이 필요하다고 생각합니다.
“개선하기 위해 기계적 인조 인간 보안 전반에 걸쳐 구글이 보안 공급업체와 긴밀히 협력하는 것이 필수적이다”라고 말했다. “애플과 다른 벤더들은 협력을 늘렸지만 구글은 협력을 줄였습니다. Google의 철학은 모든 것을 스스로 할 수 있다는 것입니다. 그러나 이는 사용자에게 피해만 주고 불행하게도 악성 코드 작성자에게만 이익이 됩니다.”
결국 질문은 기계적 인조 인간 보안은 귀하가 사용하는 장치에 따라 달라질 수 있습니다. 이전 버전을 실행하는 2~3년 된 전화기를 가지고 있는 경우 기계적 인조 인간 몇 달 동안 업데이트되지 않았으므로 우려할 만한 이유가 있습니다. 대조적으로 Google의 Pixel 소유자는 적시에 최신 보안 업데이트를 받습니다. 적어도 앞으로 몇 년 동안은.
대부분의 시간이 얼마나 걸릴지 말하기는 어렵습니다. 기계적 인조 인간 기기에서 Nougat 또는 이후 버전을 실행 중입니다. 기계적 인조 인간하지만 그럼에도 불구하고 일부 제조업체 및 이동통신사의 느린 업데이트 속도는 여전히 문제로 남아 있습니다.
Morgenstern은 “모든 업데이트가 모든 장치에 적용될 때까지 우리는 여전히 위험에 처해 있습니다.”라고 말했습니다.
안전을 유지하는 방법에 대한 더 유용한 조언을 찾을 수 있습니다. 기계적 인조 인간 우리의 전화 안드로이드 보안 가이드.
