Idėja, kad „Android“ platforma yra nesaugi, yra populiari ir nuolatinė. Ir labai tikėtina, kad neteisinga.
Praeina vos savaitė be naujos antraštės apie ką tik atskleistą pažeidžiamumą ar naują kenkėjišką programą, paveikiančią milijonus įrenginių.
Šias problemas apsunkina tai, kad Android ekosistema yra sudėtinga. Suskaidymas todėl platformos atnaujinimas tampa neįtikėtinai sudėtingas. Daugybė skirtingų įrenginių gamintojų kuria tūkstančius skirtingų telefonų ir planšetinių kompiuterių, kuriuose veikia skirtingos „Android“ versijos. Todėl naujinimams su saugos pataisymais įdiegti prireikia mėnesių, o dar blogiau – iš viso to nedaroma. Per daug gamintojų atnaujina tik savo flagmanus, todėl senesniuose ir mažesniuose įrenginiuose lieka žinomų pažeidžiamumų, dėl kurių naudotojai gali kelti pavojų.
Susijęs
- „Google“ ką tik paskelbė apie 9 naujas „Android“ telefono ir laikrodžio funkcijas
- „Google Chrome“ gauna „Android“ planšetinio kompiuterio naujinį, kurio laukėte
- „Google“ nori, kad žinotumėte, jog „Android“ programos nebėra skirtos tik telefonams
Apsvarstykite pažeidžiamumą, pvz Scenos baimė, kuri gali suteikti įsilaužėliams galimybę valdyti „Android“ įrenginį per kenkėjišką kodą garso ar vaizdo faile. Ataskaitose teigiama, kad iki 95 procentų įrenginių buvo pažeidžiami. Tačiau kiek iš tikrųjų nukentėjo?
„Štai mums praėjo pusantrų metų, beveik dveji metai nuo tada, kai pirmą kartą apie tai sužinojome, ir mes vis dar nežinau, kad kas nors iš tikrųjų buvo paveiktas“, – „Digital“ sakė „Android“ saugos direktorius Adrianas Ludwigas Tendencijos.
Susirūpinimą kelia tai, kad „Google“ gana greitai parengė pataisymus ir nedelsdama pristatė juos „Google“ „Nexus“ įrenginių serijai. Kitų įrenginių pataisos išėjo gamintojų nuožiūra.
Tai reiškia, kad jei turite a Google Pixel su naujausia Android 7.0 Nougat, jūs naudojatės naujausia sauga, bet kažkas, turintis telefoną, kuriame veikia KitKat (20 proc.
Tai sudėtinga problema, kuri nėra lengvai išsprendžiama, tačiau „Android“ saugos komanda sunkiai dirbo, kad sumažintų riziką vartotojams. Baisi statistika yra geros antraštės, bet taip
„Manau, kad turime šiek tiek suvokimo problemų, tačiau tai labai skiriasi nuo tikrosios vartotojo rizikos“, – paaiškino Ludwigas. „Šis kriptografinis darbas, kurį atlikome, smėlio dėžė, kurį atlikome, ir daugelis darbų, kad išnaudojimas būtų apsunkintas, puikiai dera“.
„Digital Trends“ kalbėjosi su Ludwigu „Google Hangout“, kad sužinotų dabartinę „Android“ saugos būklę, paklaustų, ar žmonės tikrai turėtų nerimauti dėl antraštės pažeidžiamumų ir kenkėjiškų programų ir sužinoti, ką „Google“ daro dėl suskaidymo, kad užtikrintų didesnį saugumą atnaujinimus.
Skaitmeninės tendencijos: ar „Android“ tikrai nesaugus?
Adrianas Ludwigas: Ne, tai nėra nesaugu. Per pastaruosius porą metų padarėme daug dalykų, kurie pakėlė lūkesčius į priekį.
Jei naudojate „Mac“ ar „Windows“, turėjote turėti trečiosios šalies antivirusinę apsaugą, bet sakėme, kad tai padarysime visiems ir padarysime tai nemokamai.
Programų smėlio dėžė yra palyginti nauja koncepcija Android saugos pasaulyje – idėja, kad programos neturi prieigos prie visų jūsų vartotojo duomenis, bet tik prieiga prie jų duomenų yra visiškai nauja, tai nėra kažkas, kas egzistuoja „Mac“, tai nėra kažkas, kas egzistuoja Windows.
„Turime šiek tiek suvokimo problemų, tačiau tai labai skiriasi nuo tikrosios vartotojo rizikos.
Tada yra įrenginio šifravimas. Daugumoje įmonių jis nėra įjungtas visą laiką. Mobiliojoje erdvėje buvo iškeltas lūkestis, kad viskas turi būti visą laiką užšifruota ir netgi tikimasi, kad tai bus taip gerai užšifruotas, kad net sudėtingos atakos metu bus sunku pasiekti tuos duomenis be vartotojo įgaliojimas.
Taip pat daug sužinojome apie tai, kaip dirba blogi aktoriai ir ką jie bando daryti, ir dabar esame šiek tiek vingio taške. Pirmuosius kelerius metus mokėmės, kūrėme supratimą ir tobulinome savo technologijų krūvą. Dabar galime neatsilikti nuo blogų aktorių. Pavyzdžiui, kenkėjiškų programų lygis per pastaruosius trejus ar ketverius metus yra palyginti nepakitęs, bet manau, kad šiais metais mes esame pamatysime, kad jie sumažės, galbūt gerokai sumažės, nes pasiekėme tiek, kad turime pakankamai įgūdžių ir patirtį. Dabar galime judėti greičiau nei veikėjai, greičiau juos sugauti ir imtis veiksmingesnių veiksmų visoje ekosistemoje nei galėjome anksčiau.
Manau, kad esame lūžio taške, kai net pagal „Android“ standartus pastebėsime gana reikšmingus kenkėjiškų programų patobulinimus.
Dar reikia daug nuveikti, bet lengva pamiršti, kiek nuėjome per pastaruosius penkerius metus.
Matome daug pranešimų apie pažeidžiamumą su bauginančia statistika. Kokia yra reali rizika, kad jūsų „Android“ įrenginys bus išnaudotas arba užgrobtas? Pavyzdžiui, buvo teigiama, kad kažkas panašaus į „Stagefright“ gali paveikti 95 proc
Štai praėjo pusantrų metų, beveik dveji metai nuo tada, kai pirmą kartą apie tai sužinojome, ir vis dar nežinome, kad kas nors iš tikrųjų buvo paveiktas. Sklando gandai, kad galėjo būti paveiktas nedidelis įrenginių skaičius, tačiau net ir tie, kuriems neturime jokių pagrįstų įrodymų.
Ir patikėkite manimi, kai tik išgirstame tokį gandą, stengiamės jį persekioti. Einame pasikalbėti su įmone, kuri daro tokį pareiškimą. Klausiame, ar yra duomenų, kuriais jie galėtų bendrinti. Mes niekada negalėjome pagrįsti nė vieno iš tų skaičių. Tikrai galiu pasakyti, kad nebuvo paveikta 900 milijonų įrenginių.
Žinoma, antraštės ir jaudulys buvo neproporcingi realybei ir gali būti, kad tai nebuvo paveikta. Manau, kad tai neįtikėtina, net žvelgdamas atgal, visada nerimauju, kad gali būti kažkas, ko nematai, bet atrodo, kad laikas atskleidžia tas akląsias vietas.
Pastaruosius šešerius metus dirbu su „Android“ sauga ir kiekvieną kartą, kai žiūrite į sritį, kur kas nors pasakė „tai akla vieta“, nieko nerandame. Taigi, anksti buvo pasakyta, kad „Google Play yra daugybė kenkėjiškų programų“ ir mes pažiūrėjome, jų buvo, pašalinome. Tada išgirstame „tai yra už „Google Play“ ribų“, žiūrime, yra keletas, įdiegėme gana gerą apsaugą. Tada „kitais metais kils“ ir to taip pat neįvyko. Dabar „bus išnaudojamos pažeidžiamumas“, bet mes to nematome.
Kartą ir vėl judame į priekį ten, kur ieškome, atliekame patikrinimus ir teikiamas paslaugas, siekdami ieškoti blogų veikėjų, bet tiesiog nematome jokios realios žalos.
Be to, norime būti kiek įmanoma atsargesni, todėl investuojame į paslaugas, kad galėtume ieškoti visų tų mažų tamsių gatvelių. Taip pat bendradarbiaujame su partneriais, siekdami užtikrinti, kad jie galėtų kuo greičiau reaguoti, todėl į tai daug investavome saugos naujinimus ne todėl, kad matome daug faktinio išnaudojimo, bet todėl, kad nenorime, kad tai kada nors kiltų supratau.
Daug kas yra susiję su išlikimu priekyje ir niekada nepasiekimu iki taško, kuriame iškiltų problema.
Kodėl, jūsų manymu, šis pasakojimas apie „Android“ yra pažeidžiamumų „toksiškas pragaras“ išlieka?
Yra keletas priežasčių. Viena iš jų yra tai, kad sudėtingumas dažnai yra labai baisus, o „Android“ ekosistemos pasakojimas yra sudėtingas. Ekosistemoje yra daug skirtingų originalios įrangos gamintojų [telefonų ir planšetinių kompiuterių gamintojų], daugybė skirtingų įrenginių modelių.
„[Mašininis mokymasis] yra viena iš pagrindinių priežasčių, kodėl mes aplenksime užpuolikus.
Labai glaustai apibūdinti tai, kas vyksta „Android“ ekosistemoje, yra sudėtinga, lygiai taip pat, kaip labai sunku apibūdinti žmogaus anatomiją ar žmonijos populiaciją. Bet mes tai žinome medicina gerėja, ir žinome, kad žmonės gyvena ilgiau. Žinome, kad žmonės tampa sveikesni, bet vis tiek skaitome daug istorijų apie žmonių mirtį, blogus dalykus ir ligas.
Manau, kad tai yra veidrodis to, kas vyksta „Android“ ekosistemoje. Tai sudėtinga, todėl nedažnai nėra patenkinamo, itin paprasto atsakymo, tačiau apskritai jis tampa vis saugesnis ir patikimesnis.
Taip pat matome daug istorijų apie kenkėjiškas programas, tačiau ar paprastam „Android“ naudotojui, kuris niekada neatsisiunčia programų ne iš „Play“ parduotuvės, gresia pavojus?
„Play“ kenkėjiškų programų skaičius yra apie 0,05 proc., tai yra 5 iš 10 000 programų, taigi, tai yra gana mažai. Kalbant apie užkrėstų įrenginių procentą, tai yra tokia sritis, kurioje, jei apie tai nekalbėtume, niekas nežinotų, kad tai netgi vyksta.
Apie tai kalbame siekdami užtikrinti, kad rizikos lygis būtų skaidrus. Dažnai platformos nenori kalbėti apie dalykus. Jie užmerkia akis. Mums patinka, kad išorės veikėjai ir mūsų politika bei procesai būtų skaidrūs, kad galėtume sukurti pasitikėjimą. Mes nenorime, kad žmonės aklai pasitikėtų.
Spėju, kad „Android“ ekosistemoje „Play“ parduotuvė yra švariausia programų parduotuvė. Įsivaizduočiau, kad jis panašus į kitas programų parduotuves, kurių ekosistemos yra uždaresnės. [Manome, kad Adrianas turi omenyje Apple App Store.]
Aptarę tai su daugybe žmonių, anekdotiškai mes nežinome nė vieno, kuris būtų turėjęs „Android“ kenkėjiškų programų problemų, bet aš pats turėjau problemų su „Windows“. Kodėl visi kalba apie
Manau, kad mums pabodo „Windows“ kenkėjiška programa, todėl nebeįdomu apie tai kalbėti. „Android“ buvo tarsi naujas, įdomus dalykas.
Viskas, ką mačiau, rodo tai visoje „Android“ ekosistemoje. Šimtai milijonų įrenginių, įdiegtų iš „Google Play“, yra daug švaresni nei valdomas įmonės „Windows“ įrenginių parkas. Mūsų užkrėtimo lygis visame pasaulyje yra pusė procento, o valdomų „Windows“ įrenginių jis yra didesnis, o vartotojų namų ūkiuose „Windows“ įrenginių užkrėtimo lygis dar didesnis.
Tačiau „Android“ yra įdomus. Tai auganti rinka. Tai auganti rinka vartotojams, bet manau, kad tai auga ir saugumo pramonei, todėl jiems labai svarbu, kad žmonės žinotų ir galvotų apie tuos dalykus. Tokia komunikacijos platformoje forma.
Kai randate kenkėjiškų programų, kokio tipo kenkėjiška programa dažniausiai naudojama?
Dauguma to, ką matome, yra komercinio pobūdžio. Paprastai jie bando užsidirbti pinigų, o pinigų gavimo mechanizmas mobiliajame telefone yra programų diegimas. Mes matome nišinius atvejus, kai programas naudoja banko slaptažodžius ar panašius dalykus, tačiau paprasčiausias būdas užsidirbti pinigų yra įdiegti programą. Labai didelis procentas yra susijęs su tuo, ką vadiname priešiškais siuntėjais.
Įdomu tai, kad jų įdiegtos programos pačios nėra kenksmingos. Tai gali būti žaidimas, kuris nori gauti reklamą, arba tai gali būti kita paslauga, kuriai pasiskirstymas rinkoje gali būti naudingas. Galutinis rezultatas yra ne tokie dalykai, apie kuriuos žmonės galvoja galvodami apie kenkėjiškas programas. Dažnai ne kas nors bando pavogti jūsų duomenis.
Ten yra šnipinėjimo programos. Nenoriu teigti, kad jo nėra. Šią savaitę netgi paskelbėme įrašą, kuriame aprašėme labai aukštos klasės šnipinėjimo programą, kurią radome, bet tai buvo 25 įrenginiuose. Tai tikrai nėra toks dalykas, kuris yra įprastas ar populiariausias visoje ekosistemoje.
Ar „Android“ yra kažkas mažiau saugaus, palyginti su kitomis mobiliosiomis operacinėmis sistemomis?
Nemanau, kad platformoje yra nieko mažiau saugaus. Manau, kad dėl sudėtingumo tampa sunkiau pateikti pareiškimus platformos lygiu.
Žmonės mėgsta lyginti „iPhone“ su „Android“. „IPhone“ yra įrenginys su gamintojo operacine sistema, iš tikrųjų tai yra apie penkis skirtingus įrenginius. Jei pažvelgtumėte į vieną gamintoją iš
Galbūt būtų teisingiau palyginti Pixel ir Nexus linijas su iPhone?
Taip, labai panašios techninės įrangos – panašios saugumo savybės. Programėlių parduotuvėse yra panašios saugos savybės, patikrintos programos, programos izoliacija – labai panašios saugos savybės. Abu yra įsipareigoję greitai atnaujinti.
„Lyginant „Samsung“ su „iOS“, šiuo įrenginiu jau esate maždaug 20 kartų sudėtingesni, palyginti su tuo įrenginiu.
Skirtumas yra skaidrumas. Android yra atvirojo kodo. Ta informacija yra prieinama visiems. Mes skatiname trečiųjų šalių tyrimus per mūsų saugumo apdovanojimų programą, todėl žinome, kad tai ne tik ar mes ieškome problemų platformoje, bet kiti žmonės taip pat ir tai daro didelę įtaką skirtumas.
Manau, kad paslaugos taip pat labai skiriasi. Sąmoningai sukūrėme matomumą ir galimybę tikrinti įrenginius vietoje, o to nėra jokioje kitoje platformoje. Tai reiškia, kad gauname grįžtamąjį ryšį apie daug smulkmenų, kurie vyksta, ir galime į tai reaguoti.
Kaip kovoti su lėtu saugos naujinimų išleidimu neparduodamiems „Android“ įrenginiams? Ar tai vargina?
Labai vertiname, kiek žmonių priėmė „Android“ ir kiek įrenginių turi
Per pastaruosius metus daug laiko skyrėme bandydami padėti tiems, kurie lėčiau juda, išspręsti kai kurias problemas technologijų iššūkius, išspręsti kai kuriuos jų inžinerinius iššūkius, o kai kuriais atvejais ir organizacinius iššūkius. Jiems gali trūkti inžinierių, kurie pateiktų atnaujinimus. Galbūt jie apie tai nepagalvojo, todėl klausiame, ką galime padaryti, kad pasiektumėte tašką, kai apie tai pagalvojote ir tai turi prasmę?
Tai neabejotinai daro viską sudėtingesnę, tačiau tai taip pat yra „Android“ sėkmės priežastis, nes daug skirtingų žmonių galėjo įsijungti ir pradėti kurti įrenginius.
Kokių veiksmų ėmėsi „Android“ komanda, kad platforma būtų saugesnė? Ir kokia yra kita sritis, kurią norėtumėte išspręsti ar patobulinti?
Manau, kad visos detalės labai gražiai susijungia. Tai buvo kelerių metų kelionė, bet mūsų atliktas kriptografinis darbas, smėlio dėžė, kurią darėme, daug darbas, siekiant apsunkinti išnaudojimą, puikiai dera, todėl tai yra sritys, kuriose dirbsime toliau įjungta.
Kodėl smėlio dėžė yra svarbi?
Smėlio dėžė pagrindiniame lygmenyje yra apie tai, kaip atskirti vieną programą nuo kitos. Žaidimas yra puikus pavyzdys, kai žmonės apie tai negalvoja, bet kompiuteryje žaidimai dažnai yra prijungti prie tinklo. Jie yra vienas iš nedaugelio dalykų tokio tipo įrenginiuose, kuriuose yra tinklo prievado paslauga, todėl tai yra viena iš baisiausių programinės įrangos dalių, kurią naudojate daugumoje vartotojų įrenginių. Jei sugadinsite žaidimą, žaidimo autorius gali būti visiškai geranoriškas, tačiau tas žaidimas turi prieigą prie visko, kas yra jūsų kompiuteryje.
Tuo tarpu „Android“ taip nėra. Tada taip pat turite pakenkti pagrindinei operacinei sistemai, kad galėtumėte tai padaryti. Mums tai buvo tikrai labai svarbu užtikrinti, kad visada turėsite pažeisti „Google“ kodą, „Android“ kodą, kad pasiektumėte tašką, kai galėtumėte padaryti tai, kas tikrai kenkia vartotojui.
Kiek svarbi trečiosios šalies tyrimų programa ieškant klaidų ir pažeidžiamumų?
Iš tikrųjų tai tikrai svarbu. Praėjusiais metais mokslininkams sumokėjome beveik milijoną dolerių. Manau, kad buvo apie 120 skirtingų tyrėjų, kurie rado problemų ir pranešė apie jas mums. Kiekvieną mėnesį ateina dešimtys, todėl mums tai tikrai svarbu.
Vienas dalykas, kuris iš tikrųjų nutiko, yra tikrai įdomus, yra tai, kad pradėjome gauti vis daugiau pranešimų apie problemas ne „Android“, o kituose įrenginio komponentuose. Pavyzdžiui, šią savaitę buvo pranešta apie „Broadcom“ „Wi-Fi“ tvarkyklių problemą, kuri turėjo įtakos
Ar mašininis mokymasis pradeda vaidinti svarbų vaidmenį? Ar turite pakankamai duomenų, kad jis būtų veiksmingas?
Dabar turime didžiulį duomenų kiekį ir pradėjome ieškoti mašininio mokymosi metodų, kurie tikrai puikiai tinka įvairių tipų dalykams. Vienas dalykas, dėl kurio mašininis mokymasis tikrai gerai veikia, yra rasti kitų programų, kurios taip pat yra kenkėjiškos. Radę vieną blogą programą, tą pačią dieną galime panaikinti tūkstantį ar daugiau programų, kurios, kaip žinome, yra susijusios, remiantis mašininio mokymosi metodais.
Ir tikitės, kad laikui bėgant tai pagerės? Akivaizdu, kad tai mokosi, todėl turėtų pagerėti?
„Mašininis mokymasis leidžia mums daug greičiau sukurti apsaugos galimybes.
Tai viena iš pagrindinių priežasčių, kodėl per ateinančius porą metų aplenksime puolėjus. Mašininis mokymasis leidžia mums sukurti apsaugos galimybes daug greičiau, nei žmogus gali pagerinti savo slėpimąsi, galiausiai dėl šios priežasties kenkėjiška programa praeityje buvo nuolatinė, nes net labai maži pakeitimai gali ją paslėpti efektyviai. Taip jau nebebus.
Ar saugumo sugriežtinimas reiškia, kad prarandama dalis atvirumo ir pritaikymo galimybių, dėl kurių „Android“ tapo populiariausia mobiliųjų įrenginių OS pasaulyje?
Visai ne. „Android“ atvirumas, pritaikymas ir saugumas yra vienas didžiausių jos pranašumų. Manome, kad galima ir toliau tobulinti visus tris.
Kai susiduriame su savybe, kuri, atrodo, prieštarauja šiems principams, labai stengsimės rasti subalansuotą požiūrį. Viena iš bendrų strategijų yra numatyti, kad numatytosios nuostatos būtų saugesnės (kad būtų apsaugota kuo daugiau vartotojų), leidžiant vartotojams pasirinkti (kad būtų galima tinkinti).
Tą patį darome su originalios įrangos gamintojais (įrenginių gamintojais), apibrėždami patikimą saugos modelį, bet taip pat suteikiame daugybę galimybių diegti naujoves ir pritaikyti savo poreikius. Gauta įvairovė pati savaime padidina saugumą, nes žinoma, kad monokultūros yra labiau jautrios sisteminei rizikai. Ir kai kuriais atvejais šis pritaikymas lemia naujoviškus saugumo patobulinimus, o tai yra palaima ekosistemai.
Ar manote, kad reikia antivirusinių, kenkėjiškų programų ir kitų trečiųjų šalių Android saugos programų?
Esame įsipareigoję, kad „Google Play“ teikiamos nemokamos apsaugos būtų geriausia apsauga pasaulyje. Jau manome, kad tai padarėme, ir toliau skelbsime informaciją, kuri leis kitiems dar kartą tai patikrinti ir patvirtinti.
Ką patartumėte „Android“ naudotojui, turinčiam problemų dėl saugumo? Kokie veiksmai gali sukelti jiems pavojų ir ką jie gali padaryti, kad išliktų saugūs?
Paskelbėme pagalbos centro straipsnį šia tema, čia.
Redaktorių rekomendacijos
- Jūsų „Google One“ planas ką tik gavo 2 didelius saugos naujinius, kad būtumėte saugūs prisijungę
- Kada mano telefone bus įdiegta „Android 13“? Google, Samsung, OnePlus ir kt
- „Google“ sumoka istorinę 85 milijonų dolerių baudą už neteisėtą „Android“ telefonų stebėjimą
- „Android 13“ jau yra ir dabar galite ją atsisiųsti į „Pixel“ telefoną
- Su optimizuotomis programėlėmis „Android“ planšetiniai kompiuteriai pagaliau bus daugiau nei dideli telefonai
