Het idee dat het Android-platform onveilig is, is populair en hardnekkig. En misschien wel fout.
Er gaat nauwelijks een week voorbij zonder een nieuwe kop over een pas ontdekte kwetsbaarheid of nieuwe malware die miljoenen apparaten treft.
Deze problemen worden verergerd door het feit dat de Android ecosysteem is ingewikkeld. Fragmentatie maakt het ongelooflijk moeilijk om het platform te updaten. Een overvloed aan verschillende apparaatfabrikanten bouwt duizenden verschillende telefoons en tablets met verschillende versies van Android. Als gevolg hiervan duurt het maanden voordat updates met beveiligingsoplossingen worden uitgerold, of erger nog: dat gebeurt helemaal niet. Te veel fabrikanten updaten alleen hun vlaggenschepen, waardoor bekende kwetsbaarheden in oudere en mindere apparaten achterblijven die gebruikers in gevaar kunnen brengen.
Verwant
- Google heeft zojuist 9 nieuwe functies aangekondigd voor je Android-telefoon en -horloge
- Google Chrome krijgt de Android-tabletupdate waar u op hebt gewacht
- Google wil dat je weet dat Android-apps niet alleen meer voor telefoons zijn
Denk aan een kwetsbaarheid als Plankenkoorts, waarmee hackers controle kunnen krijgen over een Android-apparaat via kwaadaardige code in een audio- of videobestand. Uit rapporten blijkt dat tot 95 procent van de apparaten kwetsbaar is. Maar hoeveel werden er daadwerkelijk getroffen?
“We zijn nu anderhalf jaar verder, bijna twee jaar geleden sinds we er voor het eerst achter kwamen, en dat is nog steeds zo Ik weet niet dat iemand er daadwerkelijk last van heeft”, vertelde Adrian Ludwig, directeur van Android Security, aan Digital Trends.
De zorg was dat Google de oplossingen relatief snel uitwerkte en deze onmiddellijk uitrolde naar de Nexus-apparaten van Google. Patches voor andere apparaten kwamen naar goeddunken van de fabrikanten uit.
Dat betekent dat als je een Google Pixel met de nieuwste Android 7.0 Nougat profiteer jij van de nieuwste beveiliging, maar iemand met een telefoon met KitKat (20 procent van de
Het is een netelig probleem dat niet gemakkelijk kan worden opgelost, maar het Android-beveiligingsteam heeft hard gewerkt om het risico voor gebruikers te verkleinen. Enge statistieken zorgen voor goede krantenkoppen, maar dat is ook zo
“Ik denk dat we een beetje een perceptieprobleem hebben, maar het is heel anders dan het daadwerkelijke gebruikersrisico”, legt Ludwig uit. “Het cryptografische werk dat we hebben gedaan, het sandboxen dat we hebben gedaan en veel van het werk om exploitatie moeilijker te maken, komt allemaal mooi samen.”
Digital Trends sprak met Ludwig op Google Hangouts om de huidige staat van Android-beveiliging te achterhalen en te vragen of mensen dat echt zouden moeten doen maak je zorgen over de belangrijkste kwetsbaarheden en malware, en ontdek wat Google doet aan fragmentatie om bredere beveiliging mogelijk te maken updates.
Digitale trends: is Android echt onveilig?
Adriaan Ludwig: Nee, het is niet onveilig. Er zijn veel dingen die we hebben gedaan die de verwachtingen de afgelopen jaren hebben verbeterd.
Voor Mac of Windows had je antivirusbescherming van derden nodig, maar we zeiden dat we dat voor iedereen gingen doen en het gratis zouden maken.
Applicatiesandboxing is een relatief nieuw concept in de wereld van Android-beveiliging – het idee dat applicaties geen toegang hebben tot al uw gebruikersgegevens, maar alleen toegang hebben tot hun gegevens is geheel nieuw, het is niet iets dat op de Mac bestaat, het is niet iets dat op de Mac bestaat Ramen.
"We hebben een beetje een perceptieprobleem, maar het is heel anders dan het daadwerkelijke gebruikersrisico."
Dan is er apparaatversleuteling. Bij de meeste ondernemingen is dit niet altijd ingeschakeld. In de mobiele wereld wordt de verwachting gewekt dat alles altijd versleuteld moet zijn, en er wordt zelfs verwacht dat dit ook zo is. zal zo goed worden gecodeerd dat het zelfs voor een geavanceerde aanval moeilijk zal zijn om zonder gebruiker toegang tot die gegevens te krijgen autorisatie.
We hebben ook veel geleerd over hoe de slechte acteurs werken en wat ze proberen te doen, en we bevinden ons nu op een klein keerpunt. De eerste paar jaar waren we aan het leren, bouwden we aan ons begrip en verbeterden we onze technologiestapel. Nu kunnen we de slechte acteurs bijhouden. De aantallen malware zijn bijvoorbeeld de afgelopen drie tot vier jaar relatief stabiel gebleven, maar ik denk dat dit het jaar is waarin we Ik ga ze zien dalen, misschien wel aanzienlijk, omdat we op het punt zijn gekomen waarop we over voldoende vaardigheden beschikken ervaring. We kunnen nu sneller handelen dan de actoren, ze eerder opmerken en effectiever actie ondernemen in het hele ecosysteem dan voorheen.
Ik denk dat we ons op een keerpunt bevinden waar we zelfs volgens Android-normen behoorlijk aanzienlijke verbeteringen zullen gaan zien met betrekking tot malware.
Er is nog meer te doen, maar we vergeten gemakkelijk hoe ver we de afgelopen vijf jaar zijn gekomen.
We zien veel berichten over kwetsbaarheden met angstaanjagende statistieken. Wat is het realistische risico dat uw Android-apparaat wordt uitgebuit of gekaapt? Er werd bijvoorbeeld gezegd dat zoiets als Stagefright mogelijk een impact zou hebben op 95 procent van de gevallen
We zijn nu anderhalf jaar verder, bijna twee jaar geleden sinds we er voor het eerst achter kwamen, en we weten nog steeds niet of er daadwerkelijk iemand door getroffen is. Er gaan geruchten dat een klein aantal apparaten getroffen zou kunnen zijn, maar zelfs voor die apparaten hebben we geen enkel onderbouwd bewijs.
En geloof me, als we zo'n gerucht horen, proberen we het te achtervolgen. We gaan praten met het bedrijf dat deze verklaring aflegt. We vragen of er gegevens zijn die ze kunnen delen. We hebben deze cijfers nooit kunnen onderbouwen. Ik kan met zekerheid zeggen dat er geen 900 miljoen apparaten zijn getroffen.
Zeker, de krantenkoppen en de opwinding stonden niet in verhouding tot de werkelijkheid en het kan zijn dat niemand hierdoor werd getroffen. Dat is ongelooflijk, denk ik. Zelfs als ik zelf terugkijk, ben ik altijd bang dat er misschien iets is dat je niet ziet, maar de tijd lijkt het ding te zijn dat die blinde vlekken onthult.
Ik heb de afgelopen zes jaar aan Android-beveiliging gewerkt en elke keer als je in een gebied kijkt waar iemand zegt: 'Dat is een blinde vlek', vinden we niets. Dus al vroeg was het "er zit heel veel malware in Google Play" en we keken, er was er een, we verwijderden het. Dan horen we 'het ligt buiten Google Play', we kijken, er zijn er een paar, we hebben behoorlijk goede beveiligingen getroffen. Dan “gaat het volgend jaar klimmen” en dat gebeurde ook niet. Nu “zullen de kwetsbaarheden worden uitgebuit”, maar dat zien we niet.
Keer op keer gaan we vooruit in waar we naar kijken en de controles die we doen en de diensten die we leveren om slechte actoren te zoeken, maar we zien gewoon geen daadwerkelijke schade.
Dat gezegd hebbende, willen we zo voorzichtig mogelijk zijn en daarom investeren we in diensten om in al die kleine donkere steegjes te kijken. We werken ook samen met partners om ervoor te zorgen dat ze zo snel mogelijk kunnen reageren, dus daar hebben we veel in geïnvesteerd beveiligingsupdates, niet omdat we veel daadwerkelijke uitbuiting zien, maar omdat we niet willen dat dit een risico wordt dat ooit ontstaat realiseerde.
Veel ervan gaat over voorop blijven lopen en nooit op een punt komen waarop er een probleem is.
Waarom denkt u dat dit verhaal over Android als een “giftige hel” van kwetsbaarheden blijft voortduren?
Er zijn een paar redenen. Een daarvan is dat complexiteit vaak erg beangstigend is en dat het verhaal voor het Android-ecosysteem complex is. Er zijn veel verschillende OEM's [fabrikanten van telefoons en tablets] in het ecosysteem, veel verschillende apparaatmodellen.
“[Machine learning] is een van de belangrijkste redenen waarom we de aanvallers een stap voor willen zijn.”
Het is moeilijk om heel beknopt te beschrijven wat er in het Android-ecosysteem gebeurt, net zoals het beschrijven van de menselijke anatomie of de bevolking van de mensheid erg moeilijk is. Maar dat weten wij de geneeskunde wordt steeds beter, en we weten dat mensen langer leven. We weten dat mensen gezonder worden, maar we lezen nog steeds veel verhalen over mensen die sterven, slechte dingen die gebeuren en ziekten.
Ik denk dat dit een spiegel is van wat er gaande is in het Android-ecosysteem. Het is ingewikkeld, dus er is niet vaak een bevredigend, supereenvoudig antwoord, maar over het algemeen wordt het steeds veiliger en robuuster.
We zien ook veel malwareverhalen, maar loopt de gemiddelde Android-gebruiker, die nooit apps downloadt buiten de Play Store, gevaar?
Van Play bedraagt het malware-aantal ongeveer 0,05 procent, wat neerkomt op 5 van de 10.000 apps, dus dat is behoorlijk laag. In termen van het percentage apparaten dat geïnfecteerd raakt, ligt dat in het bereik waarbij niemand zou weten dat het zelfs maar gebeurde als we er niet over zouden praten.
We praten erover om ervoor te zorgen dat er transparantie is over het risiconiveau. Vaak willen platforms niet over dingen praten. Ze knijpen een oogje dicht. We willen graag transparantie over externe actoren en ons beleid en onze processen, zodat we vertrouwen kunnen opbouwen. We willen niet dat mensen blindelings vertrouwen.
Ik vermoed dat, zeker in het Android-ecosysteem, de Play Store de schoonste app store is. Ik kan me voorstellen dat het vergelijkbaar is met andere app-winkels met ecosystemen die meer gesloten zijn. [Wij denken dat Adrian verwijst naar de Apple App Store.]
Nadat we het met veel mensen hebben besproken, kennen we anekdotisch niemand die een Android-malwareprobleem heeft gehad, maar ik heb zelf Windows-problemen gehad. Waarom heeft iedereen het over
Ik denk dat we de Windows-malware zat zijn en dat het dus niet leuk meer is om erover te praten. Android was een beetje het nieuwe, opwindende ding.
Alles wat ik heb gezien laat dat zien in het hele Android-ecosysteem. De honderden miljoenen apparaten die via Google Play worden geïnstalleerd, zijn een orde van grootte schoner dan een beheerde bedrijfsvloot van Windows-apparaten. Ons infectiepercentage bedraagt wereldwijd een half procent, terwijl het voor beheerde Windows-apparaten hoger is, en voor consumentenhuishoudens is het infectiepercentage voor Windows-apparaten nog hoger.
Maar Android is spannend. Het is een groeiende markt. Het is een groeiende markt voor consumenten, maar ik denk dat het ook een groeiende markt is voor de beveiligingsindustrie, dus ze zijn er erg in geïnteresseerd ervoor te zorgen dat mensen zich bewust zijn van deze dingen en erover nadenken. Dat is de vorm van communicatie rond het platform.
Als u malware aantreft, welk type komt dan het meest voor?
Het meeste van wat we zien is commercieel van aard. Ze proberen doorgaans geld te verdienen en het mechanisme om geld te verdienen op mobiel is het installeren van applicaties. We zien wel nichegevallen van apps die achter bankwachtwoorden of dergelijke aan gaan, maar de eenvoudigste manier om inkomsten te genereren is door een app te installeren. Een zeer groot percentage houdt verband met wat wij vijandige downloaders noemen.
Wat interessant is, is dat de apps die ze installeren op zichzelf niet schadelijk zijn. Het kan een spel zijn dat promotie wil maken, of het kan een andere dienst zijn waarbij ze profiteren van marktdistributie. Het eindresultaat is niet het soort dingen waar mensen aan denken als ze aan malware denken. Het is vaak niet iemand die uw gegevens probeert te stelen.
Daar is spyware. Ik wil niet suggereren dat het niet bestaat. We hebben deze week zelfs een bericht geplaatst waarin we een zeer geavanceerde spyware beschrijven die we hebben gevonden, maar die stond op 25 apparaten. Het is zeker niet het soort ding dat gebruikelijk of het populairst is in het hele ecosysteem.
Is er iets inherent minder veilig aan Android vergeleken met andere mobiele besturingssystemen?
Ik denk niet dat er iets inherent minder veilig is aan het platform. Ik denk dat de complexiteit het moeilijker maakt om uitspraken te doen op platformniveau.
Mensen vergelijken iPhone graag met Android. De iPhone is een toestel met een besturingssysteem van een fabrikant, feitelijk gaat het om vijf verschillende toestellen. Als je naar één fabrikant kijkt
Misschien is het vergelijken van de Pixel- en Nexus-lijn met de iPhone eerlijker?
Ja, qua hardware zeer vergelijkbaar – vergelijkbare beveiligingseigenschappen. De appstores hebben vergelijkbare beveiligingseigenschappen, geverifieerde apps en applicatie-isolatie – zeer vergelijkbare beveiligingseigenschappen. Beiden streven naar snelle updates.
"Als je Samsung met iOS vergelijkt, ben je al ongeveer twintig keer complexer, in termen van dit apparaat versus dat apparaat."
Waar je differentiatie tegenkomt, is transparantie. Android is opensource. Die informatie is voor iedereen beschikbaar. We moedigen onderzoek door derden aan via ons beveiligingsbeloningsprogramma, dus dat weten we niet alleen zoeken wij naar issues op het platform, maar andere mensen ook en dat maakt veel uit verschil.
Ik denk dat de services ook een groot verschil maken. We hebben bewust ontworpen in zichtbaarheid en de mogelijkheid om apparaten in het veld te controleren, terwijl dat op geen enkel ander platform bestaat. Het betekent dat we feedback krijgen op veel kleine dingen die gebeuren en daar op kunnen reageren.
Hoe bestrijd je de trage uitrol van beveiligingsupdates voor niet-stock Android-apparaten? Is het frustrerend?
We waarderen het enorm hoeveel mensen Android hebben geadopteerd en hoeveel apparaten dat hebben
We hebben het afgelopen jaar veel tijd besteed aan het helpen van degenen die langzamer gaan, om een aantal van hun problemen op te lossen technologische uitdagingen, een aantal van hun technische uitdagingen oplossen, en in sommige gevallen de organisatorische uitdagingen ervan uitdagingen. Het kan zijn dat ze niet over een staf van ingenieurs beschikken om updates te leveren. Misschien hebben ze daar niet over nagedacht, dus vragen we ons af: wat kunnen we doen om u op een punt te brengen waarop u erover heeft nagedacht en het zinvol is?
Het maakt de zaken beslist ingewikkelder, maar het vormt ook de kern van waarom Android zo succesvol is geweest, omdat veel verschillende mensen erin konden springen en apparaten konden gaan bouwen.
Welke actie heeft het Android-team ondernomen om het platform veiliger te maken? En wat is het volgende gebied dat u wilt aanpakken of verbeteren?
Ik vind dat alle stukjes heel mooi bij elkaar passen. Het is een reis van meerdere jaren geweest, maar het cryptografische werk dat we hebben gedaan, het sandboxen dat we hebben gedaan, veel het werk om de uitbuiting moeilijker te maken komt allemaal mooi samen, dus dat zijn de gebieden waar we aan zullen blijven werken op.
Waarom is sandboxen belangrijk?
Sandboxing op een fundamenteel niveau gaat over hoe je de ene applicatie van de andere isoleert. Een game is een perfect voorbeeld, een game waarbij mensen er niet over nadenken, maar op een pc zijn games vaak in een netwerk opgenomen. Ze zijn een van de weinige dingen op dat soort apparaten die een netwerkpoortservice hebben, dus dat is een van de engste stukjes software die je op de meeste consumentenapparaten gebruikt. Als je een game compromitteert, kan de auteur van de game volkomen goedaardig zijn, maar die game heeft toegang tot alles op je pc.
Terwijl dat op Android helemaal niet het geval is. Je moet dan ook het kernbesturingssysteem compromitteren om verder te kunnen gaan. Voor ons was dat heel belangrijk om ervoor te zorgen dat je altijd de code van Google, de code van Android, in gevaar moet brengen om op het punt te komen waarop je iets kunt doen dat een gebruiker echt pijn doet.
Hoe belangrijk is het onderzoeksprogramma van derden voor het vinden van bugs en kwetsbaarheden?
Het is eigenlijk heel belangrijk. Vorig jaar betaalden we bijna een miljoen dollar aan onderzoekers. Ik denk dat er ongeveer 120 verschillende onderzoekers waren die problemen ontdekten en deze aan ons rapporteerden. Elke maand komen er tientallen binnen, dus het is erg belangrijk voor ons.
Eén ding dat eigenlijk heel interessant is, is dat we steeds meer meldingen krijgen van problemen, niet in Android, maar in andere componenten van het apparaat. Deze week was er bijvoorbeeld een melding van een probleem in de Wi-Fi-stuurprogramma's van Broadcom dat van invloed was
Begint machinaal leren een rol te spelen? Beschikt u over voldoende gegevens om effectief te zijn?
We hebben nu een enorme hoeveelheid gegevens en we zijn begonnen met het vinden van een aantal machine learning-technieken die heel goed werken voor verschillende soorten dingen. Eén ding waar machine learning heel goed voor werkt, is het vinden van andere applicaties die ook malware zijn. Wanneer we één slechte app vinden, kunnen we diezelfde dag mogelijk duizend of meer applicaties verwijderen waarvan we weten dat ze gerelateerd zijn op basis van machine learning-technieken.
En je verwacht dat dit in de loop van de tijd zal verbeteren? Het is duidelijk aan het leren, dus het zou beter moeten worden?
“Machine learning zorgt ervoor dat we veel sneller beveiligingsmogelijkheden kunnen ontwikkelen.”
Het is een van de belangrijkste redenen dat we de komende jaren de aanvallers een stap voor zullen zijn. Dankzij machinaal leren kunnen we veel sneller beschermingsmogelijkheden ontwikkelen dan een mens zijn schuilplaatsen kan verbeteren. Dat is uiteindelijk de reden waarom malware in het verleden persistent is geweest – omdat zelfs zeer kleine veranderingen deze kunnen verbergen effectief. Dat zal niet meer het geval zijn.
Betekent het aanscherpen van de beveiliging dat een deel van de openheid en aanpasbaarheid verloren gaat, waardoor Android het populairste mobiele besturingssysteem ter wereld is geworden?
Helemaal niet. De openheid, aanpasbaarheid en veiligheid van Android behoren allemaal tot de grootste sterke punten. Wij denken dat het mogelijk is om op alle drie de punten te blijven verbeteren.
Wanneer we worden geconfronteerd met een kenmerk dat deze principes in conflict lijkt te brengen, zullen we ons uiterste best doen om een evenwichtige aanpak te vinden. Een veel voorkomende strategie is om de standaard veiliger te maken (om zoveel mogelijk gebruikers te beschermen) terwijl gebruikers keuzevrijheid hebben (om maatwerk mogelijk te maken).
We doen hetzelfde met OEM's [apparaatfabrikanten], waarbij we een beveiligingsmodel definiëren dat robuust is, maar ook talloze mogelijkheden biedt om te innoveren en aan te passen. De resulterende diversiteit is op zichzelf al een verbetering van de veiligheid, omdat bekend is dat monoculturen gevoeliger zijn voor systeemrisico's. En in sommige gevallen leidt dat maatwerk tot innovatieve beveiligingsverbeteringen, wat een zegen is voor het ecosysteem.
Denkt u dat antivirus-, antimalware- en andere Android-beveiligingsapps van derden nodig zijn?
We doen er alles aan om van de gratis bescherming van Google Play de beste bescherming ter wereld te maken. We denken al dat we dat hebben bereikt, en we zullen doorgaan met het publiceren van informatie die het voor anderen mogelijk maakt om het nog eens te controleren en voor zichzelf te bevestigen.
Welk advies zou u een Android-gebruiker met beveiligingsproblemen geven? Welke acties brengen hen mogelijk in gevaar en wat kunnen ze doen om veilig te blijven?
We hebben een Helpcentrum-artikel over dit onderwerp gepubliceerd, hier.
Aanbevelingen van de redactie
- Je Google One-abonnement heeft zojuist twee grote beveiligingsupdates gekregen om je online veilig te houden
- Wanneer krijgt mijn telefoon Android 13? Google, Samsung, OnePlus en meer
- Google betaalt een historische boete van $85 miljoen voor het illegaal volgen van Android-telefoons
- Android 13 is er en je kunt het nu downloaden op je Pixel-telefoon
- Met geoptimaliseerde apps zullen Android-tablets eindelijk meer zijn dan grote telefoons
