Ideen om at Android-plattformen er usikker er populær og vedvarende. Og muligens feil.
Det går knapt en uke uten en ny overskrift om en nylig avdekket sårbarhet eller ny skadelig programvare som påvirker millioner av enheter.
Disse problemene forsterkes av det faktum at Android økosystemet er komplisert. Fragmentering gjør det utrolig vanskelig å oppdatere plattformen. En mengde forskjellige enhetsprodusenter bygger tusenvis av forskjellige telefoner og nettbrett som kjører forskjellige versjoner av Android. Som et resultat tar det måneder å rulle ut oppdateringer med sikkerhetsreparasjoner – eller enda verre, aldri i det hele tatt. For mange produsenter oppdaterer bare flaggskipene sine, og etterlater kjente sårbarheter i eldre og mindre enheter som kan sette brukere i fare.
I slekt
- Google har nettopp annonsert 9 nye funksjoner for Android-telefonen og klokken din
- Google Chrome får Android-nettbrettoppdateringen du har ventet på
- Google vil at du skal vite at Android-apper ikke bare er for telefoner lenger
Vurder en sårbarhet som Sceneskrekk, som kan gi hackere kontroll over en Android-enhet gjennom ondsinnet kode i en lyd- eller videofil. Rapporter antydet at opptil 95 prosent av enhetene var sårbare. Men hvor mange ble egentlig berørt?
«Her er vi et og et halvt år inne, nesten to år siden vi først fant ut om det, og vi fortsatt vet ikke at noen faktisk er berørt, sier Adrian Ludwig, direktør for Android Security, til Digital Trender.
Bekymringen var at Google utarbeidet reparasjoner relativt raskt og rullet dem ut til Googles Nexus-linje med enheter umiddelbart. Patcher for andre enheter kom ut etter produsentenes skjønn.
Det betyr at hvis du har en Google Pixel med den nyeste Android 7.0 Nougat drar du nytte av den nyeste sikkerheten, men noen med en telefon som kjører KitKat (20 prosent av
Det er et vanskelig problem som ikke er lett å løse, men Android-sikkerhetsteamet har jobbet hardt for å redusere risikoen for brukere. Skremmende statistikk gir gode overskrifter, men gjør det
"Jeg tror vi har litt av et oppfatningsproblem, men det er veldig forskjellig fra faktisk brukerrisiko," forklarte Ludwig. "Det kryptografiske arbeidet vi har gjort, sandkassen vi har gjort, og mye av arbeidet for å gjøre utnyttelse vanskeligere, kommer alt sammen fint."
Digital Trends snakket med Ludwig på Google Hangouts for å finne ut den nåværende tilstanden til Android-sikkerhet, spør om folk egentlig burde Vær bekymret for overskrifters sårbarheter og skadelig programvare, og finn ut hva Google gjør med fragmentering for å muliggjøre større sikkerhet oppdateringer.
Digitale trender: Er Android virkelig usikker?
Adrian Ludwig: Nei, det er ikke utrygt. Det er mange ting vi har gjort som har flyttet forventningene fremover de siste par årene.
For Mac eller Windows måtte du ha tredjeparts antivirusbeskyttelse, men vi sa at vi skal gjøre det for alle og gjøre det gratis.
Application sandboxing er et relativt nytt konsept i Android-sikkerhetsverdenen – ideen om at applikasjoner ikke har tilgang til alle dine brukerdata, men bare ha tilgang til dataene deres er helt nytt, det er ikke noe som eksisterer på Mac, det er ikke noe som eksisterer på Windows.
"Vi har litt av et oppfatningsproblem, men det er veldig forskjellig fra faktisk brukerrisiko."
Så er det enhetskryptering. De fleste bedrifter har det ikke slått på hele tiden. Det er satt en forventning i mobilområdet om at alt skal være kryptert hele tiden, og det er til og med en forventning om at det er kommer til å bli kryptert så godt at det vil være vanskelig selv for et sofistikert angrep å få tilgang til disse dataene uten bruker autorisasjon.
Vi har også lært mye om hvordan de dårlige skuespillerne fungerer og hva de prøver å gjøre, og vi er nå på et lite vendepunkt. De første årene lærte vi, bygde vår forståelse og forbedret teknologistabelen vår. Nå kan vi holde tritt med de dårlige skuespillerne. Antallet skadelig programvare er for eksempel relativt flatt de siste tre eller fire årene, men jeg tror dette er året hvor vi er kommer til å se dem falle, kanskje falle betydelig, fordi vi har kommet til et punkt hvor vi har nok ferdigheter og erfaring. Vi er nå i stand til å bevege oss raskere enn aktørene, fange dem raskere og iverksette tiltak mer effektivt på tvers av hele økosystemet enn vi kunne før.
Jeg tror vi er ved et vendepunkt der vi selv etter Android-standarder kommer til å begynne å se ganske betydelige forbedringer med hensyn til skadelig programvare.
Det er fortsatt mer å gjøre, men det er lett å glemme hvor langt vi har kommet de siste fem årene.
Vi ser mange rapporter om sårbarheter med skremmende statistikk. Hva er den realistiske risikoen for at Android-enheten din blir utnyttet eller kapret? For eksempel ble noe som Stagefright sagt å potensielt påvirke 95 prosent av
Her er vi et og et halvt år inne, nesten to år siden vi først fant ut om det, og vi vet fortsatt ikke at noen faktisk er berørt. Det går rykter om at et lite antall enheter kan ha blitt påvirket, men selv de har vi ikke fått noen underbygget bevis for.
Og stol på meg, hver gang vi hører et slikt rykte prøver vi å jage det ned. Vi går og snakker med selskapet som kommer med den uttalelsen. Vi spør om det er data de kan dele. Vi har aldri vært i stand til å underbygge noen av disse tallene. Jeg kan definitivt si at det ikke var 900 millioner enheter berørt.
Absolutt, overskriftene og spenningen var uforholdsmessige med virkeligheten, og det kan være at ingen ble berørt. Noe som er utrolig synes jeg, selv når jeg ser tilbake på meg selv, er det alltid en bekymring for at det kan være noe du ikke ser, men tiden ser ut til å være det som avslører de blinde flekkene.
Jeg har jobbet med Android-sikkerhet de siste seks årene, og hver gang du ser i et område der noen har sagt «det er en blind flekk», finner vi ingenting. Så tidlig var det "det er tonnevis med skadelig programvare i Google Play", og vi så, det var noen, vi fjernet det. Så hører vi «det er utenfor Google Play», vi ser, det er noen, vi har på plass ganske gode beskyttelser. Så "kommer det til å klatre neste år", og det skjedde heller ikke. Nå, "det er sårbarheter som kommer til å bli utnyttet," men vi ser det ikke.
Gang på gang beveger vi oss fremover i hvor vi ser og sjekker vi gjør og tjenestene vi tilbyr for å lete etter dårlige skuespillere, men vi ser bare ingen reell skade.
Når det er sagt, ønsker vi å være så forsiktige som vi kan, og derfor investerer vi i tjenester for å se i alle de små mørke smugene. Vi jobber også med partnere for å sikre at de er i stand til å svare så raskt som mulig, så det er der vi har investert mye i sikkerhetsoppdateringer, ikke fordi vi ser mye faktisk utnyttelse, men fordi vi ikke vil at det skal være en risiko som noen gang blir realisert.
Mye handler om å ligge i forkant og aldri komme til et punkt der det er et problem.
Hvorfor tror du denne fortellingen om at Android er en "giftig helvetesgryte" av sårbarheter vedvarer?
Det er noen få grunner. Den ene er at kompleksitet ofte er veldig skummelt, og fortellingen for Android-økosystemet er kompleks. Det er mange forskjellige OEM-er [telefon- og nettbrettprodusenter] i økosystemet, mange forskjellige enhetsmodeller.
"[Maskinlæring] er en av hovedårsakene til at vi vil gå foran angriperne."
Veldig kortfattet beskrivelse av hva som skjer i Android-økosystemet er vanskelig, omtrent på samme måte som å beskrive menneskelig anatomi eller menneskehetens befolkning er veldig vanskelig. Men det vet vi medisinen blir bedre, og vi vet at folk lever lenger. Vi vet at folk blir friskere, men vi leser fortsatt mange historier om mennesker som dør, dårlige ting som skjer og sykdommer.
Jeg tror det er et speil av hva vi har på gang i Android-økosystemet. Det er komplisert, så det er ikke ofte et tilfredsstillende, superenkelt svar, men totalt sett blir det mer og mer sikkert og robust.
Vi ser også mange historier om skadelig programvare, men er den gjennomsnittlige Android-brukeren, som aldri laster ned apper utenfor Play Store, i fare?
Fra Play er skadevaretallet omtrent 0,05 prosent, som er 5 av 10 000 apper, så det er ganske lavt. Når det gjelder hvor stor prosentandel av enheter som blir infisert, er det i området der hvis vi ikke snakket om det, ingen ville vite at det en gang skjedde.
Vi snakker om det for å sikre at det er åpenhet om risikonivået. Ofte vil ikke plattformer snakke om ting. De lukker øynene. Vi liker å ha åpenhet til eksterne aktører og våre retningslinjer og prosesser, slik at vi kan bygge tillit. Vi vil ikke at folk skal stole blindt.
Min gjetning vil være, absolutt i Android-økosystemet, Play Store er den reneste appbutikken. Jeg kan tenke meg at den kan sammenlignes med andre appbutikker med økosystemer som er mer lukkede. [Vi tror Adrian sikter til Apple App Store.]
Etter å ha diskutert det med mange mennesker, anekdotisk, kjenner vi ingen som har hatt et Android-skadevareproblem, men jeg har selv hatt Windows-problemer. Hvorfor snakker alle om
Jeg tror vi har blitt lei av Windows-malware, så det er ikke morsomt å snakke om det lenger. Android var liksom den nye, spennende tingen.
Alt jeg har sett viser det på tvers av Android-økosystemet. De hundrevis av millioner enheter som installeres fra Google Play er en størrelsesorden renere enn en administrert bedriftsflåte av Windows-enheter. Infeksjonsraten vår er en halv prosent globalt, hvor for administrerte Windows-enheter er den høyere, og for forbrukerhusholdninger er infeksjonsraten for Windows-enheter fortsatt høyere.
Men Android er spennende. Det er et voksende marked. Det er et voksende marked for forbrukere, men jeg tror det også er et voksende marked for sikkerhetsindustrien, så de er veldig interessert i å sørge for at folk er klar over og tenker på disse tingene. Det er formen på kommunikasjonen rundt plattformen.
Når du finner skadelig programvare, hvilken type er mest vanlig?
Det meste av det vi ser er av kommersiell natur. De prøver vanligvis å tjene penger, og mekanismen for å tjene penger på mobil er å installere applikasjoner. Vi ser nisjetilfeller av apper som går etter bankpassord eller slike ting, men den enkleste måten å tjene penger på er å installere en app. En veldig stor prosentandel er relatert til det vi kaller fiendtlige nedlastere.
Det som er interessant er at appene de installerer ikke i seg selv er skadelige. Det kan være et spill som ønsker å få en kampanje, eller det kan være en annen tjeneste hvor de drar nytte av å ha markedsdistribusjon. Sluttresultatet er ikke den typen ting folk tenker på når de tenker på skadelig programvare. Det er ofte ikke noen som prøver å stjele dataene dine.
Der er spyware. Jeg vil ikke antyde at det ikke eksisterer. Vi skrev til og med et innlegg denne uken som beskrev en svært avansert spyware som vi fant, men som var på 25 enheter. Det er absolutt ikke den typen ting som er vanlig eller mest populær i hele økosystemet.
Er det noe iboende mindre sikkert med Android sammenlignet med andre mobile operativsystemer?
Jeg tror ikke det er noe iboende mindre sikkert med plattformen. Jeg tror kompleksiteten gjør det vanskeligere å komme med uttalelser på plattformnivå.
Folk elsker å sammenligne iPhone med Android. iPhone er en enhet med et operativsystem fra en produsent, faktisk dreier det seg om fem forskjellige enheter. Hvis du ser på en produsent fra
Kanskje det kan være mer rettferdig å sammenligne Pixel- og Nexus-linjen med iPhone?
Ja, veldig like maskinvaremessig – lignende sikkerhetsegenskaper. Appbutikkene har lignende sikkerhetsegenskaper, verifiserte apper, applikasjonsisolasjon - veldig like sikkerhetsegenskaper. Begge har en forpliktelse til raske oppdateringer.
"Sammenligner du Samsung med iOS, er du omtrent 20 ganger mer kompleks allerede, når det gjelder denne enheten kontra den enheten."
Hvor du kommer inn i differensiering er i åpenhet. Android er åpen kildekode. Den informasjonen er tilgjengelig for alle. Vi oppmuntrer til tredjepartsforskning gjennom vårt sikkerhetsbelønningsprogram, så vi vet det ikke bare ser vi etter problemer i plattformen, men andre mennesker er det også, og det gjør en stor forskjell.
Jeg tror tjenestene utgjør en stor forskjell også. Vi har med vilje designet synlighet og muligheten til å sjekke enheter i felten, mens det ikke finnes på noen annen plattform. Det betyr at vi får tilbakemelding på mange småting som skjer og vi kan svare på det.
Hvordan bekjemper du den trege utrullingen av sikkerhetsoppdateringer for ikke-lager Android-enheter? Er det frustrerende?
Vi setter stor pris på hvor mange som har tatt i bruk Android og hvor mange enheter som har
Vi har brukt mye tid det siste året på å prøve å hjelpe de som går saktere med å løse noen av teknologiske utfordringer, løse noen av deres tekniske utfordringer, og i noen tilfeller dens organisatoriske utfordringer. De kan mangle en stab av ingeniører til å gi oppdateringer. Kanskje de ikke tenkte på det, så vi spør hva kan vi gjøre for å få deg til et punkt der du har tenkt på det, og det gir mening?
Det gjør definitivt ting mer komplisert, men det er også kjernen i hvorfor Android har vært så vellykket, fordi mange forskjellige mennesker var i stand til å hoppe inn og begynne å bygge enheter.
Hvilke tiltak har Android-teamet tatt for å gjøre plattformen sikrere? Og hva er det neste området du ønsker å ta tak i eller forbedre?
Jeg synes alle bitene henger sammen veldig bra. Det har vært en flerårig reise, men det kryptografiske arbeidet vi har gjort, sandkassen vi har gjort, mye av arbeidet med å gjøre utnyttelse vanskeligere går godt sammen, så det er disse områdene vi kommer til å fortsette å jobbe med på.
Hvorfor er sandkasse viktig?
Sandboxing på et grunnleggende nivå handler om hvordan du isolerer en applikasjon fra en annen. Et spill er et perfekt eksempel, et der folk ikke tenker på det, men på en PC er spill ofte i nettverk. De er en av de få tingene på den typen enhet som har nettverksporttjeneste, så det er en av de skumleste programvarene du kjører på de fleste forbrukerenheter. Hvis du kompromitterer et spill, kan spillforfatteren være perfekt godartet, men det spillet har tilgang til alt på PC-en din.
Mens det på Android ikke er tilfelle i det hele tatt. Du må da også kompromittere kjerneoperativsystemet for å kunne gå utover det. For oss var det veldig, veldig viktig å sørge for at du alltid må kompromittere Googles kode, Androids kode, for å komme til det punktet hvor du kan gjøre noe som virkelig skader en bruker.
Hvor viktig er tredjeparts forskningsprogrammet for å finne feil og sårbarheter?
Det er faktisk veldig viktig. I fjor betalte vi nesten en million dollar til forskere. Jeg tror det var rundt 120 forskjellige forskere som fant problemer og rapporterte dem til oss. Dusinvis kommer inn hver måned, så det er veldig viktig for oss.
En ting som faktisk har skjedd som er veldig interessant, er at vi begynte å få flere og flere rapporter om problemer, ikke i Android, men i andre komponenter som er i enheten. For eksempel var det denne uken en rapport om et problem i Broadcoms Wi-Fi-drivere som påvirket
Begynner maskinlæring å spille en rolle? Har du nok data til at det er effektivt?
Vi har en enorm mengde data nå, og vi har begynt å finne noen maskinlæringsteknikker som fungerer veldig bra for forskjellige typer ting. En ting maskinlæring fungerer veldig bra for, er å finne andre programmer som også er skadelig programvare. Når vi finner én dårlig app, kan vi kanskje ta ned tusen eller flere applikasjoner samme dag som vi vet er relatert basert på maskinlæringsteknikker.
Og du forventer at det vil forbedre seg over tid? Det er klart at det lærer, så det burde bli bedre?
"Maskinlæring lar oss utvikle beskyttelsesevner mye raskere."
Det er en av hovedårsakene til at vi i løpet av de neste par årene vil komme angriperne foran. Maskinlæring lar oss utvikle beskyttelsesevner mye raskere enn et menneske kan forbedre skjul, som til syvende og sist er grunnen til at malware tidligere har vært vedvarende - fordi selv svært små endringer kan skjule det effektivt. Det kommer ikke til å være tilfelle lenger.
Betyr stramming av sikkerheten å miste noe av åpenheten og tilpasningsmulighetene som har bidratt til å gjøre Android til det mest populære mobile operativsystemet i verden?
Ikke i det hele tatt. Åpenheten, tilpassbarheten og sikkerheten til Android er alle dens største styrker. Vi tror det er mulig å fortsette å forbedre seg på alle tre.
Når vi blir konfrontert med en funksjon som ser ut til å sette disse prinsippene i konflikt, vil vi strekke oss langt for å finne en tilnærming som er balansert. En vanlig strategi er å ha standarden til å være sikrere (for å beskytte så mange brukere som mulig) samtidig som brukerne tillater valg (for å tillate tilpasning).
Vi gjør det samme med OEM-er [enhetsprodusenter], og definerer en sikkerhetsmodell som er robust, men som også gir en myriade av muligheter til å innovere og tilpasse. Det resulterende mangfoldet er i seg selv en sikkerhetsforbedring, ettersom monokulturer er kjent for å være mer utsatt for systemisk risiko. Og i noen tilfeller fører denne tilpasningen til innovative sikkerhetsforbedringer, noe som er en velsignelse for økosystemet.
Tror du at antivirus, anti-malware og andre tredjeparts Android-sikkerhetsapper er nødvendige?
Vi er forpliktet til å gjøre den gratis beskyttelsen som tilbys av Google Play til den beste beskyttelsen i verden. Vi tror allerede at vi har oppnådd det, og vi vil fortsette å publisere informasjon som gjør det mulig for andre å dobbeltsjekke og bekrefte det selv.
Hvilke råd vil du gi en Android-bruker med sikkerhetsproblemer? Hvilke handlinger kan sette dem i fare, og hva kan de gjøre for å holde seg trygge?
Vi har publisert en brukerstøtteartikkel om dette emnet, her.
Redaktørenes anbefalinger
- Google One-abonnementet ditt har nettopp fått to store sikkerhetsoppdateringer for å holde deg trygg på nettet
- Når får telefonen min Android 13? Google, Samsung, OnePlus og flere
- Google betaler en historisk bot på 85 millioner dollar etter ulovlig sporing av Android-telefoner
- Android 13 er her, og du kan laste den ned på Pixel-telefonen din akkurat nå
- Med optimaliserte apper vil Android-nettbrett endelig være mer enn store telefoner
