Czy Android jest naprawdę niebezpieczny? Zapytaliśmy ekspertów
Android to najpowszechniej używana platforma mobilna na świecie. Ponad 1,4 miliarda ludzi codziennie korzysta ze smartfona lub tabletu z Androidem, a fakt, że jest to oprogramowanie typu open source i bezpłatne dla producentów, w dużej mierze przyczynia się do tej popularności. Otwartość to jednak miecz obosieczny: doprowadziła do sytuacji, w której wiele telefonów z Androidem nie jest regularnie aktualizowanych o najnowsze poprawki zabezpieczeń.
Widmo złośliwego oprogramowania rozciągnęło się nad nami Android przez ostatnie kilka lat badacze odkryli bardzo ważne luki w zabezpieczeniach, takie jak Trema. Negatywne wieści napływają tak szybko i gęsto, że trudno je spojrzeć na nie z odpowiedniej perspektywy. W zeszłym tygodniu o tym pisaliśmy Złośliwe oprogramowanie FalseGuide, co mogło mieć wpływ aż do 1,8 mln Android użytkownicy.
Jeśli znajdziesz się na pierwszych stronach gazet, wybaczone zostaną ci wątpliwości Android bezpieczeństwo, ale gdzie jest granica między hiperbolą a prawdziwym ryzykiem? Czy platforma jest naprawdę niebezpieczna?
Powiązany
Co to jest pamięć UFS 3.0? Zapytaliśmy eksperta o dyski SSD do telefonów
„Nie, to nie jest niebezpieczne. Uważam, że mamy pewien problem z percepcją, ale bardzo różni się on od rzeczywistego ryzyka użytkownika” – Adrian Ludwig, dyrektor ds. Android Bezpieczeństwo” – powiedział Digital Trends w niedawnym wywiadzie. „Prace kryptograficzne, które wykonaliśmy, piaskownica, którą wykonaliśmy, i mnóstwo pracy mającej na celu utrudnienie eksploatacji, wszystko ładnie się ze sobą łączy”.
Nie ma wątpliwości, że najnowsze wersje Android są bezpieczniejsze niż ich poprzednicy, ale problem polega na tym, że jest ich wiele Android użytkownicy nigdy nie odczują korzyści. Patrząc wstecz na rok 2016 w post na blogu, Android zespół ds. bezpieczeństwa przyznał, że mniej więcej połowa urządzeń używanych na koniec 2016 roku nie otrzymywała aktualizacji od co najmniej 12 miesięcy.
„Osiemdziesiąt cztery procent telefonów nie jest aktualizowanych, co oznacza, że większość urządzeń mobilnych jest nadal zagrożona”.
„Aktualne wersje Google Android można uznać za bezpieczne” – powiedział Digital Trends Maik Morgenstern, dyrektor generalny organizacji oceniającej oprogramowanie antywirusowe AV-Test. „Ale zwłaszcza u wielu starszych osób Android wersjach pojawia się coraz więcej luk w zabezpieczeniach, a wielu dostawców nie dostarcza aktualizacji dla swoich urządzeń. Obecnie znanych jest ponad 800 luk w zabezpieczeniach.”
Jeśli spojrzymy na oficjalne dane dotyczące dystrybucji dla Androida według stanu na kwiecień stwierdzamy, że tylko 4,9 proc Android urządzenia korzystają z najnowszych wersji Nougat 7.0 lub 7.1. To rozczarowująco mały wycinek całości. Patrząc dalej wstecz, Android 6.0 Marshmallow działa na 31,2 procentach urządzeń, Android Lollipop w wersji 5.0 lub 5.1 znajduje się na 31 procentach urządzeń, a jedna piąta Android urządzenia nadal działają Android 4.4 KitKata. Większość tych urządzeń ma starsze wersje Android prawdopodobnie nigdy nie zostaną zaktualizowane.
„Osiemdziesiąt cztery procent telefonów nie jest modernizowanych, co oznacza, że większość urządzeń mobilnych jest nadal zagrożona” – Joshua J. Drake, wiceprezes ds. badań i eksploatacji platform w Zimperium, powiedział Digital Trends.
Zimperium to firma zajmująca się bezpieczeństwem mobilnym; Kaczor odkrył lukę w zabezpieczeniach Stagefright w 2015 roku. Miał potencjał, aby dać hakerom kontrolę nad Android urządzenie poprzez złośliwy kod w pliku audio lub wideo — według ówczesnych raportów nawet 95 procent urządzeń było na to podatnych. Drake powiedział nam, że niektóre urządzenia są nadal podatne na ataki.
Chociaż potencjalne szkody były przerażające, nie jest jasne, na jaki wpływ Android użytkownicy byli.
„Minęło półtora roku, czyli prawie dwa lata, odkąd dowiedzieliśmy się o tej sprawie, a wciąż nie wiemy, czy kogokolwiek faktycznie to dotyczy” – powiedział Ludwig.
Ale Drake się z tym nie zgadza.
Maik Morgenstern, dyrektor generalny i dyrektor techniczny AV Test
„Wiemy, że miały miejsce ataki ukierunkowane wykorzystujące luki w zabezpieczeniach bibliotek libstagefright i serwera multimediów” – powiedział. „Wiemy, że ogólnie rzecz biorąc, trudno jest udowodnić negatywną opinię i szanujemy wysiłki Google mające na celu lepsze zabezpieczenie ich platformy, ale bez czujnika w urządzeniu nikt nie jest w stanie poznać ryzyka lub stanu zagrożenia związanego z jakimkolwiek urządzeniem – zwłaszcza a mobilny.”
Problem polega na tym, że nie jest łatwo stwierdzić, czy zostałeś skutecznie zaatakowany. W następstwie odkrycia Stagefrighta firma ochroniarska założyła Sojusz na rzecz słuchawek Zimperium usprawnienie komunikacji między badaczami, operatorami sieci komórkowych, twórcami aplikacji mobilnych i dostawcami urządzeń.
„Należy zachęcać badaczy, aby zaglądali do comiesięcznych aktualizacji zabezpieczeń i próbowali wykorzystywać te luki w celu promowania lepszego instalowania poprawek i ogólnie bezpieczniejszego mobilnego świata” – powiedział Drake.
Firma Google podjęła kilka ważnych kroków w celu zmniejszenia zagrożeń bezpieczeństwa, publikując comiesięczne łatki i rozkładając elementy Android aby ułatwić wypychanie aktualizacji. Ale starsze wersje Android zostały pozostawione.
The Problem z fragmentacją Androida nie jest łatwo rozwiązać. Namawianie przewoźników i producentów do aktualizacji swoich Android urządzeń okazało się dla Google bardzo trudne. Trafiło bezpośrednio w ręce opozycji. Tim Cook z Apple słynnie odwoływał się do: Artykuł ZDNet zatytułowany "Android fragmentacja zamieniająca urządzenia w toksyczne piekło luk” na slajdzie podczas WWDC w 2014 r. Ale czy iOS naprawdę jest o wiele lepszy? A jeśli tak, to dlaczego?
„Odnosiło się wrażenie, że bezpieczeństwo iOS jest lepsze niż Android bezpieczeństwa, ale niekoniecznie tak jest” – powiedział Drake.
Ponieważ Android jest oprogramowaniem typu open source, badaczom bezpieczeństwa łatwiej jest znaleźć wady i zaproponować poprawki. Zamknięty charakter iOS utrudnia badaczom sprawdzenie, co się dzieje, powiedział. Morgenstern zgadza się z tą oceną, ale wskazuje na istotną różnicę, która sprawia, że złośliwe oprogramowanie stanowi większe ryzyko Android.
„Dopóki każda aktualizacja nie dotrze do wszystkich urządzeń, nadal jesteśmy zagrożeni”.
"Dla Android użytkownikom łatwo jest instalować aplikacje z dowolnego źródła” – wyjaśnia Morgenstern. „Dzięki temu łatwo jest przenieść złośliwe aplikacje na urządzenie. Sposób, w jaki inne platformy sobie z tym radzą, jest znacznie bardziej rygorystyczny, zezwalając jedynie na instalacje z ich zamkniętych rynków.
Android jest dużym celem. Przy tak dużej bazie użytkowników i otwartym kodzie źródłowym jest to atrakcyjny łup dla cyberprzestępców. AV-Test rejestruje do 30 000 nowych Android próbki złośliwego oprogramowania każdego dnia. To przerażająca liczba, ale niepokojąca Android użytkownicy mogą podjąć działania radykalnie zmniejszyć ryzykuj, korzystając z aplikacji Google Play, aktualizując urządzenia, gdy tylko zostaną udostępnione poprawki, i używając aplikacje zabezpieczające Androida innych firm.
Zarówno Drake, jak i Morgenstern przestrzegają również przed łączeniem się z nieznanymi sieciami i hotspotami Wi-Fi, przynajmniej bez korzystania z przyzwoitych Aplikacje VPN na Androida.
„Nasze dane pokazują, że większość ataków ma charakter sieciowy i nie rozróżniają one systemów iOS, Androidlub inny” – wyjaśnia Drake. „Kiedy osoba atakująca po cichu przechwyci i przekieruje ruch sieciowy, każde urządzenie staje się niebezpiecznie podatne na ataki inwazyjny nadzór, spersonalizowane łowienie z kuszą, dostarczanie exploitów na platformach lub dowolna liczba innych kolejnych ataków”.
Android bezpieczeństwo się poprawia. Możemy wskazać na szybsze aktualizacje, szyfrowanie urządzeń, prośby o pozwolenie, piaskownicę aplikacji w celu izolacji aplikacje od siebie, ograniczony dostęp do zasobów i automatyczne skanowanie pod kątem złośliwego oprogramowania w Play Sklep. Ale najwyraźniej jest jeszcze wiele do zrobienia.
„W zeszłym roku zapłaciliśmy badaczom prawie milion dolarów” – powiedział Ludwig z Google, zapytany o znaczenie badań prowadzonych przez strony trzecie. Jednak pomimo tego programu badawczego Drake uważa, że potrzeba więcej.
"Ulepszyć Android Ogólnie rzecz biorąc, Google musi ściślej współpracować z dostawcami zabezpieczeń” – powiedział. „Apple i inni dostawcy zacieśnili współpracę, ale Google ją ograniczyła. Filozofia Google jest taka, że mogą zrobić wszystko samodzielnie, ale to tylko szkodzi użytkownikom i niestety przynosi korzyść autorom złośliwego oprogramowania.
Ostatecznie kwestia Android bezpieczeństwo może zależeć od urządzenia, którego używasz. Jeśli masz dwu- lub trzyletni telefon ze starszą wersją Android i nie był aktualizowany od miesięcy, masz powód do niepokoju. Z kolei właściciele Pixela Google otrzymują na czas najnowsze aktualizacje zabezpieczeń, przynajmniej przez kilka następnych lat.
Trudno powiedzieć, ile czasu upłynie przed większością Android urządzenia korzystają z systemu Nougat lub nowszej wersji Android, ale nawet wtedy problemem pozostanie powolne tempo aktualizacji od niektórych producentów i operatorów.
„Dopóki każda aktualizacja nie dotrze do wszystkich urządzeń, nadal jesteśmy zagrożeni” – powiedział Morgenstern.
Możesz znaleźć więcej przydatnych porad, jak zachować bezpieczeństwo na swoim Android telefon w naszym Przewodnik po bezpieczeństwie Androida.
Zalecenia redaktorów
Czy promieniowanie telefonu komórkowego jest rzeczywiście niebezpieczne? Zapytaliśmy kilku ekspertów
