Pogląd, że platforma Android jest niebezpieczna, jest popularny i trwały. I całkiem możliwe, że błędne.
Nie ma tygodnia bez nowego nagłówka o świeżo odkrytej luce w zabezpieczeniach lub nowym złośliwym oprogramowaniu wpływającym na miliony urządzeń.
Problemy te pogłębia fakt, że Android ekosystem jest skomplikowany. Podział sprawia, że aktualizacja platformy jest niezwykle trudna. Wielu różnych producentów urządzeń buduje tysiące różnych telefonów i tabletów z różnymi wersjami Androida. W rezultacie aktualizacje zawierające poprawki zabezpieczeń zajmują miesiące lub, co gorsza, nie pojawiają się wcale. Zbyt wielu producentów aktualizuje jedynie swoje flagowce, pozostawiając znane luki w zabezpieczeniach starszych i mniejszych urządzeń, które mogą narazić użytkowników na ryzyko.
Powiązany
- Firma Google właśnie ogłosiła 9 nowych funkcji dla Twojego telefonu i zegarka z Androidem
- Przeglądarka Google Chrome otrzymuje aktualizację tabletu z Androidem, na którą czekałeś
- Google chce, żebyś wiedział, że aplikacje na Androida nie są już przeznaczone tylko na telefony
Rozważ lukę w zabezpieczeniach, taką jak Trema, co może dać hakerom kontrolę nad urządzeniem z Androidem poprzez złośliwy kod w pliku audio lub wideo. Raporty sugerują, że aż 95 procent urządzeń było podatnych na ataki. Ale ilu faktycznie to dotyczyło?
„Tutaj minęło półtora roku, prawie dwa lata, odkąd dowiedzieliśmy się o tym po raz pierwszy i nadal trwamy nie wiem, czy kogokolwiek to faktycznie dotyczy” – powiedział Digital Adrian Ludwig, dyrektor ds. bezpieczeństwa Androida Trendy.
Problem polegał na tym, że Google stosunkowo szybko opracował poprawki i natychmiast wdrożył je na urządzeniach Google Nexus. Łatki dla pozostałych urządzeń wyszły według uznania producentów.
Oznacza to, że jeśli masz Google Pixel Dzięki najnowszemu Androidowi 7.0 Nougat korzystasz z najnowszych zabezpieczeń, ale ktoś, kto ma telefon z systemem KitKat (20 proc.
To drażliwy problem, którego nie można łatwo rozwiązać, ale zespół ds. bezpieczeństwa Androida ciężko pracował, aby zmniejszyć ryzyko dla użytkowników. Przerażające statystyki trafiają na dobre nagłówki, ale tak się dzieje
„Myślę, że mamy pewien problem z percepcją, ale bardzo różni się on od rzeczywistego ryzyka dla użytkownika” – wyjaśnił Ludwig. „Prace kryptograficzne, które wykonaliśmy, piaskownica, którą wykonaliśmy, i mnóstwo pracy mającej na celu utrudnienie eksploatacji, wszystko ładnie się ze sobą łączy”.
Digital Trends rozmawiał z Ludwigiem na Google Hangouts, aby dowiedzieć się, jaki jest aktualny stan bezpieczeństwa Androida i zapytać, czy ludzie naprawdę powinni bądź zaniepokojony głównymi lukami w zabezpieczeniach i złośliwym oprogramowaniem oraz dowiedz się, co Google robi w sprawie fragmentacji, aby zapewnić szersze bezpieczeństwo aktualizacje.
Trendy cyfrowe: czy Android naprawdę jest niebezpieczny?
Adrian Ludwig: Nie, to nie jest niebezpieczne. Jest wiele rzeczy, które zrobiliśmy, które w ciągu ostatnich kilku lat posunęły oczekiwania do przodu.
W przypadku komputerów Mac lub Windows konieczna była ochrona antywirusowa innej firmy, ale powiedzieliśmy, że zrobimy to dla wszystkich i udostępnimy ją za darmo.
Sandboxing aplikacji to stosunkowo nowa koncepcja w świecie zabezpieczeń Androida – pomysł, że aplikacje nie mają dostępu do wszystkich danych użytkowników, ale tylko dostęp do ich danych, jest czymś zupełnie nowym, nie jest to coś, co istnieje na komputerze Mac, nie jest to coś, co istnieje na Okna.
„Mamy pewien problem z percepcją, ale bardzo różni się on od rzeczywistego ryzyka dla użytkownika”.
Następnie następuje szyfrowanie urządzenia. Większość przedsiębiorstw nie ma tego włączonego przez cały czas. W przestrzeni mobilnej panuje oczekiwanie, że wszystko powinno być cały czas szyfrowane, a nawet oczekuje się, że tak się stanie będą zaszyfrowane tak dobrze, że nawet w przypadku wyrafinowanego ataku będzie trudno uzyskać dostęp do tych danych bez użytkownika upoważnienie.
Dowiedzieliśmy się także wiele o tym, jak działają źli aktorzy i co próbują zrobić, i teraz znaleźliśmy się w punkcie zwrotnym. Przez pierwsze kilka lat uczyliśmy się, budowaliśmy nasze zrozumienie i ulepszaliśmy nasz stos technologii. Teraz możemy dotrzymać kroku złym aktorom. Na przykład wskaźniki złośliwego oprogramowania utrzymują się na stosunkowo stałym poziomie w ciągu ostatnich trzech lub czterech lat, ale myślę, że jest to rok, w którym zobaczymy, jak spadną, być może znacznie, ponieważ doszliśmy do punktu, w którym mamy wystarczające umiejętności i doświadczenie. Jesteśmy teraz w stanie poruszać się szybciej niż aktorzy, szybciej ich łapać i podejmować działania w całym ekosystemie skuteczniej niż wcześniej.
Myślę, że jesteśmy w punkcie zwrotnym, w którym nawet jak na standardy Androida zaczniemy zauważać dość znaczącą poprawę w zakresie złośliwego oprogramowania.
Jest jeszcze wiele do zrobienia, ale łatwo zapomnieć, jak daleko zaszliśmy w ciągu ostatnich pięciu lat.
Widzimy wiele raportów na temat luk w zabezpieczeniach, których statystyki są przerażające. Jakie jest realistyczne ryzyko wykorzystania lub porwania Twojego urządzenia z Androidem? Na przykład mówi się, że coś takiego jak Stagefright może mieć wpływ na 95 procent ludzi
Minęło już półtora roku, czyli prawie dwa lata, odkąd dowiedzieliśmy się o tym po raz pierwszy, i nadal nie wiemy, czy kogokolwiek faktycznie to dotyczy. Krążą pogłoski, że problem mógł dotyczyć niewielkiej liczby urządzeń, ale nawet tych, na które nie mamy żadnych uzasadnionych dowodów.
I zaufaj mi, ilekroć słyszymy takie plotki, staramy się je ścigać. Rozmawiamy z firmą, która składa takie oświadczenie. Pytamy, czy mogą udostępnić dane. Nigdy nie byliśmy w stanie potwierdzić żadnej z tych liczb. Mogę z całą pewnością powiedzieć, że problem nie dotyczył 900 milionów urządzeń.
Z pewnością nagłówki gazet i podekscytowanie były nieproporcjonalne do rzeczywistości i być może nikt nie poczuł się dotknięty. Myślę, że to niesamowite. Nawet patrząc wstecz, zawsze pojawia się obawa, że może jest coś, czego nie widzisz, ale czas wydaje się być tym, co ujawnia te martwe punkty.
Zajmuję się bezpieczeństwem Androida od sześciu lat i za każdym razem, gdy zaglądasz do obszaru, w którym ktoś powiedział „to martwy punkt”, nic nie znajdujemy. Tak więc na początku było „w Google Play mnóstwo złośliwego oprogramowania”, sprawdziliśmy i usunęliśmy je. Potem słyszymy „to jest poza Google Play”, sprawdzamy, jest coś takiego i stosujemy całkiem dobre zabezpieczenia. Potem „w przyszłym roku będzie się wspinać” i tak się nie stało. Teraz „jego luki zostaną wykorzystane”, ale tego nie widzimy.
Raz po raz posuwamy się do przodu w zakresie tego, czego szukamy, przeprowadzanych kontroli i usług, które świadczymy w celu wykrycia złych aktorów, ale po prostu nie widzimy żadnych rzeczywistych szkód.
To powiedziawszy, chcemy zachować jak największą ostrożność, dlatego inwestujemy w usługi umożliwiające zaglądanie we wszystkie te małe ciemne uliczki. Współpracujemy również z partnerami, aby mieć pewność, że będą w stanie odpowiedzieć tak szybko, jak to możliwe, dlatego dużo w to zainwestowaliśmy aktualizacje zabezpieczeń, nie dlatego, że jesteśmy świadkami wielu faktycznych nadużyć, ale dlatego, że nie chcemy, aby było to ryzyko, które kiedykolwiek się pojawi realizowany.
W dużej mierze chodzi o to, by wyprzedzać innych i nigdy nie dochodzić do punktu, w którym pojawia się problem.
Jak myślisz, dlaczego wciąż utrzymuje się ta narracja o Androidzie jako „toksycznej mieszaninie luk w zabezpieczeniach”?
Jest kilka powodów. Po pierwsze, złożoność jest często bardzo przerażająca, a narracja dotycząca ekosystemu Androida jest złożona. W ekosystemie istnieje wielu różnych producentów OEM [producentów telefonów i tabletów], wiele różnych modeli urządzeń.
„[Uczenie maszynowe] to jeden z głównych powodów, dla których możemy wyprzedzić atakujących”.
Bardzo zwięzłe opisanie tego, co dzieje się w ekosystemie Androida, jest trudne, podobnie jak opisanie anatomii człowieka lub populacji ludzkości jest bardzo trudne. Ale to wiemy medycyna jest coraz lepszai wiemy, że ludzie żyją dłużej. Wiemy, że ludzie stają się zdrowsi, ale wciąż czytamy wiele historii o ludziach umierających, dziejących się złych rzeczach i chorobach.
Myślę, że to odzwierciedlenie tego, co dzieje się w ekosystemie Androida. Jest to skomplikowane, więc nieczęsto istnieje satysfakcjonująca, super prosta odpowiedź, ale ogólnie rzecz biorąc, jest ona coraz bezpieczniejsza i niezawodniejsza.
Widzimy także wiele historii dotyczących złośliwego oprogramowania, ale czy przeciętny użytkownik Androida, który nigdy nie pobiera aplikacji poza Sklepem Play, jest zagrożony?
W przypadku Play liczba złośliwego oprogramowania wynosi około 0,05 procent, co stanowi 5 na 10 000 aplikacji, a więc jest dość niska. Jeśli chodzi o odsetek urządzeń, które zostają zainfekowane, mieści się to w zakresie, w którym gdybyśmy o tym nie mówili, nikt by nie wiedział, że coś takiego w ogóle miało miejsce.
Rozmawiamy o tym, aby zapewnić przejrzystość poziomu ryzyka. Często platformy nie chcą o niczym rozmawiać. Przymykają oczy. Lubimy mieć przejrzystość w zakresie podmiotów zewnętrznych oraz naszych polityk i procesów, dzięki czemu możemy budować zaufanie. Nie chcemy, żeby ludzie ufali ślepo.
Domyślam się, że w ekosystemie Androida Sklep Play jest najczystszym sklepem z aplikacjami. Wyobrażam sobie, że można go porównać z innymi sklepami z aplikacjami z bardziej zamkniętymi ekosystemami. [Uważamy, że Adrian ma na myśli Apple App Store.]
Anegdotycznie, po omówieniu tego z wieloma osobami, nie znamy nikogo, kto miałby problem ze złośliwym oprogramowaniem dla Androida, ale ja sam miałem problemy z Windowsem. Dlaczego wszyscy o tym mówią
Myślę, że znudziło nam się złośliwe oprogramowanie dla systemu Windows, więc nie jest już zabawnie o tym rozmawiać. Android był czymś w rodzaju nowej, ekscytującej rzeczy.
Wszystko, co widziałem, pokazuje to w całym ekosystemie Androida. Setki milionów urządzeń instalowanych z Google Play są o rząd wielkości czystsze niż zarządzana korporacyjna flota urządzeń z systemem Windows. Nasz wskaźnik infekcji wynosi pół procent na całym świecie, gdzie w przypadku zarządzanych urządzeń z systemem Windows jest on wyższy, a w przypadku gospodarstw domowych wskaźnik infekcji urządzeń z systemem Windows jest jeszcze wyższy.
Ale Android jest ekscytujący. To rosnący rynek. To rozwijający się rynek dla konsumentów, ale myślę, że jest to także rosnący rynek dla branży zabezpieczeń, dlatego bardzo zależy im na tym, aby ludzie byli świadomi tych kwestii i myśleli o nich. Taki jest kształt komunikacji wokół platformy.
Kiedy już znajdziesz złośliwe oprogramowanie, jaki typ jest najczęstszy?
Większość tego, co widzimy, ma charakter komercyjny. Zazwyczaj próbują zarabiać pieniądze, a mechanizmem zarabiania na urządzeniach mobilnych jest instalowanie aplikacji. Widzimy niszowe przypadki aplikacji, które wykorzystują hasła bankowe lub tym podobne, ale najprostszym sposobem na zarabianie jest zainstalowanie aplikacji. Bardzo duży odsetek dotyczy tak zwanych wrogich programów pobierających.
Co ciekawe, instalowane przez nich aplikacje same w sobie nie są szkodliwe. Może to być gra, która chce uzyskać promocję, lub może to być inna usługa, w przypadku której czerpią korzyści z dystrybucji na rynku. Wynik końcowy nie jest tym, o czym ludzie myślą, myśląc o złośliwym oprogramowaniu. Często nie jest to ktoś próbujący ukraść Twoje dane.
Tam Jest programy szpiegujące. Nie chcę sugerować, że go nie ma. W tym tygodniu opublikowaliśmy nawet post opisujący bardzo zaawansowane oprogramowanie szpiegowskie, które znaleźliśmy, ale dotyczyło to 25 urządzeń. Z pewnością nie jest to typ rzeczy powszechny ani najpopularniejszy w całym ekosystemie.
Czy jest coś mniej bezpiecznego w systemie Android w porównaniu z innymi mobilnymi systemami operacyjnymi?
Nie sądzę, że jest coś mniej bezpiecznego na tej platformie. Myślę, że złożoność utrudnia formułowanie oświadczeń na poziomie platformy.
Ludzie uwielbiają porównywać iPhone'a do Androida. iPhone to urządzenie z systemem operacyjnym od producenta, tak naprawdę chodzi o pięć różnych urządzeń. Jeśli spojrzysz na jednego producenta z
Być może porównanie linii Pixel i Nexus do iPhone'a byłoby sprawiedliwsze?
Tak, bardzo podobne pod względem sprzętowym – podobne właściwości bezpieczeństwa. Sklepy z aplikacjami mają podobne właściwości bezpieczeństwa, zweryfikowane aplikacje, izolację aplikacji – bardzo podobne właściwości bezpieczeństwa. Obydwa są zobowiązani do szybkich aktualizacji.
„Porównując Samsunga z iOS, wyniki są już około 20 razy bardziej złożone, jeśli chodzi o to urządzenie w porównaniu z tamtym urządzeniem”.
Różnicowanie odbywa się w przejrzystości. Android jest oprogramowaniem typu open source. Taka informacja jest dostępna dla każdego. Zachęcamy osoby trzecie do badań w ramach naszego programu nagród za bezpieczeństwo, więc wiemy nie tylko czy szukamy problemów na platformie, ale inni ludzie też to robią i to jest duże różnica.
Myślę, że usługi również robią ogromną różnicę. Celowo zaprojektowaliśmy widoczność i możliwość sprawdzania urządzeń w terenie, czego nie ma na żadnej innej platformie. Oznacza to, że otrzymujemy informacje zwrotne na temat wielu drobnych rzeczy, które się dzieją i możemy na nie reagować.
Jak przeciwdziałać powolnemu wdrażaniu aktualizacji zabezpieczeń dla urządzeń z Androidem, które nie są dostępne w magazynie? Czy to frustrujące?
Naprawdę doceniamy liczbę osób, które przyjęły Androida i liczbę urządzeń
W zeszłym roku spędziliśmy dużo czasu, próbując pomóc tym, którzy poruszają się wolniej, w rozwiązaniu niektórych problemów wyzwania technologiczne, rozwiązują niektóre wyzwania inżynieryjne, a w niektórych przypadkach także organizacyjne wyzwania. Może im brakować personelu inżynierów, którzy mogliby dostarczać aktualizacje. Być może o tym nie pomyśleli, więc pytamy, co możemy zrobić, abyś dotarł do punktu, w którym o tym pomyślałeś i ma to sens?
To zdecydowanie komplikuje sprawę, ale leży też u podstaw sukcesu Androida, ponieważ wiele różnych osób mogło wkroczyć w projekt i rozpocząć tworzenie urządzeń.
Jakie działania podjął zespół Androida, aby zwiększyć bezpieczeństwo platformy? Jaki jest następny obszar, którym chciałbyś się zająć lub ulepszyć?
Myślę, że wszystkie elementy bardzo ładnie ze sobą współgrają. To była wieloletnia podróż, ale praca kryptograficzna, którą wykonaliśmy, piaskownica, którą wykonaliśmy, wiele Prace mające na celu utrudnienie wyzysku dobrze się ze sobą łączą, więc to są obszary, nad którymi będziemy nadal pracować NA.
Dlaczego sandboxing jest ważny?
Sandboxing na podstawowym poziomie polega na izolowaniu jednej aplikacji od drugiej. Gra jest doskonałym przykładem, taka, o której ludzie nie myślą, ale na komputerze PC gry często są sieciowe. To jedna z niewielu rzeczy na tego rodzaju urządzeniach, które obsługują port sieciowy, więc jest to jedno z najstraszniejszych programów, które można uruchomić na większości urządzeń konsumenckich. Jeśli naruszysz bezpieczeństwo gry, jej autor może okazać się całkowicie łagodny, ale ta gra będzie miała dostęp do wszystkiego na Twoim komputerze.
Podczas gdy na Androidzie wcale tak nie jest. Musisz wtedy także naruszyć podstawowy system operacyjny, aby móc wyjść poza to. Dla nas było to naprawdę ważne, aby mieć pewność, że zawsze będziesz musiał naruszyć kod Google, kod Androida, aby dojść do punktu, w którym będziesz mógł zrobić coś, co naprawdę zrani użytkownika.
Jak ważny jest program badawczy strony trzeciej w poszukiwaniu błędów i luk w zabezpieczeniach?
To naprawdę ważne. W zeszłym roku zapłaciliśmy badaczom prawie milion dolarów. Myślę, że około 120 różnych badaczy znalazło problemy i nam je zgłosiło. Co miesiąc przychodzą ich dziesiątki, więc jest to dla nas bardzo ważne.
Naprawdę interesującą rzeczą było to, że zaczęliśmy otrzymywać coraz więcej raportów o problemach, nie w systemie Android, ale w innych komponentach urządzenia. Na przykład w tym tygodniu zgłoszono problem ze sterownikami Wi-Fi firmy Broadcom, który miał wpływ
Czy uczenie maszynowe zaczyna odgrywać rolę? Czy masz wystarczająco dużo danych, aby było to skuteczne?
Mamy teraz ogromną ilość danych i zaczęliśmy znajdować techniki uczenia maszynowego, które naprawdę dobrze sprawdzają się w różnych typach rzeczy. Jedną z rzeczy, w których uczenie maszynowe sprawdza się naprawdę dobrze, jest wyszukiwanie innych aplikacji, które również są złośliwym oprogramowaniem. Gdy znajdziemy jedną nieprawidłową aplikację, tego samego dnia możemy usunąć tysiąc lub więcej aplikacji, o których wiemy, że są ze sobą powiązane w oparciu o techniki uczenia maszynowego.
I spodziewasz się, że z czasem to się poprawi? Oczywiście, uczy się, więc powinno być lepiej?
„Uczenie maszynowe pozwala nam znacznie szybciej rozwijać możliwości ochrony”.
To jeden z głównych powodów, dla których w ciągu najbliższych kilku lat wyprzedzimy atakujących. Uczenie maszynowe pozwala nam rozwijać możliwości ochrony znacznie szybciej, niż człowiek jest w stanie poprawić swoje ukrywanie, i ostatecznie dlatego złośliwe oprogramowanie w przeszłości było trwałe — ponieważ nawet bardzo małe zmiany mogą je ukryć efektywnie. To już nie będzie przypadek.
Czy zwiększenie bezpieczeństwa oznacza utratę części otwartości i możliwości dostosowywania, które pomogły uczynić Androida najpopularniejszym mobilnym systemem operacyjnym na świecie?
Zupełnie nie. Otwartość, możliwości dostosowywania i bezpieczeństwo Androida to jego największe zalety. Uważamy, że możliwe jest dalsze doskonalenie wszystkich trzech elementów.
Kiedy mamy do czynienia z cechą, która wydaje się być sprzeczna z tymi zasadami, dołożymy wszelkich starań, aby znaleźć wyważone podejście. Jedną z powszechnych strategii jest zapewnienie bezpieczniejszego ustawienia domyślnego (w celu ochrony jak największej liczby użytkowników) przy jednoczesnym umożliwieniu użytkownikom wyboru (aby umożliwić dostosowywanie).
Robimy to samo z producentami OEM [producentami urządzeń], definiując solidny model bezpieczeństwa, ale także zapewniający niezliczone możliwości wprowadzania innowacji i dostosowywania. Wynikająca z tego różnorodność sama w sobie zwiększa bezpieczeństwo, ponieważ wiadomo, że monokultury są bardziej podatne na ryzyko systemowe. W niektórych przypadkach takie dostosowanie prowadzi do innowacyjnych ulepszeń bezpieczeństwa, co jest dobrodziejstwem dla ekosystemu.
Czy uważasz, że oprogramowanie antywirusowe, chroniące przed złośliwym oprogramowaniem i inne aplikacje zabezpieczające Androida innych firm są potrzebne?
Zależy nam na tym, aby bezpłatna ochrona zapewniana przez Google Play była najlepszą ochroną na świecie. Uważamy, że już to osiągnęliśmy i będziemy w dalszym ciągu publikować informacje, które pozwolą innym sprawdzić i potwierdzić to samodzielnie.
Jakiej rady udzieliłbyś użytkownikowi Androida mającego wątpliwości dotyczące bezpieczeństwa? Jakie działania potencjalnie narażają je na ryzyko i co mogą zrobić, aby zachować bezpieczeństwo?
Opublikowaliśmy artykuł w Centrum pomocy na ten temat, Tutaj.
Zalecenia redaktorów
- Właśnie otrzymaliśmy dwie duże aktualizacje zabezpieczeń dla Twojego planu Google One, które zapewnią Ci bezpieczeństwo w Internecie
- Kiedy mój telefon otrzyma Androida 13? Google, Samsung, OnePlus i nie tylko
- Google płaci historyczną karę w wysokości 85 milionów dolarów za nielegalne śledzenie telefonów z Androidem
- Android 13 jest już dostępny i możesz go już pobrać na swój telefon Pixel
- Dzięki zoptymalizowanym aplikacjom tablety z Androidem będą wreszcie czymś więcej niż dużymi telefonami