A ideia de que a plataforma Android é insegura é popular e persistente. E muito possivelmente errado.
Quase não se passa uma semana sem que haja uma nova manchete sobre uma vulnerabilidade recém-descoberta ou um novo malware que afeta milhões de dispositivos.
Estas questões são agravadas pelo facto de a Android ecossistema é complicado. Fragmentação torna incrivelmente difícil atualizar a plataforma. Um grande número de diferentes fabricantes de dispositivos constrói milhares de telefones e tablets diferentes rodando diferentes versões do Android. Como resultado, as atualizações com correções de segurança levam meses para serem implementadas – ou pior, nunca são implementadas. Muitos fabricantes apenas atualizam seus carros-chefe, deixando vulnerabilidades conhecidas em dispositivos mais antigos e menores que podem colocar os usuários em risco.
Relacionado
- O Google acaba de anunciar 9 novos recursos para seu telefone e relógio Android
- O Google Chrome está recebendo a atualização do tablet Android que você estava esperando
- O Google quer que você saiba que os aplicativos Android não são mais apenas para telefones
Considere uma vulnerabilidade como Medo do palco, o que poderia dar aos hackers o controle de um dispositivo Android por meio de código malicioso em um arquivo de áudio ou vídeo. Os relatórios sugeriram que até 95% dos dispositivos eram vulneráveis. Mas quantos foram realmente afetados?
“Aqui estamos há um ano e meio, quase dois anos desde que descobrimos isso e ainda não sei se alguém foi realmente afetado”, disse Adrian Ludwig, diretor de segurança do Android, à Digital Tendências.
A preocupação era que o Google resolvesse as correções com relativa rapidez e as implementasse imediatamente na linha de dispositivos Nexus do Google. Patches para outros dispositivos ficaram a critério dos fabricantes.
Isso significa que, se você tiver um Google Pixel com o Android 7.0 Nougat mais recente, você se beneficia da segurança mais recente, mas alguém com um telefone rodando KitKat (20% dos
É um problema espinhoso que não pode ser resolvido facilmente, mas a equipe de segurança do Android tem trabalhado muito para reduzir o risco para os usuários. Estatísticas assustadoras geram boas manchetes, mas não
“Acho que temos um pequeno problema de percepção, mas é muito diferente do risco real do usuário”, explicou Ludwig. “O trabalho criptográfico que temos feito, o sandbox que temos feito e muito do trabalho para dificultar a exploração estão todos funcionando perfeitamente.”
A Digital Trends conversou com Ludwig no Google Hangouts para descobrir o estado atual da segurança do Android e perguntar se as pessoas realmente deveriam preocupe-se com as principais vulnerabilidades e malware e saiba o que o Google está fazendo em relação à fragmentação para permitir uma segurança mais ampla atualizações.
Tendências Digitais: O Android é realmente inseguro?
Adriano Ludwig: Não, não é inseguro. Há muitas coisas que fizemos que aumentaram as expectativas nos últimos dois anos.
Para Mac ou Windows, você precisava de proteção antivírus de terceiros, mas dissemos que faríamos isso para todos e de graça.
O sandbox de aplicativos é um conceito relativamente novo no mundo da segurança do Android – a ideia de que os aplicativos não têm acesso a todos os seus dados do usuário, mas apenas ter acesso aos seus dados é totalmente novo, não é algo que existe no Mac, não é algo que existe no Janelas.
“Temos um pequeno problema de percepção, mas é muito diferente do risco real do usuário.”
Depois, há a criptografia do dispositivo. A maioria das empresas não o mantém ligado o tempo todo. Foi criada uma expectativa no espaço móvel de que tudo deveria ser criptografado o tempo todo e há até uma expectativa de que seja será criptografado tão bem que será difícil, mesmo para um ataque sofisticado, obter acesso a esses dados sem o usuário autorização.
Também aprendemos muito sobre como os maus atores trabalham e o que estão tentando fazer, e agora estamos em um ponto de inflexão. Nos primeiros anos, aprendemos, construímos nossa compreensão e melhoramos nossa pilha de tecnologia. Agora podemos acompanhar os maus atores. As taxas de malware, por exemplo, permaneceram relativamente estáveis nos últimos três ou quatro anos, mas acho que este é o ano em que estamos vamos vê-los cair, talvez cair significativamente, porque chegamos ao ponto em que temos habilidade e habilidade suficientes experiência. Agora somos capazes de avançar mais rapidamente do que os intervenientes, alcançá-los mais cedo e agir de forma mais eficaz em todo o ecossistema do que podíamos antes.
Acho que estamos em um ponto de inflexão em que, mesmo para os padrões do Android, começaremos a ver melhorias bastante significativas no que diz respeito ao malware.
Ainda há mais a fazer, mas é fácil esquecer o quão longe avançamos nos últimos cinco anos.
Vemos muitos relatórios sobre vulnerabilidades com estatísticas assustadoras. Qual é o risco realista de o seu dispositivo Android ser explorado ou sequestrado? Por exemplo, foi dito que algo como o Stagefright teria um impacto potencial em 95% dos
Aqui estamos há um ano e meio, quase dois anos desde que descobrimos isso pela primeira vez e ainda não sabemos se alguém foi realmente afetado. Há rumores de que um pequeno número de dispositivos pode ter sido afetado, mas mesmo aqueles dos quais não temos nenhuma evidência fundamentada.
E acredite em mim, sempre que ouvimos um boato como esse, tentamos persegui-lo. Vamos conversar com a empresa que está fazendo essa declaração. Perguntamos se há dados que eles possam compartilhar. Nunca fomos capazes de comprovar nenhum desses números. Posso dizer com certeza que não foram 900 milhões de dispositivos afetados.
Certamente, as manchetes e a excitação foram desproporcionais à realidade e pode ser que ninguém tenha sido afetado. O que é incrível, eu acho, mesmo olhando para trás, sempre há uma preocupação de que pode haver algo que você não está vendo, mas o tempo parece ser o que revela esses pontos cegos.
Tenho trabalhado na segurança do Android nos últimos seis anos e sempre que olhamos para uma área onde alguém disse “isso é um ponto cego”, não encontramos nada. Então, no início era “há toneladas e toneladas de malware no Google Play” e nós olhamos, havia alguns, nós os removemos. Então ouvimos “está fora do Google Play”, olhamos, há alguns, implementamos proteções muito boas. Depois “vai subir no próximo ano” e isso também não aconteceu. Agora, “suas vulnerabilidades serão exploradas”, mas não vemos isso.
Repetidamente avançamos no que procuramos, nas verificações que fazemos e nos serviços que prestamos para procurar maus atores, mas simplesmente não vemos nenhum dano real.
Dito isto, queremos ser tão cautelosos quanto possível e por isso estamos investindo em serviços para observar todos esses becos escuros. Também estamos trabalhando com parceiros para garantir que eles sejam capazes de responder o mais rápido possível, e é aí que investimos muito atualizações de segurança, não porque estejamos vendo muita exploração real, mas porque não queremos que isso seja um risco que possa existir percebeu.
Muito disso tem a ver com permanecer à frente e nunca chegar a um ponto em que haja um problema.
Por que você acha que essa narrativa sobre o Android ser um “inferno tóxico” de vulnerabilidades persiste?
Existem alguns motivos. Uma delas é que a complexidade costuma ser muito assustadora e a narrativa do ecossistema Android é complexa. Existem muitos OEMs [fabricantes de telefones e tablets] diferentes no ecossistema, muitos modelos de dispositivos diferentes.
“[O aprendizado de máquina] é um dos principais motivos pelos quais estaremos à frente dos invasores.”
Descrever de forma muito sucinta o que está acontecendo no ecossistema Android é difícil, da mesma forma que descrever a anatomia humana ou a população da humanidade é muito difícil. Mas sabemos que a medicina está melhorando, e sabemos que as pessoas estão vivendo mais. Sabemos que as pessoas estão a ficar mais saudáveis, mas ainda lemos muitas histórias sobre pessoas que morrem, coisas más que acontecem e doenças.
Acho que isso é um espelho do que estamos acontecendo no ecossistema Android. É complicado, por isso nem sempre há uma resposta super simples e satisfatória, mas no geral está ficando cada vez mais seguro e robusto.
Também vemos muitas histórias de malware, mas será que o usuário médio do Android, que nunca baixa aplicativos fora da Play Store, está em perigo?
No Play, o número de malware é de cerca de 0,05%, o que corresponde a 5 em cada 10.000 aplicativos, o que é bastante baixo. Em termos da porcentagem de dispositivos infectados, está na faixa em que, se não estivéssemos falando sobre isso, ninguém saberia que isso estava acontecendo.
Falamos sobre isso para garantir que haja transparência sobre o nível de risco. Muitas vezes as plataformas não querem falar sobre as coisas. Eles fecham os olhos. Gostamos de ter transparência em relação aos intervenientes externos e às nossas políticas e processos, para que possamos construir confiança. Não queremos que as pessoas confiem cegamente.
Meu palpite seria que, certamente no ecossistema Android, a Play Store é a loja de aplicativos mais limpa. Imagino que se compare de forma semelhante a outras lojas de aplicativos com ecossistemas mais fechados. [Acreditamos que Adrian esteja se referindo à Apple App Store.]
Tendo discutido isso com muitas pessoas, anedoticamente, não conhecemos ninguém que tenha tido um problema de malware no Android, mas eu mesmo tive problemas no Windows. Por que todo mundo está falando sobre
Acho que nos cansamos do malware do Windows e por isso não é mais divertido falar sobre isso. O Android era uma coisa nova e excitante.
Tudo o que vi mostra isso em todo o ecossistema Android. As centenas de milhões de dispositivos instalados a partir do Google Play são muito mais limpos do que uma frota corporativa gerenciada de dispositivos Windows. Nossa taxa de infecção é de meio por cento globalmente, onde para dispositivos Windows gerenciados é mais alta, e para famílias de consumidores a taxa de infecção para dispositivos Windows é ainda maior.
Mas o Android é emocionante. É um mercado em crescimento. É um mercado crescente para os consumidores, mas penso que é também um mercado crescente para a indústria de segurança, por isso eles estão muito interessados em garantir que as pessoas estejam conscientes e pensem sobre essas coisas. Essa é a forma de comunicação em torno da plataforma.
Quando você encontra malware, que tipo é mais comum?
A maior parte do que estamos vendo é de natureza comercial. Normalmente, eles estão tentando ganhar dinheiro e o mecanismo para monetizar no celular é instalar aplicativos. Vemos casos de nicho de aplicativos que buscam senhas bancárias ou coisas assim, mas a maneira mais simples de monetizar é instalar um aplicativo. Uma porcentagem muito grande está relacionada ao que chamamos de downloaders hostis.
O interessante é que os aplicativos que eles instalam não são prejudiciais. Pode ser um jogo que busca uma promoção ou pode ser outro serviço onde eles se beneficiam da distribuição no mercado. O resultado final não são os tipos de coisas em que as pessoas pensam quando pensam em malware. Muitas vezes não é alguém tentando roubar seus dados.
Lá é spyware. Não quero sugerir que isso não existe. Até fizemos uma postagem esta semana descrevendo um spyware de última geração que encontramos, mas que estava em 25 dispositivos. Certamente não é o tipo de coisa comum ou mais popular em todo o ecossistema.
Existe algo inerentemente menos seguro no Android em comparação com outros sistemas operacionais móveis?
Não acho que haja algo inerentemente menos seguro na plataforma. Acho que a complexidade torna mais difícil fazer declarações no nível da plataforma.
As pessoas adoram comparar o iPhone com o Android. O iPhone é um aparelho com sistema operacional de um fabricante, na verdade são cerca de cinco aparelhos diferentes. Se você olhar para um fabricante de
Talvez comparar a linha Pixel e Nexus com o iPhone seja mais justo?
Sim, muito semelhante em termos de hardware – propriedades de segurança semelhantes. As lojas de aplicativos têm propriedades de segurança semelhantes, aplicativos verificados, isolamento de aplicativos – propriedades de segurança muito semelhantes. Ambos têm o compromisso de atualizações rápidas.
“Comparando o Samsung com o iOS, você já é cerca de 20 vezes mais complexo, em termos deste dispositivo versus aquele dispositivo.”
Onde você entra na diferenciação é na transparência. Android é código aberto. Essa informação está disponível para todos. Incentivamos a pesquisa de terceiros através do nosso programa de recompensas de segurança, por isso sabemos que não só estamos procurando problemas na plataforma, mas outras pessoas também estão e isso faz um grande diferença.
Acho que os serviços também fazem uma grande diferença. Projetamos intencionalmente a visibilidade e a capacidade de verificar dispositivos em campo, embora isso não exista em nenhuma outra plataforma. Significa que recebemos feedback sobre muitas pequenas coisas que estão acontecendo e podemos responder a isso.
Como você combate a lenta implementação de atualizações de segurança para dispositivos Android fora de estoque? É frustrante?
Nós realmente apreciamos quantas pessoas adotaram o Android e quantos dispositivos
Passamos muito tempo no último ano tentando ajudar aqueles que estão se movendo mais lentamente a resolver alguns de seus problemas. desafios tecnológicos, resolver alguns dos seus desafios de engenharia e, em alguns casos, sua organização desafios. Eles podem não ter uma equipe de engenheiros para fornecer atualizações. Talvez eles não tenham pensado nisso, então perguntamos o que podemos fazer para levá-lo a um ponto em que você tenha pensado sobre isso e faça sentido?
Definitivamente, isso torna as coisas mais complicadas, mas também é a razão pela qual o Android tem sido tão bem-sucedido, porque muitas pessoas diferentes conseguiram entrar e começar a construir dispositivos.
Que ações a equipe do Android tomou para tornar a plataforma mais segura? E qual é a próxima área que você gostaria de abordar ou melhorar?
Acho que todas as peças estão se encaixando muito bem. Tem sido uma jornada de vários anos, mas o trabalho criptográfico que temos feito, o sandbox que temos feito, muitos o trabalho para tornar a exploração mais difícil está tudo funcionando bem, então essas são as áreas em que continuaremos trabalhando sobre.
Por que o sandbox é importante?
O sandboxing, em um nível fundamental, trata de como você isola um aplicativo de outro. Um jogo é um exemplo perfeito, aquele em que as pessoas não pensam sobre isso, mas em um PC, os jogos geralmente estão em rede. Eles são uma das poucas coisas nesse tipo de dispositivo que possui serviço de porta de rede, então esse é um dos softwares mais assustadores que você executa na maioria dos dispositivos de consumo. Se você comprometer um jogo, o autor do jogo pode ser perfeitamente benigno, mas esse jogo terá acesso a tudo no seu PC.
Já no Android esse não é o caso. Você também precisa comprometer o sistema operacional principal para poder ir além disso. Para nós, isso foi muito, muito importante para garantir que você sempre tenha que comprometer o código do Google, o código do Android, para chegar ao ponto em que possa fazer algo que realmente prejudique o usuário.
Qual a importância do programa de pesquisa de terceiros para encontrar bugs e vulnerabilidades?
Na verdade, é muito importante. No ano passado pagamos quase um milhão de dólares a pesquisadores. Acho que cerca de 120 pesquisadores diferentes encontraram problemas e os relataram para nós. Dezenas chegam todos os meses, por isso é muito importante para nós.
Uma coisa que realmente aconteceu e que é realmente interessante é que começamos a receber cada vez mais relatos de problemas, não no Android, mas em outros componentes que estão no dispositivo. Por exemplo, esta semana houve um relato de um problema nos drivers Wi-Fi da Broadcom que afetou
O aprendizado de máquina está começando a desempenhar um papel? Você tem dados suficientes para que seja eficaz?
Temos uma grande quantidade de dados agora e começamos a encontrar algumas técnicas de aprendizado de máquina que funcionam muito bem para diferentes tipos de coisas. Uma coisa para a qual o aprendizado de máquina funciona muito bem é encontrar outros aplicativos que também sejam malware. Quando encontramos um aplicativo ruim, podemos derrubar mil ou mais aplicativos no mesmo dia que sabemos estarem relacionados com base em técnicas de aprendizado de máquina.
E você espera que isso melhore com o tempo? Obviamente, está aprendendo, então deve melhorar?
“O aprendizado de máquina nos permite desenvolver capacidades de proteção muito mais rapidamente.”
É uma das principais razões pelas quais nos próximos anos estaremos à frente dos invasores. O aprendizado de máquina nos permite desenvolver capacidades de proteção muito mais rapidamente do que um ser humano pode melhorar sua ocultação, e é por isso que o malware no passado foi persistente – porque mesmo pequenas alterações podem ocultá-lo efetivamente. Esse não será mais o caso.
Reforçar a segurança significa perder parte da abertura e da capacidade de personalização que ajudaram a tornar o Android o sistema operacional móvel mais popular do mundo?
De jeito nenhum. A abertura, a personalização e a segurança do Android estão entre seus maiores pontos fortes. Achamos que é possível continuar a melhorar todos os três.
Quando somos confrontados com uma característica que parece colocar estes princípios em conflito, não medimos esforços para encontrar uma abordagem que seja equilibrada. Uma estratégia comum é fazer com que o padrão seja mais seguro (para proteger o maior número possível de usuários) e, ao mesmo tempo, permitir a escolha dos usuários (para permitir a personalização).
Fazemos o mesmo com os OEMs [fabricantes de dispositivos], definindo um modelo de segurança robusto, mas também proporcionando uma infinidade de oportunidades para inovar e personalizar. A diversidade resultante é em si um reforço da segurança, uma vez que as monoculturas são conhecidas por serem mais susceptíveis ao risco sistémico. E, em alguns casos, essa personalização leva a melhorias de segurança inovadoras, o que é uma vantagem para o ecossistema.
Você acha que antivírus, antimalware e outros aplicativos de segurança Android de terceiros são necessários?
Estamos empenhados em tornar as proteções gratuitas fornecidas pelo Google Play a melhor proteção do mundo. Já achamos que conseguimos isso e continuaremos a publicar informações que possibilitem que outros verifiquem e confirmem por si próprios.
Que conselho você daria a um usuário Android com preocupações de segurança? Que ações potencialmente os colocam em risco e o que podem fazer para se manterem seguros?
Publicamos um artigo da Central de Ajuda sobre esse tópico, aqui.
Recomendações dos Editores
- Seu plano do Google One acaba de receber duas grandes atualizações de segurança para manter você seguro on-line
- Quando meu telefone receberá o Android 13? Google, Samsung, OnePlus e muito mais
- O Google está pagando uma multa histórica de US$ 85 milhões após rastrear ilegalmente telefones Android
- O Android 13 está aqui e você pode baixá-lo em seu telefone Pixel agora mesmo
- Com aplicativos otimizados, os tablets Android finalmente serão mais do que grandes telefones
