Sistemul de operare Android este mai sigur decât credeți, potrivit șefului său de securitate

googles adrian ludwig spune că Android este mai sigur ca niciodată securitatea patch2

Ideea că platforma Android este nesigură este populară și persistentă. Și foarte posibil greșit.

Trece abia o săptămână fără un nou titlu despre o vulnerabilitate proaspăt descoperită sau un nou malware care afectează milioane de dispozitive.

Aceste probleme sunt agravate de faptul că Android ecosistemul este complicat. Fragmentare face incredibil de dificilă actualizarea platformei. O mulțime de producători diferiți de dispozitive construiesc mii de telefoane și tablete diferite care rulează diferite versiuni de Android. Drept urmare, lansarea actualizărilor cu remedieri de securitate durează luni de zile sau, mai rău, nu se fac deloc. Prea mulți producători își actualizează doar produsele emblematice, lăsând vulnerabilități cunoscute în dispozitivele mai vechi și mai mici, care ar putea pune utilizatorii în pericol.

Legate de

  • Google tocmai a anunțat 9 funcții noi pentru telefonul și ceasul Android
  • Google Chrome primește actualizarea tabletei Android pe care o așteptați
  • Google vrea să știți că aplicațiile Android nu mai sunt doar pentru telefoane

Luați în considerare o vulnerabilitate ca Emoții de scenă, care ar putea oferi hackerilor controlul asupra unui dispozitiv Android prin intermediul unui cod rău intenționat dintr-un fișier audio sau video. Rapoartele sugerează că până la 95% dintre dispozitive sunt vulnerabile. Dar câți au fost de fapt afectați?

„Aici suntem la un an și jumătate, aproape doi ani de când am aflat prima dată despre asta și încă mai avem nu știu că cineva este de fapt afectat”, a declarat Adrian Ludwig, director al securității Android, pentru Digital Tendințe.

Îngrijorarea a fost că Google a elaborat remedieri relativ rapid și le-a lansat imediat pe linia de dispozitive Google Nexus. Patch-uri pentru alte dispozitive au apărut la discreția producătorilor.

Asta înseamnă că dacă ai un Google Pixel cu cel mai recent Android 7.0 Nougat, beneficiezi de cea mai recentă securitate, dar cineva cu un telefon rulează KitKat (20% din Android dispozitive) care nu a văzut o actualizare de un an sau mai mult ar fi putut fi în pericol.

Este o problemă spinoasă care nu este ușor de rezolvat, dar echipa de securitate Android a muncit din greu pentru a reduce riscul pentru utilizatori. Statisticile înfricoșătoare fac titluri bune, dar o fac Android merită reputația pe care o are pentru nesiguranță?

Șeful Securității Android, Adrian Ludwig

„Cred că avem o mică problemă de percepție, dar este foarte diferită de riscul real al utilizatorului”, a explicat Ludwig. „Lucrarea criptografică pe care am făcut-o, sandboxing-ul pe care am făcut-o și o mare parte din munca de a face exploatarea mai dificilă se îmbină frumos.”

Digital Trends a discutat cu Ludwig pe Google Hangouts pentru a afla starea actuală a securității Android și a întrebat dacă oamenii ar trebui cu adevărat fiți îngrijorat de vulnerabilitățile din titlu și de programele malware și aflați ce face Google cu privire la fragmentare pentru a permite o securitate mai largă actualizări.

Digital Trends: Android este cu adevărat nesigur?

Adrian Ludwig: Nu, nu este nesigur. Sunt o mulțime de lucruri pe care le-am făcut care au făcut ca așteptările să avanseze în ultimii doi ani.

Pentru Mac sau Windows, trebuia să aveți protecție antivirus terță parte, dar am spus că vom face asta pentru toată lumea și o vom face gratuit.

Aplicația sandboxing este un concept relativ nou în lumea securității Android - ideea că aplicațiile nu au acces la toate datele utilizatorilor, dar să aibă acces doar la datele lor este complet nou, nu este ceva care există pe Mac, nu este ceva care există pe Windows.

„Avem o mică problemă de percepție, dar este foarte diferită de riscul real al utilizatorului.”

Apoi există criptarea dispozitivului. Majoritatea întreprinderilor nu îl au pornit tot timpul. S-a creat o așteptare în spațiul mobil că totul ar trebui să fie criptat tot timpul și există chiar și o așteptare că este va fi criptat atât de bine încât va fi dificil chiar și pentru un atac sofisticat să obțină acces la acele date fără utilizator autorizare.

De asemenea, am învățat multe despre cum lucrează actorii răi și despre ce încearcă ei să facă, iar acum ne aflăm într-un punct de inflexiune. În primii câțiva ani, am învățat, ne-am consolidat înțelegerea și ne-am îmbunătățit tehnologia. Acum putem ține pasul cu actorii răi. Ratele programelor malware, de exemplu, sunt relativ constante în ultimii trei sau patru ani, dar cred că acesta este anul în care suntem îi vom vedea scăzând, poate că scad semnificativ, pentru că am ajuns în punctul în care avem suficientă abilitate și experienţă. Acum suntem capabili să ne mișcăm mai repede decât actorii, să-i prindem mai devreme și să luăm măsuri mai eficiente în întregul ecosistem decât am putut înainte.

Cred că ne aflăm într-un punct de cotitură în care, chiar și după standardele Android, vom începe să vedem îmbunătățiri destul de semnificative în ceea ce privește malware-ul.

Mai sunt multe de făcut, dar este ușor să uităm cât de departe am ajuns în ultimii cinci ani.

Vedem o mulțime de rapoarte despre vulnerabilități cu statistici înfricoșătoare. Care este riscul realist ca dispozitivul dvs. Android să fie exploatat sau deturnat? De exemplu, s-a spus că ceva de genul Stagefright ar putea afecta 95 la sută din Android dispozitive. Avem idee câți au fost efectiv deturnați folosind această vulnerabilitate?

Iată-ne la un an și jumătate, aproape doi ani de când am aflat prima dată despre asta și încă nu știm că cineva este afectat de fapt. Există zvonuri că un număr mic de dispozitive ar fi putut fi afectate, dar chiar și cele pentru care nu avem nicio dovadă fundamentată.

Și crede-mă, ori de câte ori auzim un zvon ca acesta, încercăm să-l alungăm. Mergem să vorbim cu compania care face această declarație. Întrebăm dacă există date pe care le pot partaja. Nu am reușit niciodată să dovedim niciunul dintre aceste cifre. Pot spune cu siguranță că nu au fost 900 de milioane de dispozitive afectate.

Cu siguranță, titlurile care au difuzat și entuziasmul au fost disproporționate față de realitate și s-ar putea ca nimeni să nu fi fost afectat. Ceea ce cred că este incredibil, chiar dacă mă uit în urmă, există întotdeauna îngrijorarea că poate exista ceva ce nu vezi, dar timpul pare să fie lucrul care dezvăluie acele puncte moarte.

Am lucrat la securitatea Android în ultimii șase ani și de fiecare dată când te uiți într-o zonă în care cineva a spus „acesta este un punct mort”, nu găsim nimic. Deci, de la început, a fost „există tone și tone de malware în Google Play” și ne-am uitat, au existat, l-am eliminat. Apoi auzim „este în afara Google Play”, ne uităm, sunt unele, punem protecții destul de bune. Apoi „va urca anul viitor” și nici asta nu s-a întâmplat. Acum, „vulnerabilitățile vor fi exploatate”, dar noi nu vedem asta.

Din nou și din nou, mergem înainte în ceea ce căutăm și verificările pe care le facem și serviciile pe care le oferim pentru a căuta actori răi, dar pur și simplu nu vedem niciun rău real.

Acestea fiind spuse, vrem să fim cât se poate de precauți și așa că investim în servicii pentru a ne uita pe toate acele mici alei întunecate. De asemenea, lucrăm cu partenerii pentru a ne asigura că aceștia pot răspunde cât mai repede posibil, așa că acolo am investit foarte mult în actualizări de securitate, nu pentru că vedem o mulțime de exploatare reală, ci pentru că nu vrem ca acesta să fie un risc care să fie vreodată realizat.

Multe dintre ele se referă la a rămâne înainte și a nu ajunge niciodată la un punct în care există o problemă.

De ce crezi că această narațiune despre Android că este o „tocană toxică” de vulnerabilități persistă?

Există câteva motive. Una este că complexitatea este adesea foarte înfricoșătoare, iar narațiunea pentru ecosistemul Android este una complexă. Există o mulțime de producători OEM diferiți [producători de telefoane și tablete] în ecosistem, o mulțime de modele diferite de dispozitive.

„[Învățarea automată] este unul dintre principalele motive pentru care vom trece înaintea atacatorilor.”

Descrierea foarte succintă a ceea ce se întâmplă în ecosistemul Android este dificilă, în același mod în care este foarte dificilă descrierea anatomiei umane sau a populației umanității. Dar știm asta medicina este din ce în ce mai bunăși știm că oamenii trăiesc mai mult. Știm că oamenii devin mai sănătoși, dar încă citim o mulțime de povești despre oameni care mor, se întâmplă lucruri rele și boli.

Cred că aceasta este o oglindă a ceea ce se întâmplă în ecosistemul Android. Este complicat, deci nu există adesea un răspuns satisfăcător, super simplu, dar în general devine din ce în ce mai sigur și mai robust.

De asemenea, vedem o mulțime de povești de malware, dar utilizatorul mediu de Android, care nu descarcă niciodată aplicații în afara Magazinului Play, este în pericol?

Din Play, numărul malware-ului este de aproximativ 0,05 la sută, adică 5 din 10.000 de aplicații, deci este destul de scăzut. În ceea ce privește procentajul de dispozitive infectate, acesta este în intervalul în care dacă nu am vorbi despre asta, nimeni nu ar ști că se întâmplă.

Vorbim despre asta pentru a ne asigura că există transparență cu privire la nivelul de risc. Adesea platformele nu vor să vorbească despre lucruri. Închid ochii. Ne place să avem transparență față de actorii externi și politicile și procesele noastre, astfel încât să putem construi încredere. Nu vrem ca oamenii să aibă încredere orbește.

Bănuiala mea ar fi, cu siguranță, în ecosistemul Android, Play Store este cel mai curat magazin de aplicații. Mi-aș imagina că se compară în mod similar cu alte magazine de aplicații cu ecosisteme care sunt mai închise. [Credem că Adrian se referă la Apple App Store.]

După ce am discutat cu mulți oameni, în mod anecdotic, nu cunoaștem pe nimeni care să fi avut o problemă cu malware Android, dar eu am avut probleme cu Windows. De ce vorbește toată lumea Android Securitate?

Cred că ne-am plictisit de malware Windows și așa că nu mai e distractiv să vorbim despre asta. Android a fost ceva nou, interesant.

Tot ceea ce am văzut arată asta în ecosistemul Android. Sutele de milioane de dispozitive care se instalează de pe Google Play sunt cu un ordin de mărime mai curate decât o flotă corporativă gestionată de dispozitive Windows. Rata noastră de infecție este de jumătate la sută la nivel global, unde pentru dispozitivele Windows gestionate este mai mare, iar pentru gospodăriile consumatorilor rata de infecție pentru dispozitivele Windows este și mai mare.

Dar Android este interesant. Este o piata in crestere. Este o piață în creștere pentru consumatori, dar cred că este și o piață în creștere pentru industria securității, așa că sunt foarte interesați să se asigure că oamenii sunt conștienți și se gândesc la aceste lucruri. Aceasta este forma comunicării în jurul platformei.

Când găsiți malware, ce tip este cel mai frecvent?

Cea mai mare parte a ceea ce vedem este de natură comercială. În mod obișnuit, încearcă să câștige bani, iar mecanismul de monetizare pe mobil este instalarea de aplicații. Vedem cazuri de nișă de aplicații care merg după parole bancare sau lucruri de genul acesta, dar cel mai simplu mod de a genera bani este să instalați o aplicație. Un procent foarte mare este legat de ceea ce numim descărcatori ostili.

Ceea ce este interesant este că aplicațiile pe care le instalează nu sunt ele însele dăunătoare. Ar putea fi un joc care caută să obțină o promovare sau ar putea fi un alt serviciu în care beneficiază de distribuție pe piață. Rezultatul final nu sunt tipurile de lucruri la care oamenii se gândesc atunci când se gândesc la malware. De multe ori nu este cineva care încearcă să vă fure datele.

Acolo este spyware. Nu vreau să sugerez că nu există. Am făcut chiar și o postare săptămâna aceasta în care descrie un program spion de ultimă generație pe care l-am găsit, dar care era pe 25 de dispozitive. Cu siguranță nu este genul de lucru care este comun sau cel mai popular în ecosistem.

Există ceva în mod inerent mai puțin sigur la Android în comparație cu alte sisteme de operare mobile?

Nu cred că există ceva în mod inerent mai puțin sigur în legătură cu platforma. Cred că complexitatea face mai dificil să faci declarații la nivel de platformă.

Oamenilor le place să compare iPhone cu Android. iPhone-ul este un dispozitiv cu un sistem de operare de la un producător, de fapt este vorba despre cinci dispozitive diferite. Dacă te uiți la un producător de la Android — Samsung este cel mai mare — au sute de modele diferite de dispozitive. Doar comparând Samsung cu iOS, ești deja de aproximativ 20 de ori mai complex, în ceea ce privește acest dispozitiv față de acel dispozitiv. Nu este o comparație rezonabilă.

Poate că compararea liniei Pixel și Nexus cu iPhone ar putea fi mai corectă?

Da, foarte asemănătoare din punct de vedere hardware – proprietăți de securitate similare. Magazinele de aplicații au proprietăți de securitate similare, aplicații verificate, izolarea aplicațiilor - proprietăți de securitate foarte asemănătoare. Ambele au un angajament pentru actualizări rapide.

„Comparând Samsung cu iOS, ești deja de aproximativ 20 de ori mai complex, în ceea ce privește acest dispozitiv față de acel dispozitiv.”

Unde intri în diferențiere este în transparență. Android este open source. Aceste informații sunt disponibile pentru toată lumea. Încurajăm cercetarea terță parte prin programul nostru de recompense de securitate, așa că știm că nu numai Căutăm probleme în platformă, dar și alți oameni sunt la fel și asta face un mare lucru diferență.

Cred că și serviciile fac o diferență enormă. Am proiectat în mod intenționat vizibilitatea și capacitatea de a verifica dispozitivele pe teren, în timp ce acest lucru nu există pe nicio altă platformă. Înseamnă că primim feedback cu privire la o mulțime de lucruri mici care se întâmplă și putem răspunde la acestea.

Cum combateți lansarea lentă a actualizărilor de securitate pentru dispozitivele Android care nu sunt în stoc? Este frustrant?

Apreciem foarte mult câți oameni au adoptat Android și câte dispozitive au Android pe ei. Realitatea acelei diversități absolute a ecosistemului este că unii producători se vor mișca foarte repede, iar alții mai încet.

Am petrecut mult timp în ultimul an pentru a încerca să-i ajutăm pe cei care se mișcă mai încet să-și rezolve o parte din provocările tehnologice, rezolvă unele dintre provocările lor de inginerie și, în unele cazuri, organizaționale provocări. Este posibil să le lipsească un personal de ingineri care să ofere actualizări. Poate că nu s-au gândit la asta, așa că vă întrebăm ce putem face pentru a vă duce la un punct în care v-ați gândit la asta și are sens?

Cu siguranță face lucrurile mai complicate, dar este și esențialul motivului pentru care Android a avut atât de succes, deoarece mulți oameni diferiți au putut să intre și să înceapă să construiască dispozitive.

Ce măsuri a întreprins echipa Android pentru a face platforma mai sigură? Și care este următorul domeniu pe care ați dori să îl abordați sau să îl îmbunătățiți?

Cred că toate piesele se îmbină foarte bine. A fost o călătorie de mai mulți ani, dar munca criptografică pe care am făcut-o, sandboxing-ul pe care le-am făcut, multe munca de a face exploatarea mai dificilă se adună bine, așa că acestea sunt domeniile pe care vom continua să lucrăm pe.

De ce este important sandboxing-ul?

Sandboxing la un nivel fundamental este despre modul în care izolați o aplicație de alta. Un joc este un exemplu perfect, unul în care oamenii nu se gândesc la asta, dar pe un computer, jocurile sunt adesea conectate în rețea. Sunt unul dintre puținele lucruri de pe acest tip de dispozitiv care are serviciu de port de rețea, așa că este una dintre cele mai înfricoșătoare piese de software pe care le rulați pe majoritatea dispozitivelor de consum. Dacă compromiteți un joc, autorul jocului ar putea fi perfect benign, dar acel joc are acces la tot ce este pe computerul dvs.

În timp ce pe Android nu este deloc așa. Apoi, trebuie să compromiți și sistemul de operare de bază pentru a putea depăși asta. Pentru noi, asta a fost foarte, foarte important să ne asigurăm că trebuie să compromiți întotdeauna codul Google, codul Android, pentru a ajunge la punctul în care poți face ceva care chiar rănește un utilizator.

Cât de important este programul de cercetare terță parte pentru a găsi erori și vulnerabilități?

Este foarte important de fapt. Anul trecut am plătit aproape un milion de dolari cercetătorilor. Cred că au fost aproximativ 120 de cercetători diferiți care au găsit probleme și ni le-au raportat. În fiecare lună vin zeci, așa că este foarte important pentru noi.

Un lucru care s-a întâmplat de fapt și care este cu adevărat interesant este că am început să primim din ce în ce mai multe rapoarte de probleme, nu în Android, ci în alte componente care sunt în dispozitiv. De exemplu, săptămâna aceasta a fost raportat o problemă în driverele Wi-Fi ale Broadcom care a afectat Android, dispozitive iOS și oricine altcineva care folosea aceste tipuri de drivere. Acesta este genul de lucru pe care îl vedem din ce în ce mai mult.

Începe să joace un rol învățarea automată? Aveți suficiente date pentru ca acesta să fie eficient?

Avem o cantitate imensă de date acum și am început să găsim câteva tehnici de învățare automată care funcționează foarte bine pentru diferite tipuri de lucruri. Un lucru pentru care învățarea automată funcționează foarte bine este găsirea altor aplicații care sunt, de asemenea, malware. Când găsim o aplicație proastă, este posibil să putem elimina o mie sau mai multe aplicații în aceeași zi despre care știm că sunt legate pe baza tehnicilor de învățare automată.

Și te aștepți ca asta să se îmbunătățească în timp? Evident, învață, așa că ar trebui să se îmbunătățească?

„Învățarea automată ne permite să dezvoltăm capabilități de protecție mult mai rapid.”

Este unul dintre motivele principale pentru care, în următorii doi ani, vom trece înaintea atacatorilor. Învățarea automată ne permite să dezvoltăm capabilități de protecție mult mai rapid decât poate un om să-și îmbunătățească ascunderea. acesta este, în cele din urmă, motivul pentru care programele malware în trecut au fost persistente - deoarece chiar și schimbările foarte mici îl pot ascunde în mod eficient. Nu va mai fi cazul.

Înăsprirea securității înseamnă pierderea unei părți din deschiderea și personalizarea care a ajutat să facă din Android cel mai popular sistem de operare mobil din lume?

Deloc. Deschiderea, personalizarea și securitatea Android sunt toate printre cele mai mari puncte forte ale sale. Credem că este posibil să continuăm să îmbunătățim toate cele trei.

Când ne confruntăm cu o caracteristică care pare să pună aceste principii în conflict, vom face tot posibilul pentru a găsi o abordare echilibrată. O strategie comună este ca implicit să fie mai sigură (pentru a proteja cât mai mulți utilizatori), permițând în același timp utilizatorilor alegerea (pentru a permite personalizarea).

Facem același lucru cu OEM [producătorii de dispozitive], definind un model de securitate care este robust, dar oferind și o multitudine de oportunități de a inova și de a personaliza. Diversitatea rezultată este în sine o îmbunătățire a securității, deoarece monoculturile sunt cunoscute a fi mai susceptibile la riscul sistemic. Și, în unele cazuri, această personalizare duce la îmbunătățiri inovatoare de securitate, ceea ce este un avantaj pentru ecosistem.

Crezi că sunt necesare aplicații de securitate antivirus, anti-malware și alte terțe părți pentru Android?

Ne angajăm să facem din protecțiile gratuite oferite de Google Play cea mai bună protecție din lume. Credem deja că am reușit acest lucru și vom continua să publicăm informații care le permit altora să verifice și să confirme singuri.

Ce sfaturi ați da unui utilizator Android cu probleme de securitate? Ce acțiuni îi pot pune în pericol și ce pot face pentru a rămâne în siguranță?

Am publicat un articol din centrul de ajutor pe acest subiect, Aici.

Recomandările editorilor

  • Planul dvs. Google One tocmai a primit două actualizări mari de securitate pentru a vă menține în siguranță online
  • Când primește telefonul meu Android 13? Google, Samsung, OnePlus și multe altele
  • Google plătește o amendă istorică de 85 de milioane de dolari după ce a urmărit ilegal telefoanele Android
  • Android 13 este aici și îl puteți descărca pe telefonul dvs. Pixel chiar acum
  • Cu aplicații optimizate, tabletele Android vor fi în sfârșit mai mult decât telefoane mari