По словам начальника службы безопасности, ОС Android безопаснее, чем вы думаете

Google Адриан Людвиг говорит, что Android более безопасен, чем когда-либо, патч безопасности 2

Идея о том, что платформа Android небезопасна, популярна и устойчива. И вполне возможно, неправильно.

Не проходит и недели без нового заголовка о недавно обнаруженной уязвимости или новом вредоносном ПО, затрагивающем миллионы устройств.

Эти проблемы усугубляются тем, что Андроид экосистема сложна. Фрагментация невероятно затрудняет обновление платформы. Множество различных производителей устройств создают тысячи разных телефонов и планшетов под управлением разных версий Android. В результате на развертывание обновлений с исправлениями безопасности уходят месяцы — или, что еще хуже, никогда не развертываются вообще. Слишком многие производители обновляют только свои флагманы, оставляя известные уязвимости в старых и менее совершенных устройствах, которые могут подвергнуть пользователей риску.

Связанный

  • Google только что анонсировал 9 новых функций для вашего телефона и часов Android
  • Google Chrome получает долгожданное обновление для планшетов Android
  • Google хочет, чтобы вы знали, что приложения Android больше не только для телефонов

Рассмотрим такую ​​уязвимость, как Боязнь сцены, что может дать хакерам контроль над устройством Android с помощью вредоносного кода в аудио- или видеофайле. Согласно отчетам, до 95 процентов устройств были уязвимы. Но сколько людей пострадало на самом деле?

«Прошло уже полтора года, почти два года с тех пор, как мы впервые узнали об этом, и мы все еще Я не знаю, действительно ли это кого-то затронуло», — сказал Digital Адриан Людвиг, директор по безопасности Android. Тенденции.

Проблема заключалась в том, что Google относительно быстро разработал исправления и немедленно внедрил их на линейку устройств Google Nexus. Патчи для остальных устройств выходили на усмотрение производителей.

Это означает, что если у вас есть Google Пиксель с последней версией Android 7.0 Nougat вы получаете преимущества новейшей безопасности, но кто-то, у кого есть телефон под управлением KitKat (20 процентов Андроид устройства), которые не получали обновлений в течение года или более, могли оказаться под угрозой.

Это сложная проблема, которую нелегко решить, но команда безопасности Android приложила немало усилий, чтобы снизить риск для пользователей. Пугающая статистика — хороший повод для заголовков, но Андроид заслуживают той репутации, которую он имеет как небезопасное государство?

Руководитель службы безопасности Android Адриан Людвиг

«Я думаю, что у нас есть небольшая проблема с восприятием, но она сильно отличается от реального риска пользователя», — объяснил Людвиг. «Криптографическая работа, которую мы проделали, создание «песочницы», которую мы выполняли, и большая часть работы по усложнению эксплуатации — все это прекрасно сочетается».

Digital Trends поговорили с Людвигом в Google Hangouts, чтобы узнать текущее состояние безопасности Android и спросить, действительно ли людям следует будьте обеспокоены главными уязвимостями и вредоносным ПО, а также узнайте, что Google делает с фрагментацией, чтобы обеспечить более широкую безопасность. обновления.

Цифровые тенденции: действительно ли Android небезопасен?

Адриан Людвиг: Нет, это не небезопасно. За последние пару лет мы сделали много вещей, которые повысили ожидания.

Для Mac или Windows вам необходимо иметь стороннюю антивирусную защиту, но мы сказали, что сделаем это для всех и сделаем это бесплатно.

Песочница приложений — это относительно новая концепция в мире безопасности Android. Она заключается в том, что приложения не имеют доступа ко всем вашим пользовательские данные, но иметь доступ только к своим данным — это совершенно новое явление, это не то, что существует на Mac, это не то, что существует на Окна.

«У нас есть небольшая проблема с восприятием, но она сильно отличается от реального риска для пользователей».

Затем есть шифрование устройства. На большинстве предприятий он не включен постоянно. В мобильной сфере сложилось мнение, что все должно быть постоянно зашифровано, и даже есть ожидание, что это будет будут зашифрованы настолько хорошо, что даже при сложной атаке будет сложно получить доступ к этим данным без участия пользователя. авторизация.

Мы также многое узнали о том, как действуют злоумышленники и что они пытаются сделать, и сейчас мы находимся на переломном этапе. Первые несколько лет мы учились, углубляли понимание и совершенствовали свой набор технологий. Теперь мы можем не отставать от плохих актеров. Например, уровень вредоносного ПО за последние три-четыре года был относительно стабильным, но я думаю, что это тот год, когда мы мы увидим, что они упадут, возможно, значительно упадут, потому что мы дошли до того момента, когда у нас достаточно навыков и опыт. Теперь мы можем действовать быстрее, чем действующие лица, ловить их раньше и действовать более эффективно во всей экосистеме, чем раньше.

Я думаю, что мы находимся на поворотном этапе, когда даже по стандартам Android мы начнем видеть довольно значительные улучшения в отношении вредоносного ПО.

Еще многое предстоит сделать, но легко забыть, как далеко мы продвинулись за последние пять лет.

Мы видим множество сообщений об уязвимостях с пугающей статистикой. Каков реальный риск взлома или взлома вашего Android-устройства? Например, говорят, что что-то вроде Stagefright потенциально влияет на 95 процентов Андроид устройства. Имеем ли мы представление, сколько на самом деле было взломано с помощью этой уязвимости?

Прошло уже полтора года, почти два года с тех пор, как мы впервые узнали об этом, и мы до сих пор не знаем, действительно ли кто-то пострадал. Ходят слухи, что могло быть затронуто небольшое количество устройств, но даже по ним у нас нет убедительных доказательств.

И поверьте мне, всякий раз, когда мы слышим подобный слух, мы пытаемся его отследить. Мы поговорим с компанией, которая делает такое заявление. Мы спрашиваем, есть ли данные, которыми они могут поделиться. Нам так и не удалось подтвердить ни одну из этих цифр. Могу с уверенностью сказать, что не было затронуто 900 миллионов устройств.

Конечно, заголовки газет и волнение были непропорциональны действительности, и, возможно, это ни на кого не повлияло. Я думаю, что это невероятно, даже когда я оглядываюсь назад, всегда есть опасение, что может быть что-то, чего вы не видите, но время, кажется, является тем, что раскрывает эти слепые пятна.

Я работаю над безопасностью Android последние шесть лет, и каждый раз, когда вы заглядываете туда, где кто-то сказал: «Это слепая зона», мы ничего не находим. Итак, вначале было «в Google Play тонны вредоносного ПО», и мы посмотрели, оно было и удалили его. Потом мы слышим «это за пределами Google Play», смотрим, есть такие, ставим довольно хорошую защиту. Затем «в следующем году он поднимется», но этого тоже не произошло. Теперь «эти уязвимости будут эксплуатировать», но мы этого не видим.

Снова и снова мы продвигаемся вперед в том, что мы ищем, в проверках, которые мы проводим, и в услугах, которые мы предоставляем для поиска злоумышленников, но мы просто не видим никакого реального вреда.

Тем не менее, мы хотим быть настолько осторожными, насколько это возможно, и поэтому мы инвестируем в услуги, позволяющие заглядывать во все эти маленькие темные переулки. Мы также работаем с партнерами, чтобы они могли реагировать как можно быстрее, и именно в это мы вложили много средств. обновления безопасности не потому, что мы видим много реальных атак, а потому, что мы не хотим, чтобы это было риском, который когда-либо возникнет. осуществленный.

Во многом речь идет о том, чтобы оставаться впереди и никогда не доходить до точки, где возникает проблема.

Как вы думаете, почему сохраняется мнение о том, что Android — это «токсичная смесь» уязвимостей?

Есть несколько причин. Во-первых, сложность часто очень пугает, а история экосистемы Android сложна. В экосистеме много разных OEM-производителей [производителей телефонов и планшетов], множество разных моделей устройств.

«[Машинное обучение] — одна из главных причин, по которой мы опередим злоумышленников».

Очень кратко описать то, что происходит в экосистеме Android, сложно, во многом так же, как очень сложно описать анатомию человека или популяцию человечества. Но мы знаем, что медицина становится лучше, и мы знаем, что люди живут дольше. Мы знаем, что люди становятся здоровее, но мы все еще читаем много историй об умирающих людях, происходящих плохих событиях и болезнях.

Я думаю, что это зеркало того, что происходит в экосистеме Android. Это сложно, поэтому нечасто можно найти удовлетворительный и очень простой ответ, но в целом он становится все более безопасным и надежным.

Мы также видим множество историй о вредоносном ПО, но находится ли в опасности среднестатистический пользователь Android, который никогда не загружает приложения за пределами Play Store?

В Play количество вредоносных программ составляет около 0,05 процента, что составляет 5 приложений из 10 000, так что это довольно низкий показатель. Что касается процента зараженных устройств, то это тот диапазон, в котором, если бы мы не говорили об этом, никто бы даже не узнал, что это происходит.

Мы говорим об этом, чтобы обеспечить прозрачность уровня риска. Часто платформы не хотят говорить о вещах. Они закрывают глаза. Нам нравится прозрачность внешних игроков, нашей политики и процессов, чтобы мы могли укрепить доверие. Мы не хотим, чтобы люди слепо доверяли.

Я предполагаю, что в экосистеме Android Play Store — самый чистый магазин приложений. Я предполагаю, что он аналогичен другим магазинам приложений с более закрытой экосистемой. [Мы полагаем, что Адриан имеет в виду Apple App Store.]

Обсудив это со многими людьми, мы, как ни странно, не знаем ни одного человека, у которого была бы проблема с вредоносным ПО для Android, но у меня самого были проблемы с Windows. Почему все говорят о Андроид безопасность?

Я думаю, что нам надоели вредоносные программы для Windows, и говорить об этом больше неинтересно. Android был своего рода новой, захватывающей вещью.

Все, что я видел, показывает это во всей экосистеме Android. Сотни миллионов устройств, которые устанавливаются из Google Play, на порядок чище, чем управляемый корпоративный парк устройств Windows. Наш уровень заражения составляет полпроцента во всем мире, причем для управляемых устройств Windows он выше, а для потребительских домохозяйств уровень заражения устройств Windows еще выше.

Но Android – это интересно. Это растущий рынок. Это растущий рынок для потребителей, но я думаю, что это также растущий рынок для индустрии безопасности, поэтому они очень заинтересованы в том, чтобы люди знали и думали об этих вещах. Это форма общения вокруг платформы.

Когда вы находите вредоносное ПО, какой тип встречается чаще всего?

Большая часть того, что мы видим, носит коммерческий характер. Обычно они пытаются заработать деньги, а механизм монетизации на мобильных устройствах заключается в установке приложений. Мы видим нишевые случаи, когда приложения ищут банковские пароли или что-то в этом роде, но самый простой способ монетизации — это установить приложение. Очень большой процент приходится на так называемых враждебных загрузчиков.

Что интересно, приложения, которые они устанавливают, сами по себе не опасны. Это может быть игра, которая хочет получить рекламу, или это может быть другой сервис, где они получают выгоду от распространения на рынке. Конечный результат — это не те вещи, о которых люди думают, когда думают о вредоносном ПО. Часто это не кто-то, кто пытается украсть ваши данные.

Там является шпионское ПО. Я не хочу утверждать, что его не существует. На этой неделе мы даже опубликовали публикацию с описанием обнаруженного нами шпионского ПО очень высокого класса, но оно было установлено на 25 устройствах. Это определенно не тот тип вещей, который распространен или наиболее популярен в экосистеме.

Есть ли в Android что-то менее безопасное по сравнению с другими мобильными операционными системами?

Я не думаю, что в этой платформе есть что-то менее безопасное. Я думаю, что из-за сложности делать заявления на уровне платформы становится сложнее.

Люди любят сравнивать iPhone с Android. iPhone — это устройство с операционной системой от производителя, по сути это около пяти разных устройств. Если посмотреть на одного производителя из Андроид — Samsung — самая крупная компания — у них сотни разных моделей устройств. Просто сравнивая Samsung с iOS, вы уже примерно в 20 раз сложнее с точки зрения этого устройства по сравнению с тем устройством. Это не разумное сравнение.

Возможно, сравнение линейки Pixel и Nexus с iPhone будет более справедливым?

Да, очень похоже по аппаратному обеспечению – схожие свойства безопасности. Магазины приложений имеют схожие свойства безопасности, проверенные приложения, изоляцию приложений — очень похожие свойства безопасности. Оба стремятся к быстрым обновлениям.

«Сравнивая Samsung с iOS, вы уже примерно в 20 раз сложнее с точки зрения этого устройства по сравнению с тем устройством».

Отличие достигается за счет прозрачности. Android имеет открытый исходный код. Эта информация доступна каждому. Мы поощряем сторонние исследования через нашу программу вознаграждений за безопасность, поэтому мы знаем, что не только мы ищем проблемы на платформе, но и другие люди тоже, и это имеет большое значение разница.

Я думаю, что услуги также имеют огромное значение. Мы намеренно предусмотрели видимость и возможность проверки устройств в полевых условиях, чего нет ни на одной другой платформе. Это означает, что мы получаем обратную связь по множеству происходящих мелочей и можем на это реагировать.

Как бороться с медленным выпуском обновлений безопасности для нестандартных устройств Android? Это расстраивает?

Мы очень ценим, сколько людей используют Android и сколько устройств имеют Андроид на них. Реальность такого огромного разнообразия экосистемы заключается в том, что некоторые производители будут действовать очень быстро, а другие — медленнее.

За последний год мы потратили много времени, пытаясь помочь тем, кто движется медленнее, решить некоторые из своих проблем. технологические проблемы, решить некоторые из своих инженерных задач, а в некоторых случаях и свои организационные задачи. вызовы. Им может не хватать штата инженеров для предоставления обновлений. Возможно, они об этом не думали, поэтому мы спрашиваем, что мы можем сделать, чтобы вы дошли до того момента, когда вы задумались об этом и это имеет смысл?

Это определенно усложняет ситуацию, но это также лежит в основе того, почему Android добился такого успеха, потому что множество разных людей смогли подключиться и начать создавать устройства.

Какие действия предприняла команда Android, чтобы сделать платформу более безопасной? И какую следующую область вы хотели бы решить или улучшить?

Я думаю, что все части очень хорошо сочетаются друг с другом. Это был многолетний путь, но криптографическая работа, которую мы выполняли, работа в песочнице, которую мы выполняли, многое работа по усложнению эксплуатации хорошо сочетается, так что это те области, над которыми мы собираемся продолжать работать на.

Почему песочница важна?

Песочница на фундаментальном уровне — это то, как вы изолируете одно приложение от другого. Игра — прекрасный пример, о котором люди не задумываются, но на ПК игры часто объединены в сеть. Это одна из немногих вещей на устройствах такого типа, у которых есть служба сетевых портов, так что это одна из самых страшных программ, которые вы используете на большинстве потребительских устройств. Если вы скомпрометируете игру, ее автор может быть совершенно милостивым, но эта игра будет иметь доступ ко всему, что есть на вашем компьютере.

Тогда как на Android это совсем не так. Затем вам также придется скомпрометировать основную операционную систему, чтобы иметь возможность выйти за рамки этого. Для нас было очень, очень важно убедиться, что вам всегда придется компрометировать код Google, код Android, чтобы достичь момента, когда вы можете сделать что-то, что действительно навредит пользователю.

Насколько важна сторонняя исследовательская программа для поиска ошибок и уязвимостей?

На самом деле это действительно важно. В прошлом году мы заплатили исследователям почти миллион долларов. Я думаю, что около 120 различных исследователей обнаружили проблемы и сообщили о них нам. Каждый месяц приходят десятки, поэтому для нас это очень важно.

На самом деле произошла одна вещь, которая действительно интересна: мы начали получать все больше и больше сообщений о проблемах не в Android, а в других компонентах устройства. Например, на этой неделе появилось сообщение о проблеме в драйверах Wi-Fi Broadcom, которая затронула Андроид, устройства iOS и все, кто использовал драйверы такого типа. Подобные вещи мы наблюдаем все чаще и чаще.

Машинное обучение начинает играть свою роль? Достаточно ли у вас данных, чтобы это было эффективно?

Сейчас у нас есть огромный объем данных, и мы начали находить некоторые методы машинного обучения, которые действительно хорошо работают для разных типов задач. Одна вещь, для которой машинное обучение работает очень хорошо, — это поиск других приложений, которые также являются вредоносными программами. Когда мы находим одно плохое приложение, мы можем в тот же день удалить тысячу или более приложений, о которых мы знаем, что они связаны между собой на основе методов машинного обучения.

И вы ожидаете, что со временем ситуация улучшится? Очевидно, он учится и должен стать лучше?

«Машинное обучение позволяет нам гораздо быстрее развивать возможности защиты».

Это одна из главных причин того, что в ближайшие пару лет мы опередим нападающих. Машинное обучение позволяет нам развивать возможности защиты гораздо быстрее, чем человек может улучшить свою маскировку. в конечном итоге именно поэтому вредоносное ПО в прошлом было постоянным — потому что даже очень небольшие изменения могли его скрыть. эффективно. Этого больше не будет.

Означает ли усиление безопасности потерю некоторой открытости и возможностей настройки, которые помогли сделать Android самой популярной мобильной ОС в мире?

Нисколько. Открытость, настраиваемость и безопасность Android — одни из его самых сильных сторон. Мы считаем, что можно продолжать улучшать все три показателя.

Когда мы сталкиваемся с особенностью, которая, по-видимому, ставит эти принципы в противоречие, мы прилагаем все усилия, чтобы найти сбалансированный подход. Одна из распространенных стратегий — сделать настройки по умолчанию более безопасными (чтобы защитить как можно больше пользователей), но при этом предоставить пользователям возможность выбора (чтобы обеспечить возможность настройки).

Мы делаем то же самое с OEM-производителями [производителями устройств], определяя надежную модель безопасности, но также предоставляющую множество возможностей для инноваций и настройки. Возникающее в результате многообразие само по себе повышает безопасность, поскольку известно, что монокультуры более подвержены системному риску. А в некоторых случаях такая настройка приводит к инновационным улучшениям безопасности, что является благом для экосистемы.

Считаете ли вы, что необходимы антивирусы, средства защиты от вредоносных программ и другие сторонние приложения для обеспечения безопасности Android?

Мы стремимся сделать бесплатную защиту, предоставляемую Google Play, лучшей защитой в мире. Мы уже думаем, что нам это удалось, и продолжим публиковать информацию, которая позволит другим перепроверить и подтвердить ее для себя.

Какой совет вы бы дали пользователю Android, у которого есть проблемы с безопасностью? Какие действия потенциально подвергают их риску и что они могут сделать, чтобы оставаться в безопасности?

Мы опубликовали статью Справочного центра по этой теме. здесь.

Рекомендации редакции

  • В ваш тарифный план Google One только что поступило два больших обновления безопасности, которые обеспечат вашу безопасность в Интернете.
  • Когда мой телефон получит Android 13? Google, Samsung, OnePlus и другие
  • Google выплатит исторический штраф в размере 85 миллионов долларов за незаконное отслеживание телефонов Android
  • Android 13 уже здесь, и вы можете загрузить его на свой телефон Pixel прямо сейчас.
  • Благодаря оптимизированным приложениям планшеты Android наконец станут больше, чем просто большими телефонами.