Tanken att Android-plattformen är osäker är populär och ihållande. Och mycket möjligt fel.
Det går knappt en vecka utan en ny rubrik om en nyligen upptäckt sårbarhet eller ny skadlig programvara som påverkar miljontals enheter.
Dessa problem förvärras av det faktum att Android ekosystemet är komplicerat. Splittring gör det otroligt svårt att uppdatera plattformen. En mängd olika enhetstillverkare bygger tusentals olika telefoner och surfplattor som kör olika versioner av Android. Som ett resultat tar det månader att rulla ut uppdateringar med säkerhetskorrigeringar i dem – eller ännu värre, gör det aldrig alls. Alltför många tillverkare uppdaterar bara sina flaggskepp, vilket lämnar kända sårbarheter i äldre och mindre enheter som kan utsätta användare för risker.
Relaterad
- Google tillkännagav just 9 nya funktioner för din Android-telefon och klocka
- Google Chrome får uppdateringen av Android-surfplattan du har väntat på
- Google vill att du ska veta att Android-appar inte bara är för telefoner längre
Tänk på en sårbarhet som Scenskräck, vilket kan ge hackare kontroll över en Android-enhet genom skadlig kod i en ljud- eller videofil. Rapporter tydde på att upp till 95 procent av enheterna var sårbara. Men hur många drabbades egentligen?
"Här är vi ett och ett halvt år, nästan två år sedan vi först fick reda på det och vi fortfarande vet inte att någon faktiskt är påverkad, säger Adrian Ludwig, chef för Android Security, till Digital Trender.
Oron var att Google arbetade ut korrigeringar relativt snabbt och rullade ut dem till Googles Nexus-enhet omedelbart. Patchar för andra enheter kom ut efter tillverkarnas gottfinnande.
Det betyder att om du har en Google Pixel med den senaste Android 7.0 Nougat drar du nytta av den senaste säkerheten, men någon med en telefon som kör KitKat (20 procent av
Det är ett besvärligt problem som inte är lätt att lösa, men Android-säkerhetsteamet har arbetat hårt för att minska risken för användarna. Skrämmande statistik ger bra rubriker, men gör det
"Jag tror att vi har lite av ett uppfattningsproblem, men det skiljer sig mycket från den faktiska användarrisken," förklarade Ludwig. "Det kryptografiska arbetet som vi har gjort, sandboxningen som vi har gjort och mycket av arbetet för att försvåra exploatering hänger ihop bra."
Digital Trends pratade med Ludwig på Google Hangouts för att ta reda på det aktuella läget för Android-säkerhet, fråga om folk verkligen borde oroa dig för rubriksårbarheter och skadlig programvara och lär dig vad Google gör om fragmentering för att möjliggöra bredare säkerhet uppdateringar.
Digitala trender: Är Android verkligen osäkert?
Adrian Ludwig: Nej, det är inte osäkert. Det finns många saker vi har gjort som har flyttat förväntningarna framåt under de senaste åren.
För Mac eller Windows var du tvungen att ha tredjeparts antivirusskydd, men vi sa att vi kommer att göra det för alla och göra det gratis.
Application sandboxing är ett relativt nytt koncept inom Android-säkerhetsvärlden – tanken att applikationer inte har tillgång till alla dina användardata, men bara ha tillgång till deras data är helt ny, det är inte något som finns på Mac, det är inte något som finns på Windows.
"Vi har lite av ett uppfattningsproblem, men det skiljer sig mycket från den faktiska användarrisken."
Sedan finns det enhetskryptering. De flesta företag har det inte påslaget hela tiden. Det har ställts en förväntning i det mobila utrymmet att allt ska vara krypterat hela tiden och det finns till och med en förväntan att det är kommer att krypteras så bra att det kommer att bli svårt även för en sofistikerad attack att få tillgång till den datan utan användare tillstånd.
Vi har också lärt oss mycket om hur de dåliga skådespelarna fungerar och vad de försöker göra, och vi är nu på lite av en brytpunkt. Under de första åren lärde vi oss, byggde upp vår förståelse och förbättrade vår teknikstack. Nu kan vi hålla jämna steg med de dåliga skådespelarna. Skadlig programvara är till exempel relativt oförändrad under de senaste tre eller fyra åren, men jag tror att det här är året där vi är kommer att se dem sjunka, kanske sjunka betydligt, eftersom vi har kommit till den punkt där vi har tillräckligt med skicklighet och erfarenhet. Vi kan nu röra oss snabbare än aktörerna, fånga dem tidigare och vidta åtgärder mer effektivt över hela ekosystemet än vi kunde tidigare.
Jag tror att vi är vid en vändpunkt där vi även med Android-standarder kommer att börja se ganska betydande förbättringar när det gäller skadlig programvara.
Det finns fortfarande mer att göra, men det är lätt att glömma hur långt vi har kommit under de senaste fem åren.
Vi ser många rapporter om sårbarheter med skrämmande statistik. Vad är den realistiska risken för att din Android-enhet utnyttjas eller kapas? Till exempel sades något som Stagefright potentiellt påverka 95 procent av
Här är vi ett och ett halvt år, nästan två år sedan vi först fick reda på det och vi vet fortfarande inte att någon faktiskt har påverkats. Det finns rykten om att ett litet antal enheter kan ha påverkats, men även de har vi inte fått några underbyggda bevis för.
Och tro mig, när vi hör ett sådant rykte försöker vi jaga det. Vi går och pratar med företaget som gör det uttalandet. Vi frågar om det finns data som de kan dela. Vi har aldrig kunnat styrka några av dessa siffror. Jag kan definitivt säga att det inte var 900 miljoner enheter som påverkades.
Visst, rubrikerna som spreds och spänningen var oproportionerliga mot verkligheten och det kan vara så att ingen påverkades. Vilket är otroligt tycker jag, även när jag ser tillbaka på mig själv finns det alltid en oro för att det kan vara något du inte ser, men tiden verkar vara det som avslöjar de där blinda fläckarna.
Jag har arbetat med Android-säkerhet under de senaste sex åren och varje gång du tittar i ett område där någon har sagt "det är en blind fläck" hittar vi ingenting. Så tidigt var det "det finns massor av skadlig programvara i Google Play" och vi tittade, det fanns några, vi tog bort det. Sedan hör vi "det är utanför Google Play", vi tittar, det finns några, vi sätter ganska bra skydd på plats. Sedan "kommer det att klättra nästa år" och det hände inte heller. Nu, "det är sårbarheter som kommer att utnyttjas", men vi ser det inte.
Gång på gång går vi framåt med var vi letar och kontrollerna vi gör och de tjänster vi tillhandahåller för att leta efter dåliga skådespelare, men vi ser helt enkelt ingen skada.
Som sagt, vi vill vara så försiktiga vi kan och därför investerar vi i tjänster för att leta i alla de där små mörka gränderna. Vi arbetar också med partners för att se till att de kan svara så snabbt som möjligt, så det är där vi har investerat mycket i säkerhetsuppdateringar, inte för att vi ser mycket faktisk utnyttjande, utan för att vi inte vill att det ska vara en risk som någonsin uppstår insett.
Mycket handlar om att ligga före och aldrig komma till en punkt där det finns ett problem.
Varför tror du att den här berättelsen om att Android är en "giftig helvete" av sårbarheter kvarstår?
Det finns några anledningar. En är att komplexitet ofta är väldigt skrämmande och berättelsen för Androids ekosystem är komplex. Det finns många olika OEM-tillverkare [telefon- och surfplattor] i ekosystemet, många olika enhetsmodeller.
"[Machine learning] är en av de främsta anledningarna till att vi kommer att gå före angriparna."
Det är svårt att mycket kortfattat beskriva vad som händer i Androids ekosystem, ungefär på samma sätt som att beskriva mänsklig anatomi eller mänsklighetens befolkning är mycket svårt. Men det vet vi medicinen blir bättre, och vi vet att människor lever längre. Vi vet att människor blir friskare, men vi läser fortfarande massor av berättelser om människor som dör, dåliga saker som händer och sjukdomar.
Jag tror att det är en spegel av vad vi har på gång i Android-ekosystemet. Det är komplicerat, så det finns inte ofta ett tillfredsställande, superenkelt svar, men överlag blir det mer och mer säkert och robust.
Vi ser också många berättelser om skadlig programvara, men är den genomsnittliga Android-användaren, som aldrig laddar ner appar utanför Play Butik, i fara?
Från Play är antalet skadlig programvara cirka 0,05 procent, vilket är 5 av 10 000 appar, så det är ganska lågt. När det gäller hur stor andel av enheterna som blir infekterade, är det i det intervallet där om vi inte pratade om det, ingen skulle veta att det ens hände.
Vi pratar om det för att se till att det finns transparens om risknivån. Ofta vill plattformar inte prata om saker. De blundar. Vi gillar att ha insyn i externa aktörer och våra policyer och processer, så att vi kan bygga förtroende. Vi vill inte att folk ska lita blint.
Min gissning skulle vara att Play Store är den renaste appbutiken i Android-ekosystemet. Jag kan föreställa mig att det kan jämföras med andra appbutiker med ekosystem som är mer stängda. [Vi tror att Adrian syftar på Apple App Store.]
Efter att ha diskuterat det med många människor, anekdotiskt, känner vi inte till någon som har haft ett Android-problem med skadlig programvara, men jag har själv haft Windows-problem. Varför pratar alla om
Jag tror att vi har tröttnat på Windows malware och så det är inte roligt att prata om det längre. Android var något av det nya, spännande.
Allt jag har sett visar det i Androids ekosystem. De hundratals miljoner enheter som installeras från Google Play är en storleksordning renare än en hanterad företagsflotta av Windows-enheter. Vår infektionsfrekvens är en halv procent globalt, där för hanterade Windows-enheter är den högre, och för konsumenthushåll är infektionsfrekvensen för Windows-enheter ännu högre.
Men Android är spännande. Det är en växande marknad. Det är en växande marknad för konsumenter, men jag tror att det också är en växande marknad för säkerhetsbranschen, så de är väldigt intresserade av att se till att folk är medvetna om och tänker på dessa saker. Det är formen för kommunikation runt plattformen.
När du hittar skadlig programvara, vilken typ är vanligast?
Det mesta av det vi ser är kommersiellt till sin natur. De försöker vanligtvis tjäna pengar och mekanismen för att tjäna pengar på mobilen är att installera applikationer. Vi ser nischfall av appar som går efter banklösenord eller liknande, men det enklaste sättet att tjäna pengar på är att installera en app. En mycket stor andel är relaterad till vad vi kallar fientliga nedladdare.
Det som är intressant är att apparna de installerar inte i sig själva är skadliga. Det kan vara ett spel som vill få en kampanj, eller så kan det vara en annan tjänst där de drar nytta av att ha marknadsdistribution. Slutresultatet är inte den typ av saker som folk tänker på när de tänker på skadlig programvara. Det är ofta inte någon som försöker stjäla din data.
där är spionprogram. Jag vill inte påstå att det inte finns. Vi gjorde till och med ett inlägg den här veckan som beskrev ett mycket avancerad spionprogram som vi hittade, men det var på 25 enheter. Det är verkligen inte den typ av sak som är vanlig eller mest populär i ekosystemet.
Finns det något som är mindre säkert med Android jämfört med andra mobila operativsystem?
Jag tror inte att det är något som är mindre säkert med plattformen. Jag tror att komplexiteten gör det svårare att göra uttalanden på plattformsnivå.
Folk älskar att jämföra iPhone med Android. iPhone är en enhet med ett operativsystem från en tillverkare, i själva verket handlar det om fem olika enheter. Om man tittar på en tillverkare från
Det kanske är mer rättvist att jämföra Pixel- och Nexus-linjen med iPhone?
Ja, mycket liknande hårdvarumässigt – liknande säkerhetsegenskaper. Appbutikerna har liknande säkerhetsegenskaper, verifierade appar, applikationsisolering — mycket liknande säkerhetsegenskaper. Båda har ett engagemang för snabba uppdateringar.
"När du jämför Samsung med iOS är du redan ungefär 20 gånger mer komplex när det gäller den här enheten jämfört med den enheten."
Där man hamnar i differentiering är i transparens. Android är öppen källkod. Den informationen är tillgänglig för alla. Vi uppmuntrar tredjepartsforskning genom vårt säkerhetsbelöningsprogram, så vi vet inte bara det letar vi efter problem i plattformen, men andra människor är också och det gör en stor skillnad.
Jag tror att tjänsterna också gör stor skillnad. Vi har avsiktligt utformat synlighet och möjlighet att kontrollera enheter i fält, medan det inte finns på någon annan plattform. Det betyder att vi får feedback på en massa småsaker som händer och vi kan svara på det.
Hur bekämpar du den långsamma utbyggnaden av säkerhetsuppdateringar för Android-enheter som inte finns i lager? Är det frustrerande?
Vi uppskattar verkligen hur många som har antagit Android och hur många enheter som har
Vi har spenderat mycket tid under det senaste året för att försöka hjälpa dem som går långsammare att lösa en del av sina tekniska utmaningar, lösa några av deras tekniska utmaningar, och i vissa fall dess organisatoriska utmaningar. De kan sakna en personal med ingenjörer för att tillhandahålla uppdateringar. De kanske inte tänkte på det, så vi frågar vad vi kan göra för att få dig till en punkt där du har tänkt på det och det är vettigt?
Det gör definitivt saker och ting mer komplicerade, men det är också kärnan i varför Android har varit så framgångsrikt, eftersom många olika människor kunde hoppa in och börja bygga enheter.
Vilka åtgärder har Android-teamet vidtagit för att göra plattformen säkrare? Och vad är nästa område du vill ta itu med eller förbättra?
Jag tycker att alla bitar går riktigt bra ihop. Det har varit en mångårig resa, men det kryptografiska arbetet som vi har gjort, sandboxningen som vi har gjort, en hel del arbetet med att försvåra exploatering går bra ihop, så det är de områden som vi kommer att fortsätta arbeta med på.
Varför är sandboxning viktigt?
Sandboxning på en grundläggande nivå handlar om hur du isolerar en applikation från en annan. Ett spel är ett perfekt exempel, ett där folk inte tänker på det, men på en PC är spel ofta nätverksanslutna. De är en av de få sakerna på den typen av enhet som har nätverksporttjänster, så det är en av de läskigaste programvarorna som du kör på de flesta konsumentenheter. Om du kompromissar med ett spel kan spelförfattaren vara helt godartad, men det spelet har tillgång till allt på din PC.
Medan det inte alls är fallet på Android. Du måste då även kompromissa med kärnoperativsystemet för att kunna gå längre än det. För oss var det verkligen, verkligen viktigt att se till att du alltid måste kompromissa med Googles kod, Androids kod, för att komma till den punkt där du kan göra något som verkligen skadar en användare.
Hur viktigt är tredjepartsforskningsprogrammet för att hitta buggar och sårbarheter?
Det är riktigt viktigt faktiskt. Förra året betalade vi nästan en miljon dollar till forskare. Jag tror att det var cirka 120 olika forskare som hittade problem och rapporterade dem till oss. Dussintals kommer in varje månad, så det är verkligen viktigt för oss.
En sak som faktiskt har hänt som är riktigt intressant är att vi började få fler och fler rapporter om problem, inte i Android, utan i andra komponenter som finns i enheten. Den här veckan kom det till exempel en rapport om ett problem i Broadcoms Wi-Fi-drivrutiner som påverkade
Börjar maskininlärning spela en roll? Har du tillräckligt med data för att det ska vara effektivt?
Vi har en enorm mängd data nu och vi har börjat hitta några maskininlärningstekniker som fungerar riktigt bra för olika typer av saker. En sak som maskininlärning fungerar riktigt bra för är att hitta andra applikationer som också är skadliga program. När vi hittar en dålig app kan vi kanske ta ner tusen eller fler applikationer samma dag som vi vet är relaterade baserat på maskininlärningstekniker.
Och du förväntar dig att det kommer att förbättras med tiden? Uppenbarligen lär det sig så det borde bli bättre?
"Maskininlärning låter oss utveckla skyddsfunktioner mycket snabbare."
Det är en av huvudorsakerna till att vi under de kommande åren kommer att ligga före angriparna. Maskininlärning låter oss utveckla skyddsfunktioner mycket snabbare än en människa kan förbättra sin gömning, vilket i slutändan är anledningen till att skadlig programvara i det förflutna har varit ihållande - eftersom även mycket små förändringar kan dölja det effektivt. Det kommer inte att vara fallet längre.
Betyder en skärpning av säkerheten att man förlorar en del av den öppenhet och anpassningsbarhet som har hjälpt till att göra Android till världens mest populära mobila operativsystem?
Inte alls. Öppenheten, anpassningsbarheten och säkerheten hos Android är alla en av dess största styrkor. Vi tror att det är möjligt att fortsätta att förbättra sig på alla tre.
När vi konfronteras med en funktion som verkar sätta dessa principer i konflikt, kommer vi att gå långt för att hitta ett tillvägagångssätt som är balanserat. En vanlig strategi är att ha standarden säkrare (för att skydda så många användare som möjligt) samtidigt som användarna tillåter val (för att möjliggöra anpassning).
Vi gör samma sak med OEMs [enhetstillverkare], och definierar en säkerhetsmodell som är robust, men som också ger en mängd möjligheter att förnya och anpassa. Den resulterande mångfalden är i sig en säkerhetsförbättring, eftersom monokulturer är kända för att vara mer mottagliga för systemrisker. Och i vissa fall leder den anpassningen till innovativa säkerhetsförbättringar, vilket är en välsignelse för ekosystemet.
Tror du att antivirus, anti-malware och andra säkerhetsappar för Android från tredje part behövs?
Vi är fast beslutna att göra de kostnadsfria skydden som tillhandahålls av Google Play till det bästa skyddet i världen. Vi tror redan att vi har åstadkommit det, och vi kommer att fortsätta att publicera information som gör det möjligt för andra att dubbelkolla och bekräfta det själva.
Vilka råd skulle du ge en Android-användare med säkerhetsproblem? Vilka åtgärder kan utsätta dem för risker och vad kan de göra för att förbli säkra?
Vi har publicerat en hjälpcenterartikel om detta ämne, här.
Redaktörens rekommendationer
- Din Google One-plan har precis fått två stora säkerhetsuppdateringar för att hålla dig säker online
- När får min telefon Android 13? Google, Samsung, OnePlus med flera
- Google betalar en historisk böter på 85 miljoner dollar efter att olagligt spårat Android-telefoner
- Android 13 är här och du kan ladda ner den på din Pixel-telefon just nu
- Med optimerade appar kommer Android-surfplattor äntligen att bli mer än stora telefoner
