Android platformunun güvensiz olduğu fikri popüler ve kalıcıdır. Ve muhtemelen yanlış.
Milyonlarca cihazı etkileyen yeni bir güvenlik açığı veya yeni kötü amaçlı yazılım hakkında yeni bir manşet olmadan neredeyse bir hafta geçmiyor.
Bu sorunlar, şu gerçekle daha da şiddetlenmektedir: Android ekosistem karmaşıktır. Parçalanma platformu güncellemeyi inanılmaz derecede zorlaştırıyor. Çok sayıda farklı cihaz üreticisi, Android'in farklı sürümlerini çalıştıran binlerce farklı telefon ve tablet üretiyor. Sonuç olarak, güvenlik düzeltmeleri içeren güncellemelerin kullanıma sunulması aylar sürüyor veya daha kötüsü hiç gerçekleşmiyor. Çok fazla üretici yalnızca amiral gemilerini güncelleyerek eski ve daha küçük cihazlarda kullanıcıları riske atabilecek bilinen güvenlik açıklarını bırakıyor.
İlgili
- Google, Android telefonunuz ve saatiniz için 9 yeni özelliği duyurdu
- Google Chrome, beklediğiniz Android tablet güncellemesini alıyor
- Google, Android uygulamalarının artık yalnızca telefonlar için olmadığını bilmenizi istiyor
Gibi bir güvenlik açığını düşünün Sahne korkusuBu, bilgisayar korsanlarına bir ses veya video dosyasındaki kötü amaçlı kod yoluyla bir Android cihazının kontrolünü verebilir. Raporlar, cihazların yüzde 95'inin savunmasız olduğunu öne sürdü. Peki kaç tanesi gerçekten etkilendi?
“İşte bir buçuk yıldır buradayız, bunu ilk öğrendiğimizden bu yana neredeyse iki yıl geçiyor ve hâlâ Android Güvenliği Direktörü Adrian Ludwig, Digital'e "Kimsenin gerçekten etkilendiğini bilmiyorum" dedi. Trendler.
Sorun, Google'ın düzeltmeleri nispeten hızlı bir şekilde yapması ve bunları Google'ın Nexus serisi cihazlarına hemen sunmasıydı. Üreticilerin takdirine bağlı olarak diğer cihazlar için yamalar çıktı.
Bunun anlamı, eğer bir Google Piksel En son Android 7.0 Nougat ile en son güvenlikten yararlanıyorsunuz, ancak telefonu KitKat çalıştıran biri (yüzde 20)
Bu, kolayca çözülemeyecek çetrefilli bir sorundur ancak Android güvenlik ekibi, kullanıcılar için riski azaltmak için çok çalıştı. Korkunç istatistikler iyi manşetlere yol açar, ancak
Ludwig, "Biraz algı sorunumuz olduğunu düşünüyorum ancak bu, gerçek kullanıcı riskinden çok farklı" diye açıkladı. "Yaptığımız kriptografik çalışma, yaptığımız korumalı alan oluşturma ve sömürüyü daha zor hale getirmeye yönelik birçok çalışma güzel bir şekilde bir araya geliyor."
Digital Trends, Android güvenliğinin mevcut durumunu öğrenmek için Ludwig ile Google Hangouts'ta konuştu ve insanlara gerçekten bunu yapmaları gerekip gerekmediğini sordu. Başlıktaki güvenlik açıkları ve kötü amaçlı yazılımlarla ilgili endişelerinizi giderin ve Google'ın daha geniş bir güvenlik sağlamak için parçalanma konusunda neler yaptığını öğrenin güncellemeler.
Dijital Trendler: Android gerçekten güvensiz mi?
Adrian Ludwig: Hayır, güvensiz değil. Son birkaç yıldır beklentileri ileriye taşıyan pek çok şey yaptık.
Mac veya Windows için üçüncü taraf antivirüs korumasına sahip olmanız gerekiyordu, ancak bunu herkes için ve ücretsiz olarak yapacağımızı söyledik.
Uygulama korumalı alanı, Android güvenliği dünyasında nispeten yeni bir kavramdır; uygulamaların tüm uygulamalarınıza erişemeyeceği fikri. kullanıcı verileri, ancak yalnızca verilerine erişim tamamen yenidir, bu Mac'te var olan bir şey değildir, üzerinde var olan bir şey değildir Pencereler.
"Biraz algı sorunumuz var ama bu gerçek kullanıcı riskinden çok farklı."
Sonra cihaz şifrelemesi var. Çoğu kuruluşta bu özellik her zaman açık değildir. Mobil alanda her şeyin her zaman şifrelenmesi gerektiği yönünde bir beklenti oluşturuldu ve hatta bunun o kadar iyi şifrelenecek ki, karmaşık bir saldırının bile kullanıcı olmadan bu verilere erişmesi zor olacak yetki.
Ayrıca kötü aktörlerin nasıl çalıştığı ve ne yapmaya çalıştıkları hakkında da çok şey öğrendik ve şu anda bir nebze de olsa bir dönüm noktasındayız. İlk birkaç yılda öğreniyor, anlayışımızı geliştiriyor ve teknoloji yığınımızı geliştiriyorduk. Artık kötü oyunculara ayak uydurabiliriz. Örneğin, kötü amaçlı yazılım oranları son üç veya dört yılda nispeten sabit seyrediyor, ancak sanırım bu yıl şu an bulunduğumuz yıl. onların düştüğünü göreceğiz, belki de önemli ölçüde düşüş, çünkü yeterli beceriye sahip olduğumuz noktaya geldik ve deneyim. Artık aktörlerden daha hızlı hareket edebiliyor, onları daha erken yakalayabiliyor ve tüm ekosistemde eskisinden daha etkili bir şekilde harekete geçebiliyoruz.
Sanırım Android standartlarına göre bile kötü amaçlı yazılımlarla ilgili oldukça önemli gelişmeler görmeye başlayacağımız bir dönüm noktasındayız.
Daha yapılacak çok şey var ama son beş yılda ne kadar yol kat ettiğimizi unutmak kolaydır.
Güvenlik açıklarıyla ilgili korkutucu istatistiklere sahip çok sayıda rapor görüyoruz. Android cihazınızın kötüye kullanılması veya ele geçirilmesine ilişkin gerçekçi risk nedir? Örneğin, Stagefright gibi bir şeyin potansiyel olarak insanların yüzde 95'ini etkilediği söylendi.
Burada bir buçuk yıldır, bunu ilk öğrendiğimizden beri neredeyse iki yıl oluyor ve hala kimsenin gerçekten etkilenip etkilenmediğini bilmiyoruz. Az sayıda cihazın etkilenmiş olabileceğine dair söylentiler var, ancak bunlar için bile kanıtlanmış bir kanıtımız yok.
Ve güven bana, ne zaman böyle bir söylenti duysak, onu yakalamaya çalışırız. Bu açıklamayı yapan şirketle konuşmaya gidiyoruz. Paylaşabilecekleri veriler olup olmadığını soruyoruz. Bu rakamların hiçbirini hiçbir zaman kanıtlayamadık. Kesinlikle 900 milyon cihazın etkilenmediğini söyleyebilirim.
Elbette manşetler ve heyecan gerçeklikle orantısızdı ve belki de kimse etkilenmedi. Bence bu inanılmaz bir şey, geriye dönüp baktığımda bile her zaman göremediğin bir şeyler olabileceğine dair bir endişe var ama bu kör noktaları ortaya çıkaran şey zaman gibi görünüyor.
Son altı yıldır Android güvenliği üzerinde çalışıyorum ve birisinin "bu bir kör nokta" dediği bir alana her baktığınızda hiçbir şey bulmuyoruz. Başlangıçta "Google Play'de tonlarca kötü amaçlı yazılım var" diyorduk ve baktık, biraz vardı, kaldırdık. Sonra “Google Play dışında” diye duyuyoruz, bakıyoruz, var, oldukça iyi korumalar uyguluyoruz. Sonra “gelecek yıl tırmanacak” ve bu da olmadı. Şimdi “güvenlik açıklarından yararlanılacak” ama biz bunu görmüyoruz.
Kötü aktörleri aramak için aradığımız yerde, yaptığımız kontrollerde ve sağladığımız hizmetlerde defalarca ilerliyoruz, ancak gerçek bir zarar göremiyoruz.
Bununla birlikte, elimizden geldiğince dikkatli olmak istiyoruz ve bu nedenle tüm bu küçük karanlık sokaklara bakmak için hizmetlere yatırım yapıyoruz. Ayrıca mümkün olduğu kadar hızlı yanıt verebilmelerini sağlamak için iş ortaklarımızla birlikte çalışıyoruz, bu nedenle çok fazla yatırım yaptık. güvenlik güncellemeleri, çok fazla gerçek istismar gördüğümüz için değil, bunun bir risk olmasını istemediğimiz için gerçekleştirilmiş.
Bunların çoğu önde kalmak ve asla sorunun olduğu bir noktaya gelmemekle ilgilidir.
Android'in güvenlik açıklarından oluşan "zehirli bir cehennem yahnisi" olduğuna dair bu anlatının neden devam ettiğini düşünüyorsunuz?
Birkaç nedeni var. Birincisi, karmaşıklığın genellikle çok korkutucu olması ve Android ekosisteminin anlatısının karmaşık olmasıdır. Ekosistemde pek çok farklı OEM (telefon ve tablet üreticisi) ve pek çok farklı cihaz modeli var.
"[Makine öğrenimi] saldırganların önüne geçmemizin ana nedenlerinden biri."
İnsan anatomisini veya insan nüfusunu anlatmak ne kadar zorsa, Android ekosisteminde neler olup bittiğini çok kısa ve öz bir şekilde anlatmak da zordur. Ama bunu biliyoruz tıp iyiye gidiyorve insanların daha uzun yaşadığını biliyoruz. İnsanların daha sağlıklı hale geldiğini biliyoruz ama hâlâ insanların ölmesi, kötü olayların yaşanması ve hastalıklarla ilgili pek çok hikaye okuyoruz.
Bunun Android ekosisteminde olup bitenlerin bir aynası olduğunu düşünüyorum. Karmaşık olduğundan çoğu zaman tatmin edici, süper basit bir yanıt bulunamasa da genel olarak giderek daha güvenli ve sağlam hale geliyor.
Ayrıca çok sayıda kötü amaçlı yazılım hikayesi de görüyoruz, ancak Play Store dışında hiçbir zaman uygulama indirmeyen ortalama Android kullanıcısı tehlikede mi?
Play'de kötü amaçlı yazılım sayısı yaklaşık yüzde 0,05'tir; bu da 10.000 uygulamadan 5'idir, yani bu oldukça düşük. Cihazların yüzde kaçının virüs bulaştırdığı açısından bakıldığında bu, eğer bu konuda konuşmasaydık kimsenin bunun olduğunu bile bilmeyeceği aralıktadır.
Risk düzeyi hakkında şeffaflık olduğundan emin olmak için bunun hakkında konuşuyoruz. Çoğu zaman platformlar bazı şeyler hakkında konuşmak istemez. Göz yumuyorlar. Dış aktörlere, politikalarımıza ve süreçlerimize karşı şeffaf olmayı seviyoruz, böylece güven inşa edebiliriz. İnsanların körü körüne güvenmelerini istemiyoruz.
Benim tahminim, kesinlikle Android ekosisteminde Play Store'un en temiz uygulama mağazası olduğu yönündedir. Daha kapalı ekosistemlere sahip diğer uygulama mağazalarıyla benzer şekilde karşılaştırılacağını hayal ediyorum. [Adrian'ın Apple App Store'dan bahsettiğini düşünüyoruz.]
Bunu pek çok kişiyle tartıştığımızdan, anekdot olarak, Android kötü amaçlı yazılım sorunu yaşayan kimseyi tanımıyoruz, ancak benim de Windows sorunlarım oldu. Neden herkes bunu konuşuyor
Sanırım Windows kötü amaçlı yazılımlarından sıkıldık ve bu yüzden artık bunun hakkında konuşmak eğlenceli değil. Android bir bakıma yeni ve heyecan verici bir şeydi.
Gördüğüm her şey bunu Android ekosisteminde gösteriyor. Google Play'den yüklenen yüz milyonlarca cihaz, yönetilen kurumsal Windows cihaz filosundan çok daha temizdir. Bulaşma oranımız dünya çapında yüzde yarımdır; yönetilen Windows cihazlarında bu oran daha yüksektir ve tüketici evlerinde Windows cihazlarındaki enfeksiyon oranı daha da yüksektir.
Ancak Android heyecan verici. Büyüyen bir pazar. Tüketiciler için büyüyen bir pazar ama bence güvenlik sektörü için de büyüyen bir pazar, bu yüzden insanların bu konularda bilinçli olmasını ve düşünmesini sağlamakla çok ilgileniyorlar. Platform etrafındaki iletişimin şekli budur.
Kötü amaçlı yazılım bulduğunuzda en yaygın olan tür hangisidir?
Gördüklerimizin çoğu doğası gereği ticari. Genellikle para kazanmaya çalışıyorlar ve mobil cihazlarda para kazanmanın mekanizması uygulamaları yüklemektir. Bankacılık şifrelerinin veya buna benzer şeylerin peşinde olan niş uygulamalar görüyoruz, ancak para kazanmanın en basit yolu bir uygulama yüklemektir. Çok büyük bir yüzde, düşman indiriciler dediğimiz kişilerle ilgilidir.
İlginç olan, yükledikleri uygulamaların kendilerinin zararlı olmamasıdır. Bu, terfi almak isteyen bir oyun olabilir ya da pazar dağıtımından faydalandıkları başka bir hizmet olabilir. Nihai sonuç, insanların kötü amaçlı yazılım hakkında düşündüklerinde düşündükleri türden şeyler değildir. Genellikle verilerinizi çalmaya çalışan biri değildir.
Orada dır-dir casus yazılım. Onun var olmadığını öne sürmek istemiyorum. Hatta bu hafta bulduğumuz son derece ileri teknolojiye sahip bir casus yazılımı anlatan bir gönderi bile yayınladık, ancak bu 25 cihazdaydı. Kesinlikle ekosistemde yaygın veya en popüler olan türde bir şey değil.
Diğer mobil işletim sistemleriyle karşılaştırıldığında Android'in doğası gereği daha az güvenli bir yanı var mı?
Platformda doğası gereği daha az güvenli bir şey olduğunu düşünmüyorum. Karmaşıklığın platform düzeyinde açıklama yapmayı daha da zorlaştırdığını düşünüyorum.
İnsanlar iPhone'u Android ile karşılaştırmayı seviyor. iPhone, bir üreticinin işletim sistemine sahip bir cihaz, aslında yaklaşık beş farklı cihazdan oluşuyor. Bir üreticiye bakarsanız
Belki Pixel ve Nexus serisini iPhone ile karşılaştırmak daha adil olabilir?
Evet, donanım açısından çok benzer; benzer güvenlik özellikleri. Uygulama mağazaları benzer güvenlik özelliklerine, doğrulanmış uygulamalara, uygulama yalıtımına, yani çok benzer güvenlik özelliklerine sahiptir. Her ikisinin de hızlı güncelleme taahhüdü var.
"Samsung'u iOS ile karşılaştırdığınızda, bu cihaz ve şu cihaz açısından zaten kabaca 20 kat daha karmaşıksınız."
Farklılaşmaya vardığınız yer şeffaflıktır. Android açık kaynaktır. Bu bilgiler herkesin elindedir. Güvenlik ödül programımız aracılığıyla üçüncü taraf araştırmalarını teşvik ediyoruz; Sorunları biz platformda mı arıyoruz, ancak diğer insanlar da öyle ve bu büyük bir sorun yaratıyor fark.
Hizmetlerin de büyük bir fark yarattığını düşünüyorum. Sahadaki cihazların görünürlüğünü ve kontrol edilebilmesini kasıtlı olarak tasarladık, oysa bu başka hiçbir platformda mevcut değil. Bu, olup biten pek çok küçük şey hakkında geri bildirim aldığımız ve bunlara yanıt verebileceğimiz anlamına geliyor.
Stokta olmayan Android cihazlar için güvenlik güncellemelerinin yavaş yavaş sunulmasıyla nasıl mücadele edeceksiniz? Sinir bozucu mu?
Kaç kişinin Android'i benimsediğini ve kaç cihazın Android'i benimsediğini gerçekten takdir ediyoruz.
Geçtiğimiz yıl, daha yavaş hareket edenlerin bazı sorunlarını çözmelerine yardımcı olmaya çalışmak için çok zaman harcadık. teknoloji zorluklarını çözebilir, mühendislik zorluklarından bazılarını ve bazı durumlarda organizasyonel sorunlarını çözebilir. zorluklar. Güncellemeleri sağlayacak mühendis kadrosundan yoksun olabilirler. Belki de bunu düşünmediler, bu yüzden sizi bu konuyu düşündüğünüz ve bunun mantıklı olduğu bir noktaya getirmek için ne yapabileceğimizi soruyoruz.
Bu kesinlikle işleri daha karmaşık hale getiriyor, ancak aynı zamanda Android'in bu kadar başarılı olmasının da temelinde bu var, çünkü pek çok farklı kişi devreye girip cihaz oluşturmaya başlayabildi.
Android ekibi platformu daha güvenli hale getirmek için hangi eylemi gerçekleştirdi? Peki ele almak veya geliştirmek istediğiniz bir sonraki alan nedir?
Bütün parçaların çok güzel bir şekilde bir araya geldiğini düşünüyorum. Çok yıllı bir yolculuktu ama yaptığımız kriptografik çalışma, yaptığımız sanal alan oluşturma, pek çok şey sömürüyü daha da zorlaştıracak çalışmaların hepsi güzel bir şekilde bir araya geliyor, dolayısıyla çalışmaya devam edeceğimiz alanlar bunlar Açık.
Korumalı alan oluşturma neden önemlidir?
Temel düzeyde korumalı alan oluşturma, bir uygulamayı diğerinden nasıl izole ettiğinizle ilgilidir. Bir oyun, insanların onun hakkında düşünmediği mükemmel bir örnektir, ancak bir PC'de oyunlar genellikle ağa bağlıdır. Bu tür bir cihazda ağ bağlantı noktası hizmeti olan birkaç şeyden biridir, dolayısıyla çoğu tüketici cihazında çalıştırdığınız en korkutucu yazılımlardan biridir. Bir oyundan ödün verirseniz, oyunun yazarı son derece iyi huylu olabilir ancak o oyunun bilgisayarınızdaki her şeye erişimi vardır.
Oysa Android'de durum hiç de böyle değil. Daha sonra bunun ötesine geçebilmek için çekirdek işletim sisteminden de ödün vermeniz gerekir. Bizim için bu, bir kullanıcıya gerçekten zarar verecek bir şey yapabileceğiniz noktaya ulaşmak için her zaman Google'ın kodundan, Android'in kodundan ödün vermeniz gerektiğinden emin olmak gerçekten çok önemliydi.
Hataları ve güvenlik açıklarını bulmak için üçüncü taraf araştırma programı ne kadar önemlidir?
Aslında çok önemli. Geçen yıl araştırmacılara neredeyse bir milyon dolar ödedik. Sorunları bulup bize bildiren yaklaşık 120 farklı araştırmacının olduğunu düşünüyorum. Her ay onlarca kişi geliyor, bu yüzden bizim için gerçekten önemli.
Gerçekleşen ve gerçekten ilginç olan şey, Android'de değil, cihazdaki diğer bileşenlerde giderek daha fazla sorun raporu almaya başlamamızdır. Örneğin, bu hafta Broadcom'un Wi-Fi sürücülerinde etkilenen bir soruna ilişkin bir rapor vardı.
Makine öğrenimi bir rol oynamaya başlıyor mu? Etkili olması için yeterli veriniz var mı?
Artık çok büyük miktarda veriye sahibiz ve farklı türde şeyler için gerçekten işe yarayan bazı makine öğrenimi teknikleri bulmaya başladık. Makine öğreniminin gerçekten işe yaradığı şeylerden biri de kötü amaçlı yazılım olan diğer uygulamaları bulmaktır. Kötü bir uygulama bulduğumuzda, makine öğrenimi tekniklerine dayalı olarak birbiriyle ilişkili olduğunu bildiğimiz bin veya daha fazla uygulamayı aynı gün içinde kaldırabiliriz.
Ve bunun zamanla düzelmesini mi bekliyorsunuz? Belli ki öğreniyor, dolayısıyla daha iyi olması mı gerekiyor?
"Makine öğrenimi, koruma yeteneklerini çok daha hızlı geliştirmemize olanak sağlıyor."
Önümüzdeki birkaç yıl içinde saldırganların önüne geçmemizin ana nedenlerinden biri bu. Makine öğrenimi, koruma yeteneklerini bir insanın saklanmalarını geliştirebileceğinden çok daha hızlı bir şekilde geliştirmemize olanak tanır. Geçmişte kötü amaçlı yazılımların kalıcı olmasının nedeni de budur; çünkü çok küçük değişiklikler bile onu gizleyebilir etkili bir şekilde. Artık durum böyle olmayacak.
Güvenliğin sıkılaştırılması, Android'i dünyadaki en popüler mobil işletim sistemi haline getirmeye yardımcı olan açıklık ve özelleştirilebilirliğin bir kısmını kaybetmek anlamına mı geliyor?
Hiç de bile. Android'in açıklığı, özelleştirilebilirliği ve güvenliği en güçlü yönleri arasındadır. Her üç alanda da gelişmeye devam etmenin mümkün olduğunu düşünüyoruz.
Bu ilkeleri çatışan bir özellikle karşılaştığımızda dengeli bir yaklaşım bulmak için büyük çaba harcarız. Yaygın stratejilerden biri, varsayılanın daha güvenli olmasını sağlamak (mümkün olduğunca çok kullanıcıyı korumak için) ve kullanıcılara seçim hakkı vermek (özelleştirmeye izin vermek).
Aynı şeyi OEM'ler (cihaz üreticileri) için de yapıyoruz; sağlam bir güvenlik modeli tanımlıyoruz, ancak aynı zamanda yenilik ve özelleştirme için sayısız fırsat sağlıyoruz. Monokültürlerin sistemik risklere karşı daha duyarlı olduğu bilindiğinden, ortaya çıkan çeşitlilik başlı başına bir güvenlik artışıdır. Bazı durumlarda bu özelleştirme, ekosistem için bir nimet olan yenilikçi güvenlik geliştirmelerine yol açıyor.
Antivirüs, kötü amaçlı yazılımdan koruma ve diğer üçüncü taraf Android güvenlik uygulamalarına ihtiyaç olduğunu düşünüyor musunuz?
Google Play tarafından sağlanan ücretsiz korumaları dünyadaki en iyi koruma haline getirmeye kararlıyız. Bunu zaten başardığımızı düşünüyoruz ve başkalarının bunu tekrar kontrol edip onaylamasını mümkün kılan bilgileri yayınlamaya devam edeceğiz.
Güvenlik kaygısı olan bir Android kullanıcısına ne gibi tavsiyelerde bulunursunuz? Hangi eylemler potansiyel olarak onları riske sokar ve güvende kalmak için ne yapabilirler?
Bu konuyla ilgili bir yardım merkezi makalesi yayınladık. Burada.
Editörlerin Önerileri
- Google One planınıza, çevrimiçi ortamda güvende olmanızı sağlayacak 2 büyük güvenlik güncellemesi geldi
- Telefonum ne zaman Android 13'e kavuşacak? Google, Samsung, OnePlus ve daha fazlası
- Google, Android telefonları yasadışı bir şekilde takip ettikten sonra 85 milyon dolarlık tarihi bir para cezası ödüyor
- Android 13 geldi ve şu anda Pixel telefonunuza indirebilirsiniz
- Optimize edilmiş uygulamalarla Android tabletler nihayet büyük telefonlardan daha fazlası olacak
