Чи справді Android небезпечний? Ми запитали експертів

Android є найпоширенішою мобільною платформою на планеті. Понад 1,4 мільярда людей користуються смартфоном або планшетом Android щодня, і той факт, що він є відкритим і безкоштовним для виробників, є значною частиною цієї популярності. Але відкритість — це палиця з двома кінцями: це призвело до ситуації, коли багато телефонів Android не регулярно оновлювалися останніми виправленнями безпеки.

Привид шкідливих програм навис над собою Android за останні кілька років, коли дослідники виявляють дуже серйозні вразливості, наприклад Страх сцени. Негативні новини надходять настільки швидко та швидко, що їх важко зрозуміти. Минулого тижня ми повідомляли про це Шкідлива програма FalseGuide, що могло вплинути на 1,8 мільйона Android користувачів.

Зважаючи лише на заголовки газет, вам пробачили б побоювання Android безпеки, але де межа між гіперболою та справжнім ризиком? Платформа справді небезпечна?

«Ні, це не небезпечно. Я справді вважаю, що у нас є певна проблема сприйняття, але вона дуже відрізняється від реального ризику користувача», – Адріан Людвіг, директор

Android Безпека, розповів Digital Trends в нещодавньому інтерв'ю. «Криптографічна робота, яку ми виконували, пісочниця, яку ми робили, і багато роботи, щоб ускладнити експлуатацію, все добре поєднується».

Немає сумнівів, що найновіші версії Android є більш безпечними, ніж їхні попередники, але проблема в тому, що багато Android користувачі ніколи не відчувають переваги. Озираючись на 2016 рік в а публікація в блозі, Android Команда безпеки визнала, що приблизно половина пристроїв, які використовувалися наприкінці 2016 року, не отримували оновлення принаймні 12 місяців.

«Оновлені версії Google Android можна вважати безпечним», – сказав Майк Моргенштерн, генеральний директор антивірусної рейтингової організації AV-Test, Digital Trends. «Але особливо в багатьох старших Android версій, з’являється все більше вразливостей, і багато постачальників не постачають оновлення для своїх пристроїв. Наразі відомо понад 800 вразливостей».

Якщо ми подивимося на офіційні дані про розповсюдження для Android станом на квітень ми виявили, що лише 4,9 відсотка Android пристрої працюють з останніми версіями Nougat 7.0 або 7.1. Це невтішно мала частка від загальної кількості. Дивлячись далі назад, Android 6.0 Marshmallow працює на 31,2% пристроїв, Android 5.0 або 5.1, Lollipop, є на 31 відсотку пристроїв і на п’ятій Android пристроїв ще працює Android 4.4 KitKat. Більшість із цих пристроїв працюють із старими версіями Android навряд чи коли-небудь будуть оновлені.

«Вісімдесят чотири відсотки телефонів не оновлено, а це означає, що більшість мобільних пристроїв все ще знаходяться під загрозою», — Джошуа Дж. Дрейк, віце-президент з дослідження та експлуатації платформ у Zimperium, розповів Digital Trends.

Zimperium – компанія мобільної безпеки; Дрейк виявив уразливість Stagefright ще в 2015 році. Це могло дати хакерам контроль над Android за допомогою зловмисного коду в аудіо- чи відеофайлі — і, згідно з повідомленнями того часу, до 95 відсотків пристроїв були вразливі до нього. Дрейк сказав нам, що деякі пристрої все ще вразливі сьогодні.

Хоча потенційна шкода була страшною, незрозуміло, на що це вплинуло Android користувачів було.

«Пройшло півтора року, майже два роки, відколи ми вперше про це дізналися, і ми досі не знаємо, чи хтось насправді постраждав», — сказав Людвіг.

Але Дрейк не погоджується.

«Ми знаємо, що були цілеспрямовані атаки з використанням уразливостей у libstagefright і mediaserver», — сказав він. «Ми знаємо, що загалом важко довести негатив, і ми поважаємо зусилля Google щодо кращого захисту своєї платформи, але без датчика на пристрої ніхто не зможе дізнатися про статус ризику чи загрози будь-якого пристрою, особливо a мобільний».

Проблема в тому, що непросто визначити, чи зазнали вас успішної атаки. Після відкриття Stagefright охоронна фірма заснувала Zimperium Handset Alliance для покращення спілкування між дослідниками, операторами мобільних мереж, розробниками мобільних додатків і постачальниками пристроїв.

«Потрібно заохочувати дослідників вивчати щомісячні оновлення безпеки та намагатися використовувати ці вразливості, щоб сприяти кращому виправленню та загалом більш безпечному мобільному світу», — сказав Дрейк.

Google зробив кілька важливих кроків, щоб зменшити ризики для безпеки, випустивши щомісячні виправлення та зламавши елементи Android щоб було легше надсилати оновлення. Але старіші версії Android були залишені позаду.

The Проблема фрагментації Android не легко вирішити. Переконання перевізників і виробників оновити їх Android пристроїв виявилося дуже складним для Google. Це прямо зіграло на руку опозиції. Тім Кук з Apple згадав a Стаття ZDNet під назвою "Android фрагментація, що перетворює пристрої на токсичне пекло вразливостей» на слайді WWDC у 2014 році. Але чи справді iOS настільки краща? І якщо так, то чому?

«Склалося враження, що безпека iOS є кращою, ніж Android безпеки, але це не обов’язково», – сказав Дрейк.

Оскільки Android є відкритим вихідним кодом, тому дослідникам безпеки легше знаходити недоліки та пропонувати їх виправлення. За його словами, через закритість iOS дослідникам важче побачити, що відбувається. Моргенштерн погоджується з цією оцінкою, але вказує на важливу різницю, через яку зловмисне програмне забезпечення становить більший ризик Android.

«За Android користувачів легко встановлювати програми з будь-якого джерела», – пояснює Моргенштерн. «Цей факт дозволяє легко отримати шкідливі програми на пристрій. Те, як інші платформи вирішують це, набагато суворіше, дозволяючи встановлення лише з їхніх закритих ринків».

Android є великою мішенню. З такою великою базою користувачів і відкритим кодом це приваблива здобич для кіберзлочинців. AV-Test реєструє до 30 000 нових Android зразків зловмисного програмного забезпечення щодня. Це лякаюче число, але викликає занепокоєння Android користувачі можуть вжити заходів різко зменшити ризики, дотримуючись Google Play для додатків, оновлюючи пристрої, щойно доступні виправлення, і використовуючи програми безпеки Android сторонніх розробників.

І Дрейк, і Моргенштерн також застерігають від підключення до невідомих мереж і точок доступу Wi-Fi, принаймні без використання пристойних Програми VPN для Android.

«Наші дані показують, що більшість атак мають мережевий характер, і вони не розрізняють iOS, Androidабо інше», — пояснює Дрейк. «Якщо зловмисник тихо перехопив і перенаправив ваш мережевий трафік, будь-який пристрій стає небезпечно вразливим до інвазивне спостереження, персоналізована підводна риболовля, розсилка платформи або будь-яка кількість інших наступних атак».

Android безпека покращується. Ми можемо вказати на швидші оновлення, шифрування пристрою, запити на дозволи, ізольоване програмне програмне середовище програми один від одного, обмежений доступ до ресурсів і автоматичне сканування шкідливих програм у Play Магазин. Але очевидно ще є над чим працювати.

«Минулого року ми заплатили майже мільйон доларів дослідникам», — сказав Людвіг з Google, коли його запитали про важливість сторонніх досліджень. Але незважаючи на цю дослідницьку програму, Дрейк вважає, що потрібно більше.

"Покращити Android безпеки в цілому, дуже важливо, щоб Google тісніше співпрацювала з постачальниками систем безпеки», – сказав він. «Apple та інші постачальники збільшили співпрацю, але Google зменшив її. Філософія Google полягає в тому, що вони можуть робити все самостійно, але це тільки шкодить їхнім користувачам і, на жаль, приносить користь авторам шкідливих програм».

Зрештою, питання про Android безпека може залежати від пристрою, який ви використовуєте. Якщо у вас дворічний або трирічний телефон із старішою версією Android і не оновлювався місяцями, у вас є привід для занепокоєння. Власники Pixel від Google, навпаки, отримують останні оновлення безпеки вчасно, принаймні на наступні пару років.

Важко сказати, скільки часу мине до більшості Android на пристроях працює Nougat або новіша версія Android, але навіть тоді повільний темп оновлень від деяких виробників і операторів залишатиметься проблемою.

«Поки кожне оновлення не досягне всіх пристроїв, ми все ще під загрозою», — сказав Моргенштерн.

Ви можете знайти більше корисних порад про те, як убезпечити себе Android телефон у нашому Керівництво з безпеки Android.

Рекомендації редакції

• Чи справді випромінювання мобільного телефону небезпечне? Ми запитали деяких експертів