Думка про те, що платформа Android є небезпечною, є популярною та стійкою. І, цілком можливо, помиляється.
Не проходить і тижня без нового заголовка про щойно виявлену вразливість або нове шкідливе програмне забезпечення, яке вражає мільйони пристроїв.
Ці питання загострюються тим фактом, що Android екосистема складна. Фрагментація неймовірно ускладнює оновлення платформи. Багато різних виробників пристроїв створюють тисячі різних телефонів і планшетів з різними версіями Android. Як наслідок, для розгортання оновлень із виправленнями безпеки потрібні місяці — або, що ще гірше, взагалі ніколи. Занадто багато виробників оновлюють лише свої флагмани, залишаючи відомі вразливості в старих і менших пристроях, які можуть поставити користувачів під загрозу.
Пов'язані
- Google щойно анонсував 9 нових функцій для вашого телефону та годинника Android
- Google Chrome отримує оновлення для планшета Android, на яке ви так довго чекали
- Google хоче, щоб ви знали, що програми Android більше не лише для телефонів
Розглянемо таку вразливість, як Страх сцени, який може надати хакерам контроль над пристроєм Android через шкідливий код у аудіо- чи відеофайлі. Згідно зі звітами, до 95 відсотків пристроїв були вразливі. Але скільки насправді постраждало?
«Пройшло півтора року, майже два роки, відколи ми вперше про це дізналися, і ми все ще я не знаю, чи хтось насправді постраждав», – сказав Адріан Людвіг, директор із безпеки Android, Digital. Тенденції.
Занепокоєння полягало в тому, що Google відносно швидко розробив виправлення та негайно розгорнув їх на лінійці пристроїв Google Nexus. Патчі для інших пристроїв виходили на розсуд виробників.
Це означає, що якщо у вас є a Google Pixel з останньою версією Android 7.0 Nougat ви отримуєте переваги від найновішої системи безпеки, але хтось із телефоном під керуванням KitKat (20 відсотків
Це складна проблема, яку нелегко вирішити, але команда безпеки Android наполегливо працювала, щоб зменшити ризик для користувачів. Страшна статистика створює хороші заголовки, але робить
«Я справді вважаю, що у нас є певна проблема зі сприйняттям, але вона дуже відрізняється від реального ризику користувача», — пояснив Людвіг. «Криптографічна робота, яку ми виконували, пісочниця, яку ми робили, і багато роботи, щоб ускладнити експлуатацію, все добре поєднується».
Digital Trends поговорили з Людвігом у Google Hangouts, щоб дізнатися поточний стан безпеки Android, запитати, чи дійсно людям бути стурбованими головними вразливими місцями та зловмисним програмним забезпеченням і дізнатись, що Google робить щодо фрагментації для забезпечення ширшого захисту оновлення.
Digital Trends: чи справді Android небезпечний?
Адріан Людвіг: Ні, це не небезпечно. За останні пару років ми зробили багато речей, які виправдали очікування.
Для Mac або Windows ви повинні були мати сторонній антивірусний захист, але ми сказали, що зробимо це для всіх і безкоштовно.
Ізольоване програмне середовище – це відносно нова концепція у світі безпеки Android – ідея, що програми не мають доступу до всіх ваших дані користувачів, але лише доступ до їхніх даних є абсолютно новим, це не те, що існує на Mac, це не те, що існує на вікна.
«У нас є певна проблема зі сприйняттям, але вона сильно відрізняється від реального ризику користувача».
Потім є шифрування пристрою. У більшості підприємств він не ввімкнений постійно. У мобільному просторі існує очікування, що все має бути постійно зашифрованим, і навіть існує очікування, що це будуть зашифровані настільки добре, що навіть для складної атаки буде важко отримати доступ до цих даних без користувача авторизація.
Ми також дізналися багато про те, як працюють погані актори та що вони намагаються зробити, і зараз ми перебуваємо на певній точці перелому. Протягом перших кількох років ми навчалися, розвивали наше розуміння та вдосконалювали наш стек технологій. Тепер ми можемо не відставати від поганих акторів. Наприклад, показники шкідливого програмного забезпечення залишаються відносно незмінними протягом останніх трьох-чотирьох років, але я думаю, що це рік, коли ми побачимо, як вони впадуть, можливо, значно впадуть, тому що ми дійшли до точки, коли маємо достатньо навичок і досвід. Тепер ми можемо рухатися швидше, ніж актори, ловити їх раніше та вживати заходів у всій екосистемі ефективніше, ніж раніше.
Я думаю, що ми перебуваємо на переломному етапі, коли навіть за стандартами Android ми почнемо спостерігати досить значні покращення щодо зловмисного програмного забезпечення.
Є ще багато роботи, але легко забути, як далеко ми просунулися за останні п’ять років.
Ми бачимо багато повідомлень про вразливості з лякаючою статистикою. Який реальний ризик використання чи викрадення вашого пристрою Android? Наприклад, кажуть, що щось на зразок Stagefright потенційно впливає на 95 відсотків
Минуло півтора року, майже два роки, відколи ми вперше про це дізналися, і ми досі не знаємо, чи хтось насправді постраждав. Ходять чутки, що постраждала невелика кількість пристроїв, але навіть для них ми не маємо підтверджених доказів.
І повірте мені, щоразу, коли ми чуємо такі чутки, ми намагаємося їх придушити. Ми йдемо поговорити з компанією, яка робить цю заяву. Ми запитуємо, чи є дані, якими вони можуть поділитися. Ми ніколи не могли підтвердити жодну з цих цифр. Я точно можу сказати, що постраждали не 900 мільйонів пристроїв.
Безумовно, заголовки, які вийшли в газетах, і хвилювання були непропорційними до реальності, і, можливо, нікого не постраждало. Що неймовірно, на мою думку, навіть озираючись назад, я завжди відчуваю занепокоєння, що може бути щось, чого ви не бачите, але час, здається, є тим, що розкриває ці сліпі плями.
Я працюю над безпекою Android протягом останніх шести років, і кожного разу, коли ви шукаєте ту область, де хтось сказав «це сліпа пляма», ми нічого не знаходимо. Отже, на початку це було «тут тонни зловмисного програмного забезпечення в Google Play», і ми подивилися, воно було, ми видалили його. Потім ми чуємо «це за межами Google Play», ми дивимося, є деякі, ми встановлюємо досить хороший захист. Потім «наступного року воно підніметься», і цього теж не сталося. Тепер «це вразливі місця будуть використані», але ми цього не бачимо.
Знову і знову ми просуваємося вперед у тому, що ми шукаємо, перевірках, які ми робимо, і послугах, які ми надаємо, щоб шукати зловмисників, але ми просто не бачимо жодної фактичної шкоди.
Тим не менш, ми хочемо бути якомога обережнішими, тому ми інвестуємо в послуги, щоб шукати всі ці маленькі темні завулочки. Ми також працюємо з партнерами, щоб переконатися, що вони можуть відповісти якомога швидше, тому саме в це ми інвестували багато оновлення безпеки не тому, що ми бачимо багато фактів експлуатації, а тому, що ми не хочемо, щоб це було ризиком, який коли-небудь отримує усвідомив.
Багато в чому полягає в тому, щоб залишатися попереду і ніколи не досягати точки, де є проблема.
Чому, на вашу думку, ця розповідь про те, що Android є «токсичною кущою» вразливостей, продовжується?
Є декілька причин. Одна з них полягає в тому, що складність часто дуже страшна, а розповідь про екосистему Android складна. В екосистемі є багато різних OEM [виробників телефонів і планшетів], багато різних моделей пристроїв.
«[Машинне навчання] є однією з головних причин, чому ми випередимо зловмисників».
Дуже складно описати те, що відбувається в екосистемі Android, так само, як дуже важко описати анатомію людини чи популяцію людства. Але ми це знаємо медицина стає кращою, і ми знаємо, що люди живуть довше. Ми знаємо, що люди стають здоровішими, але ми все ще читаємо багато історій про смерть людей, погані події та хвороби.
Я думаю, що це дзеркало того, що відбувається в екосистемі Android. Це складно, тому не часто можна знайти задовольняючу, надпросту відповідь, але загалом воно стає дедалі безпечнішим і надійнішим.
Ми також бачимо багато історій про зловмисне програмне забезпечення, але чи загрожує звичайний користувач Android, який ніколи не завантажує програми за межами Play Store, у небезпеці?
З Play кількість зловмисного програмного забезпечення становить приблизно 0,05 відсотка, що становить 5 із 10 000 програм, тож це досить мало. З точки зору того, який відсоток пристроїв заражається, це в діапазоні, коли, якби ми про це не говорили, ніхто б навіть не знав, що це відбувається.
Ми говоримо про це, щоб переконатися, що рівень ризику є прозорим. Часто платформи не хочуть говорити про речі. Вони закривають очі. Ми хочемо мати прозорість щодо зовнішніх учасників, нашої політики та процесів, щоб ми могли зміцнити довіру. Ми не хочемо, щоб люди сліпо довіряли.
Я припускаю, що в екосистемі Android Play Store є найчистішим магазином програм. Я думаю, що його можна порівняти з іншими магазинами додатків із більш закритими екосистемами. [Ми вважаємо, що Адріан має на увазі Apple App Store.]
Обговорюючи це з багатьма людьми, ми не знаємо нікого, хто б мав проблеми зі зловмисним програмним забезпеченням Android, але я сам мав проблеми з Windows. Чому всі говорять про
Я думаю, що зловмисне програмне забезпечення Windows нам набридло, тому про це не цікаво говорити. Android був чимось новим, захоплюючим.
Усе, що я бачив, показує це в екосистемі Android. Сотні мільйонів пристроїв, які встановлюються з Google Play, на порядок чистіші, ніж керований корпоративний парк пристроїв Windows. Наш рівень зараження становить піввідсотка в усьому світі, де для керованих пристроїв Windows він вищий, а для споживчих домогосподарств рівень зараження для пристроїв Windows ще вищий.
Але Android — це цікаво. Це зростаючий ринок. Це зростаючий ринок для споживачів, але я думаю, що це також зростаючий ринок для індустрії безпеки, тому вони дуже зацікавлені в тому, щоб переконатися, що люди знають про ці речі та думають про них. Це форма спілкування навколо платформи.
Коли ви знаходите зловмисне програмне забезпечення, який тип є найпоширенішим?
Більшість з того, що ми бачимо, має комерційний характер. Зазвичай вони намагаються заробити гроші, а механізм монетизації на мобільних пристроях полягає у встановленні програм. Ми дійсно бачимо нішеві приклади додатків, які шукають банківські паролі чи щось подібне, але найпростіший спосіб монетизації – це встановити додаток. Дуже великий відсоток пов’язаний з тим, що ми називаємо ворожими завантажувачами.
Цікаво те, що програми, які вони встановлюють, самі по собі не є шкідливими. Це може бути гра, яка хоче отримати просування, або це може бути інша послуга, де вони виграють від поширення на ринку. Кінцевим результатом є не те, про що люди думають, коли думають про зловмисне програмне забезпечення. Часто це не хтось намагається викрасти ваші дані.
там є шпигунське програмне забезпечення. Я не хочу стверджувати, що його не існує. Цього тижня ми навіть опублікували публікацію, в якій описали шпигунське програмне забезпечення високого класу, яке ми знайшли, але воно було на 25 пристроях. Звичайно, це не той тип речей, який є звичайним або найпопулярнішим в екосистемі.
Чи є в Android щось менш безпечне порівняно з іншими мобільними операційними системами?
Я не думаю, що в платформі є щось менш безпечне. Я думаю, що складність ускладнює робити заяви на рівні платформи.
Люди люблять порівнювати iPhone з Android. IPhone - це пристрій з операційною системою від виробника, насправді це приблизно п'ять різних пристроїв. Якщо подивитися на одного виробника від
Можливо, порівняння лінійки Pixel і Nexus з iPhone було б справедливішим?
Так, апаратно дуже схожі – схожі властивості безпеки. Магазини додатків мають схожі властивості безпеки, перевірені програми, ізоляція додатків — дуже схожі властивості безпеки. Обидва мають намір швидко оновлюватися.
«Порівнюючи Samsung з iOS, ви вже приблизно в 20 разів складніші з точки зору цього пристрою порівняно з іншим».
Те, де ви потрапляєте в диференціацію, - це прозорість. Android має відкритий код. Ця інформація доступна кожному. Ми заохочуємо дослідження третіх сторін через нашу програму винагород за безпеку, тому ми знаємо не тільки це ми шукаємо проблеми на платформі, але інші люди теж шукають, і це має велике значення різниця.
Я думаю, що послуги також мають величезне значення. Ми навмисно розробили видимість і можливість перевіряти пристрої в польових умовах, тоді як це не існує на жодній іншій платформі. Це означає, що ми отримуємо відгуки про багато дрібниць, які відбуваються, і ми можемо на це реагувати.
Як ви боретеся з повільним розгортанням оновлень безпеки для пристроїв Android, які не є в наявності? Це розчаровує?
Ми дуже цінуємо, скільки людей перейняли Android і скільки пристроїв
Протягом останнього року ми витратили багато часу, щоб спробувати допомогти тим, хто просувається повільніше, вирішити деякі з їхніх технологічні завдання, розв’язувати деякі їхні інженерні завдання, а в деяких випадках і організаційні виклики. Їм може не вистачати штату інженерів, щоб надавати оновлення. Можливо, вони не думали про це, тому ми запитуємо, що ми можемо зробити, щоб ви досягли того моменту, коли ви подумали про це, і це мало сенс?
Це, безперечно, ускладнює речі, але також є суттю того, чому Android був таким успішним, оскільки багато різних людей змогли підключитися та почати створювати пристрої.
Які дії вжила команда Android, щоб зробити платформу безпечнішою? І яку наступну сферу ви б хотіли розглянути або вдосконалити?
Я вважаю, що всі частини дуже добре поєднуються. Це була багаторічна подорож, але криптографічна робота, яку ми виконували, пісочниця, яку ми робили, багато робота над ускладненням експлуатації добре поєднується, тож це ті сфери, над якими ми збираємося продовжувати працювати на.
Чому пісочниця важлива?
Пісочниця на фундаментальному рівні полягає в тому, як ви ізолюєте одну програму від іншої. Гра є чудовим прикладом, про яку люди не думають, але на ПК ігри часто об’єднані в мережу. Це одна з небагатьох речей на такому пристрої, яка має послугу мережевого порту, тому це одна з найстрашніших частин програмного забезпечення, яке ви використовуєте на більшості споживчих пристроїв. Якщо ви скомпрометуєте гру, автор гри може бути абсолютно доброзичливим, але ця гра має доступ до всього на вашому ПК.
Тоді як на Android це зовсім не так. Ви також повинні скомпрометувати основну операційну систему, щоб мати можливість вийти за рамки цього. Для нас це було дуже, дуже важливо переконатися, що вам завжди потрібно скомпрометувати код Google, код Android, щоб дійти до того моменту, коли ви можете зробити щось, що дійсно зашкодить користувачеві.
Наскільки важлива дослідницька програма третьої сторони для пошуку помилок і вразливостей?
Насправді це дуже важливо. Минулого року ми заплатили майже мільйон доларів дослідникам. Я думаю, що близько 120 різних дослідників знайшли проблеми та повідомили про них. Десятки приходять щомісяця, тому для нас це дуже важливо.
Одна справді цікава річ — ми почали отримувати все більше звітів про проблеми не в Android, а в інших компонентах пристрою. Наприклад, цього тижня з’явилося повідомлення про проблему з драйверами Wi-Fi Broadcom, яка вплинула
Машинне навчання починає відігравати роль? У вас достатньо даних, щоб це було ефективним?
Зараз у нас є величезна кількість даних, і ми почали знаходити деякі методи машинного навчання, які дуже добре працюють для різних типів речей. Одна річ, для якої машинне навчання працює дуже добре, це пошук інших програм, які також є шкідливими. Коли ми виявимо одну погану програму, ми зможемо того ж дня видалити тисячу або більше програм, які, як ми знаємо, пов’язані на основі методів машинного навчання.
І ви очікуєте, що з часом це покращиться? Очевидно, що він навчається, тому має стати кращим?
«Машинне навчання дозволяє нам набагато швидше розвивати можливості захисту».
Це одна з головних причин того, що в найближчі пару років ми випередимо нападників. Машинне навчання дозволяє нам розвивати можливості захисту набагато швидше, ніж людина може покращити своє приховування, ось чому зловмисне програмне забезпечення в минулому було стійким — адже навіть дуже невеликі зміни можуть приховати його ефективно. Так більше не буде.
Чи означає посилення безпеки втрату частини відкритості та можливості налаштування, які допомогли зробити Android найпопулярнішою мобільною ОС у світі?
Зовсім ні. Відкритість, можливість налаштування та безпека Android є одними з його найбільших переваг. Ми вважаємо, що можна продовжувати вдосконалювати всі три.
Коли ми стикаємося з функцією, яка, здається, суперечить цим принципам, ми докладемо чимало зусиль, щоб знайти збалансований підхід. Одна з поширених стратегій полягає в тому, щоб за замовчуванням було більш безпечно (щоб захистити якомога більше користувачів), але дозволити користувачам вибирати (для можливості налаштування).
Ми робимо те ж саме з OEM-виробниками [виробниками пристроїв], визначаючи модель безпеки, яка є надійною, але також надає безліч можливостей для інновацій та налаштування. Різноманітність, що виникає в результаті, сама по собі є підвищенням безпеки, оскільки відомо, що монокультури більш сприйнятливі до системного ризику. А в деяких випадках це налаштування призводить до інноваційних покращень безпеки, що є благом для екосистеми.
Як ви вважаєте, чи потрібні антивірусні програми, програми захисту від зловмисного програмного забезпечення та інші сторонні програми безпеки для Android?
Ми прагнемо зробити безкоштовний захист від Google Play найкращим захистом у світі. Ми вже вважаємо, що досягли цього, і ми продовжуватимемо публікувати інформацію, яка дасть змогу іншим перевірити та підтвердити її для себе.
Що б ви порадили користувачеві Android, який турбується про безпеку? Які дії потенційно можуть поставити їх під загрозу і що вони можуть зробити, щоб залишатися в безпеці?
Ми опублікували статтю довідкового центру на цю тему, тут.
Рекомендації редакції
- Ваш тарифний план Google One щойно отримав 2 великі оновлення системи безпеки, щоб забезпечити безпеку в Інтернеті
- Коли мій телефон отримає Android 13? Google, Samsung, OnePlus тощо
- Google сплачує історичний штраф у розмірі 85 мільйонів доларів за незаконне відстеження телефонів Android
- Android 13 тут, і ви можете завантажити його на свій телефон Pixel прямо зараз
- Завдяки оптимізованим додаткам планшети Android нарешті стануть більш ніж великими телефонами
