Android biztonság - kérdés és válasz a Google Adrian Ligwig-jával

Az utóbbi időben sokat beszéltünk az Android-eszköz biztonságáról, és mivel a beszélgetés folytatódott, egyértelmű volt, hogy olyan kérdésekre van szükség, amelyeket egy nagyobb hatalommal rendelkező személynek meg kell válaszolnia. Olyan témák, amelyek szükségtelenül zavarossá váltak, például az, hogy szükség van-e antivírus szoftverre a telefonhoz, a rosszindulatú programok azonosításához és annak biztosításához, hogy készülékei általában biztonságosak-e a napi használat során. Noha ebből a részben a hibát a látszólag végtelen cikkek akadályozásával tudhatjuk meg, hogy az összes Android szoftver kihasználására készített szoftverről számol bennünket, vannak olyan legitim kérdések az Android biztonságával kapcsolatban is, amelyeknek nincs egyszerű, egyszerű válaszokat.

Ennek megoldása érdekében egyenesen a forráshoz mentünk. Adrian Ludwig, a Google Android biztonságának vezető mérnöke e-mailben eltartott egy ideig, hogy megválaszoljuk a keresett kérdéseket.

: Android Biztonság - Kérdések és válaszok a Google Adrian Ludwig oldalán

A Google szerepe

K: Pontosan mit próbál megvédeni a Google az Android-felhasználóitól?

Ludwig: Az Androidot többrétegű biztonsággal terveztük - az eszköz hardverjellemzőivel (Trustzone, NX) kezdve, az operációs rendszeren keresztül (Application Sandbox, SELinux, ASLR) és a Google által biztosított alkalmazásokig és szolgáltatásokig (Google Play, Device Manager, Alkalmazások ellenőrzése stb.). Arra is ösztönözzük a biztonsági innovációt, hogy lehetővé teszik harmadik felek számára biztonsági megoldások nyújtását.

A mobil eszközökkel szemben napjainkban felmerülő legsürgetőbb biztonsági fenyegetések a következők: 1. Elveszett és ellopott eszközök (amelyekre olyan védelmet nyújtunk, mint például a képernyőzár, az eszköz titkosítása és az Android Eszközkezelő) minimális támadási felület, mivel alapértelmezés szerint nincs hallgatószolgáltatás) 3. Potenciálisan káros alkalmazások (amelyekre az Android Application sandbox, az alkalmazások Google Play áttekintése és a Verify Apps készül)

Amikor egy új potenciális fenyegetésről hallunk, elkezdjük beépíteni ezt a jövőbeni terveinkbe és terveinkbe.

Támogatási politika

K: Meddig nyújt a Google támogatást az operációs rendszerben felfedezett biztonsági résekre, például biztonsági résekre?

Ludwig: Az Android biztonsági támogatási politikánk megközelítése az, hogy frissítéseket biztosítsunk mindenütt, ahol azt hisszük, hogy valóban megkapják a felhasználóknak, és javítják a biztonságot. A gyakorlatban ez azt jelenti, hogy többféle típusú támogatást nyújtunk a lehetséges biztonsági kérdésekre:

1. Ha egy probléma megoldható a Chrome, a Gmail, a Google Play vagy bármilyen Google alkalmazás frissítésével - a problémát oly módon oldjuk meg, hogy az visszatérjen az összes Android-verzióra, amelyen minden alkalmazás elérhető.
2. A Google Nexus és a Google Play kiadás eszközei rendszeresen és időben megkapják a biztonsági frissítéseket.
3. Biztosítunk javításokat az Android jelenlegi fióktelepéhez az Android Open Source Project (AOSP) programban, és közvetlenül az Android partnereknek adunk javításokat az operációs rendszer legalább az utolsó két fő verziójára vonatkozóan. Jelenleg biztonsági visszajelzéseket nyújtunk az Android 4.3-as vagy újabb verzióját fedező biztonsági kérdésekről. Az egyetlen kivétel a WebKit az Android 4.3 rendszeren. Bináris frissítésként az Android 4.4 vagy újabb verziók támogatják. Mindazonáltal, ha az OEM segítségre szorul egy javítás kifejlesztésében egy olyan eszközhez, amely a platform régebbi verzióját futtatja, és vállalják, hogy ezt a javítást OTA-ként szállítják az eszközökre, akkor segítséget nyújtunk nekik.
4. Ahol lehetséges, frissítjük a Google Android szolgáltatásait is, hogy további védelmi réteget biztosítson minden Android készülék számára, függetlenül attól, hogy ezeket továbbra is az OEM-ek támogatják. Ide tartozik a potenciálisan káros alkalmazások és az egyéb biztonsági viselkedés ellenőrzése.
5. Információkat és eszközöket biztosítunk az alkalmazásfejlesztőknek is annak biztosítása érdekében, hogy alkalmazásukat védjék a lehetséges biztonsági problémákkal szemben. Ez magában foglalja az API-k biztosítását a Google Play Szolgáltatásokon belül, például a frissíthető biztonsági szolgáltatót, amelyet a Google frissíthet eszköz nélkül OTA. Bemutatunk olyan bevált gyakorlatokat is, amelyek segítségével a fejlesztők megbizonyosodhatnak arról, hogy alkalmazásuk biztonságosan működik-e minden Android-eszközön, függetlenül attól, hogy továbbra is az OEM-ek támogatják-e őket. A közelmúltban elkezdtük a Google Play alkalmazásai felkutatását a lehetséges biztonsági rések felkutatására, és értesítjük a fejlesztőket, ha ezeket a biztonsági réseket észlelik.
6. Végül, de nem utolsósorban, megosztjuk az Android partnerekkel a biztonsági kérdésekkel kapcsolatos információkat (ideértve a javításokkal és minden ismert kihasználással kapcsolatos információt is) az Android partnerekkel, hogy megértsük a problémát, beleértve az olyan eszközökkel kapcsolatos kockázatokat is, amelyek nem kapnak frissítést a kiadásra. Ez magában foglalja a lehetséges biztonsági problémák tesztelését a Kompatibilitási tesztcsomagban annak csökkentése érdekében, hogy az OEM-t véletlenül szállítsák el egy ismert biztonsági problémával rendelkező eszközt.

Felhasználói ellenőrzés

K: Ha egy alkalmazást rosszindulatúnak, de nem feltétlenül veszélyesnek tekintik - például egy olyan alkalmazást, amely kéretlen hirdetésekkel spammel az értesítési tálcát - milyen eszközök állnak rendelkezésre a felhasználók számára?

Ludwig: Az Android olyan kezelőszerveket biztosít a felhasználók számára, amelyek lehetővé teszik számukra, hogy ellenőrizzék az eszközükön található élményt. Ez magában foglalja az olyan képességeket, mint az alkalmazási engedélyek megtekintése, a beállítások konfigurálása, például az alkalmazás képessége értesítések megjelenítésére, vagy az alkalmazások bármikor letiltására vagy eltávolítására.

Ha az értesítés nem kívánatos, a felhasználó hosszan megnyomhatja az értesítést, hogy megnézze, mely alkalmazás készítette azt, majd módosíthatja az alkalmazás értesítési beállításait vagy eltávolíthatja az alkalmazást.

Biztonsági ellenőrzések

K: Mi történik, amikor a Google üzenetet küld egy figyelmeztető felhasználóval a rosszindulatú alkalmazásról, és a felhasználó nem távolítja el az alkalmazást sem azért, mert úgy dönt, hogy nem, vagy az üzenetet véletlenül elutasították?

Ludwig: Több redundáns biztonsági ellenőrzés történt, amelyek célja annak biztosítása, hogy egy ismerten potenciálisan káros alkalmazást ne véletlenül telepítsenek. Ezen ellenőrzések mindegyikén a felhasználók többsége, akik figyelmeztetést kapnak egy potenciálisan káros alkalmazásokról, úgy dönt, hogy nem folytatja.

Itt van az összes fő lépés:

A Google számos potenciálisan káros alkalmazásra figyelmeztető rendszerét integrálta sok alkalmazásunk hátterébe. Tehát például a Biztonságos böngészéssel rendelkező Chrome böngésző figyelmeztetheti a felhasználót, mielőtt még alkalmazást letöltne egy webhelyről, úgy tűnik, hogy olyan webhelyen találhatók, amely potenciálisan káros alkalmazásokat tárol.

Ha úgy dönt, letölt és telepít, akkor figyelmeztetést kapnak a telepítéskor (valamint egyéb információkat, például az alkalmazási engedélyeket, amelyek megkönnyítik a telepítés meghozatalát).

Ha továbbra is úgy dönt, hogy folytatja, az alkalmazás telepítésre kerül, de mégsem tud semmit megtenni, amíg a felhasználó nem dönt az alkalmazás futtatásáról. Tehát még egy esélyük van arra, hogy úgy döntjenek, hogy eltávolítják az alkalmazást, mielőtt esetleg kárt okoznának.

Függetlenül attól, hogy az alkalmazást futtatja-e vagy sem, ha az eszközre telepítve van, akkor az Ellenőrző alkalmazások háttér-ellenőrzése megjelöli az alkalmazást, és újabb figyelmeztetést tartalmaz, amely azt javasolja, hogy távolítsák el az alkalmazást. Ez a figyelmeztetés általában hetente egyszer fordul elő - bár a felhasználónak lehetősége van azt mondani, hogy "ne emlékezzen újra."

Antivirus alkalmazások

K: A harmadik féltől származó biztonsági alkalmazások még biztonságosabbá tesznek-e a potenciálisan káros Play Áruház-alkalmazásokatól?

Ludwig: A Google Playbe beépített védelem nagyon erős. Azoknak a felhasználóknak, akik alkalmazásokat telepítenek a Google Playen kívül, határozottan javasoljuk, hogy engedélyezzék a Verify Apps alkalmazást, amelyet az Android 2.3 vagy újabb operációs rendszert futtató Android-eszközökön biztosítanak (az Android-eszközök több mint 99% -a), amelyekre telepítve van a Google Play.

2014-ben a Google által összegyűjtött Verify Apps adatok szerint, és figyelmen kívül hagyva a felhasználók szándékosan telepített gyökerező alkalmazásait, a Google Play kívülről az amerikai angol eszközökre telepített alkalmazások kevesebb, mint 0, 15% -a került potenciálisan káros alkalmazásokba. Tekintettel a Verify Apps által nyújtott beépített védelemre és a PHA-k telepítésének ritka előfordulására, a kiegészítő biztonsági megoldások potenciális biztonsági előnyei nagyon alacsonyak.

Egyéni ROM-ok

K: A Google egyik biztonsági funkciója vonatkozik-e azokra a felhasználókra, akik telepítették az Android harmadik féltől származó verzióit (olvasás: közösség által készített ROM-ok)?

Ludwig: Igen, a harmadik féltől származó ROM-ok általában az AOSP-re épülnek, tehát támogatják az Android homokozóját, és sokan a Google alkalmazásokat használják, ideértve a biztonsági szolgáltatásainkat is.

És megvan neked. Hihetetlen mennyiségű munkát végez a Google az Android biztonságának megőrzése érdekében, ennek hatalmas részét felkészítik a következő eseményekre. De ez mindig egy kicsit macska és egér játék lesz. Mint mindig is történt, az eszköz biztonságának megőrzése az, hogy tudatában kell lennie annak, ahonnan megérinti, mit telepít, és a lehető legteljesebb ismeretekkel kell rendelkeznie.

Ne felejtse el ellenőrizni a biztonsági sorozat többi részét, ha többet szeretne megtudni.