Obsah:
- Úloha spoločnosti Google
- Podporná politika
- Užívateľské ovládanie
- Bezpečnostné kontroly
- Antivírusové aplikácie
- Vlastné ROM
Nedávno sme veľa hovorili o zabezpečení vášho zariadenia s Androidom a keďže konverzácia pokračovala, bolo jasné, že existuje otázka, na ktorú musí zodpovedať osoba s vyššou autoritou. Či už potrebujete antivírusový softvér pre svoj telefón, identifikáciu škodlivého softvéru a či sú vaše zariadenia vo všeobecnosti bezpečné pri každodennom používaní, sú témy, ktoré sa zbytočne zablatia. Aj keď za to môžeme dať vinu za zdanlivo nekonečné množstvo článkov, ktoré nám hovoria o všetkom softvéri, ktorý sa používa na zneužívanie používateľov systému Android, existujú aj niektoré legitímne otázky týkajúce sa zabezpečenia systému Android, ktoré nemajú jednoduché, jednoduché odpovede.
Aby sme to pomohli vyriešiť, šli sme priamo k zdroju. Adrian Ludwig, vedúci inžinier v oblasti zabezpečenia systému Android v spoločnosti Google, nejaký čas trval e-mailom, aby poskytol odpovede, ktoré sme hľadali.
: Android Security - Otázky a odpovede s Adrianom Ludwigom od spoločnosti Google
Úloha spoločnosti Google
Otázka: Čo presne sa spoločnosť Google snaží chrániť svojich používateľov Android pred?
Ludwig: Navrhli sme systém Android pomocou viacerých vrstiev zabezpečenia - počnúc hardvérovými funkciami zariadenia (Trustzone, NX), cez operačný systém (Application Sandbox, SELinux, ASLR) a až po aplikácie a služby, ktoré poskytuje Google (Google Play, Správca zariadení, Overte aplikácie atď.). Podporujeme tiež bezpečnostné inovácie tým, že umožňujeme tretím stranám poskytovať bezpečnostné riešenia.
Medzi najnaliehavejšie bezpečnostné hrozby, ktorým dnes mobilné zariadenia čelia, patria: 1. stratené a odcudzené zariadenia (pre ktoré poskytujeme ochranu, ako sú napríklad zámok obrazovky, šifrovanie zariadení a správca zariadení Android), 2. útoky na úrovni siete (pre ktoré Android poskytuje kryptografické služby a odhaľuje ich); minimálna útočná plocha tým, že v predvolenom nastavení nie sú k dispozícii žiadne služby na počúvanie) 3. Potenciálne škodlivé aplikácie (pre ktoré sú navrhnuté všetky karantény aplikácií pre Android, recenzie aplikácií v službe Google Play a Verify Apps)
Keď počujeme o novej potenciálnej hrozbe, začíname ju začleňovať do našich budúcich plánov a dizajnu.
Podporná politika
Otázka: Ako dlho ponúka spoločnosť Google podporu napríklad v prípade zraniteľností zabezpečenia, ktoré sa objavia v operačnom systéme?
Ludwig: Náš prístup k politike podpory pre zabezpečenie systému Android spočíva v poskytovaní aktualizácií všade, kde veríme, že sa používateľom skutočne doručia, a zvýšením bezpečnosti. V praxi to znamená, že poskytujeme rôzne typy podpory pre potenciálne bezpečnostné problémy:
- Ak sa problém dá vyriešiť aktualizáciou prehliadača Chrome, Gmail, Google Play alebo ľubovoľného počtu aplikácií Google, problém vyriešime spôsobom, ktorý sa vracia späť ku všetkým verziám systému Android, v ktorých je každá aplikácia k dispozícii.
- Zariadenia Google Nexus a zariadenia z edície Google Play pravidelne dostávajú aktualizácie zabezpečenia včas.
- Poskytujeme opravy pre aktuálnu vetvu systému Android v projekte Android Open Source Project (AOSP) a priamo poskytujeme partnerom pre systém Android opravy aspoň pre posledné dve hlavné verzie operačného systému. V súčasnosti poskytujeme správy týkajúce sa bezpečnostných problémov, ktoré sa týkajú systému Android 4.3 a novších. WebKit v systéme Android 4.3 je jedinou výnimkou. Je podporovaný v systéme Android 4.4 a novších verziách ako binárna aktualizácia. Ak však OEM požiada o pomoc s vývojom opravy pre zariadenie so staršou verziou platformy a zaväzuje sa dodať túto opravu ako OTA do zariadení, poskytneme im pomoc.
- Ak je to možné, aktualizujeme tiež bezpečnostné služby spoločnosti Google pre Android, aby poskytovali ďalšiu úroveň ochrany pre všetky zariadenia s Androidom bez ohľadu na to, či ich výrobcovia OEM stále podporujú. Zahŕňa to kontrolu potenciálne škodlivých aplikácií a iné bezpečnostné správanie.
- Poskytujeme tiež vývojárom aplikácií informácie a nástroje, ktoré zaisťujú ochranu ich aplikácií pred možnými bezpečnostnými problémami. To zahŕňa poskytovanie rozhraní API v rámci služieb Google Play, ako je napríklad aktualizovateľný poskytovateľ zabezpečenia, ktorý môže spoločnosť Google aktualizovať bez OTA zariadenia. Poskytujeme tiež osvedčené postupy, ktoré vývojárom môžu pomôcť zaistiť, aby ich aplikácie fungovali bezpečne na všetkých zariadeniach s Androidom bez ohľadu na to, či ich výrobcovia OEM stále podporujú. Nedávno sme v službe Google Play začali vyhľadávať potenciálne bezpečnostné chyby a upozorňujeme vývojárov, keď sa tieto zraniteľné miesta zistia.
- V neposlednom rade zdieľame informácie o bezpečnostných problémoch (vrátane informácií, ktoré máme o opravách a akomkoľvek známom vykorisťovaní) s partnermi Android, aby sme sa ubezpečili, že rozumejú problému, vrátane rizík spojených so zariadeniami, ktoré nedostávajú aktualizáciu problému. To zahŕňa pridanie testov na potenciálne problémy so zabezpečením v kompatibility Test Suite, aby sa znížila pravdepodobnosť, že OEM neúmyselne dodá zariadenie so známym problémom so zabezpečením.
Užívateľské ovládanie
Otázka: V prípade, že bola aplikácia považovaná za škodlivú, ale nie nevyhnutne nebezpečnú - napríklad aplikáciu, ktorá spamuje v oznamovacej oblasti nežiadúcimi reklamami - aké nástroje sú k dispozícii na pomoc používateľom?
Ludwig: Android poskytuje používateľom ovládacie prvky, ktoré im umožňujú ovládať zážitok zo zariadenia. Patria sem možnosti, ako napríklad prezeranie povolení aplikácie, konfigurácia nastavení, ako je napríklad schopnosť aplikácie zobrazovať upozornenia alebo možnosť kedykoľvek zakázať alebo odstrániť aplikácie.
Ak je upozornenie nežiaduce, používateľ môže na upozornenie dlho stlačiť, aby zistil, ktorá aplikácia ho vytvorila, a potom zmeniť nastavenia upozornení aplikácie alebo odinštalovať aplikáciu.
Bezpečnostné kontroly
Otázka: Čo sa stane, keď spoločnosť Google odošle správu s upozornením na používateľov škodlivej aplikácie a používateľ ju neodstráni, buď preto, že sa rozhodli, že správa nebola alebo správa bola omylom zamietnutá?
Ludwig: Existuje viac redundantných bezpečnostných kontrol, ktoré sú navrhnuté tak, aby sa zabezpečilo, že aplikácia, o ktorej je známe, že je potenciálne škodlivá, nebude náhodne nainštalovaná. Pri každej z týchto kontrol sa väčšina používateľov, ktorí dostanú upozornenie na potenciálne škodlivú aplikáciu, rozhodne nepokračovať.
Tu sú všetky hlavné kroky:
Spoločnosť Google integrovala svoj varovný systém pre známe potenciálne škodlivé aplikácie do prostredia mnohých našich aplikácií. Napríklad prehliadač Chrome s bezpečným prehliadaním môže používateľa varovať skôr, ako si dokonca stiahne aplikáciu z webu, ktorý vyzerá, akoby sa nachádzal na webe, ktorý je hostiteľom potenciálne škodlivých aplikácií.
Ak sa napriek tomu rozhodnú stiahnuť a nainštalovať, dostanú varovanie v čase inštalácie (ako aj ďalšie informácie, ako napríklad oprávnenie aplikácie, ktoré im môžu pomôcť rozhodnúť sa, či sa chcú nainštalovať).
Ak sa stále rozhodnú pokračovať, aplikácia je nainštalovaná, ale stále nemôže robiť nič, kým sa používateľ skutočne nerozhodne aplikáciu spustiť. Takže majú ešte jednu šancu rozhodnúť sa odstrániť aplikáciu skôr, ako by mohla spôsobiť škodu.
Či už sa rozhodnú aplikáciu spustiť alebo nie, ak je nainštalovaná na ich zariadení, aplikácia na pozadí aplikácie Verify Apps na pozadí označí aplikáciu a poskytne ďalšie upozornenie, ktoré odporúča aplikáciu odstrániť. Toto upozornenie sa zvyčajne objaví približne raz týždenne - aj keď má používateľ možnosť povedať, že mi to už nebude pripomínať.
Antivírusové aplikácie
Otázka: Zabezpečujú mi bezpečnostné aplikácie tretích strán ešte väčšiu bezpečnosť pred potenciálne škodlivými aplikáciami v Obchode Play?
Ludwig: Ochrana zabudovaná v službe Google Play je veľmi robustná. V prípade používateľov, ktorí inštalujú aplikácie mimo služby Google Play, dôrazne odporúčame povoliť funkciu Overiť aplikácie, ktorá je k dispozícii na zariadeniach s Androidom so systémom Android 2.3 alebo vyšším (to je viac ako 99 percent zariadení s Androidom), ktoré majú nainštalovanú Google Play.
Podľa údajov Overiť aplikácie zhromaždených spoločnosťou Google a ignorujúcich rootovacie aplikácie, ktoré používatelia úmyselne nainštalovali, bolo v roku 2014 klasifikovaných ako potenciálne škodlivé aplikácie menej ako 0, 15 percent aplikácií nainštalovaných mimo služby Google Play do amerických anglických zariadení. Vzhľadom na vstavanú ochranu poskytovanú službou Verify Apps a nízku frekvenciu výskytu inštalácie PHA je potenciálny prínos zabezpečenia ďalšieho bezpečnostného riešenia veľmi malý.
Vlastné ROM
Otázka: Vzťahujú sa niektoré z bezpečnostných funkcií spoločnosti Google na používateľov, ktorí si nainštalovali verzie operačného systému Android od tretích strán (čítaj: ROM pre komunitu)?
Ludwig: Áno, ROMy tretích strán sú spravidla postavené na AOSP, takže podporujú karanténu Android a mnoho z nich používa aplikácie spoločnosti Google vrátane našich bezpečnostných služieb.
A tu to máte. Google robí neuveriteľné množstvo práce, aby udržal Android v bezpečí, a veľká časť z toho sa pripravuje na všetko, čo sa bude diať ďalej. Ale vždy to bude trochu hra mačiek a myší. Ako vždy tomu bolo vždy, bezpečnosť vášho zariadenia spočíva v tom, že ste si boli vedomí miesta, na ktoré poklepete, čo inštalujete a čo najviac informovaní.
Ak sa chcete dozvedieť viac, nezabudnite sa pozrieť na zvyšok našej série zabezpečení.