Zabezpečení Android - Otázky a odpovědi s Adrianem Ludwigem z Googlu

Nedávno jsme mluvili hodně o zabezpečení vašeho zařízení Android a jak konverzace pokračovala, bylo jasné, že existují otázky, na které musí odpovědět osoba s vyšší autoritou. Věci jako zda potřebujete antivirový software pro váš telefon, identifikace malwarua ujistěte se, že jsou vaše zařízení obecně bezpečné při každodenním používání jsou témata, která zbytečně zablátila. I když za to můžeme vinu vrhnout na zdánlivě nekonečnou paletu článků, které nám vyprávějí o veškerém softwaru tam venku k zneužití uživatelů Androidu existují také legitimní otázky týkající se zabezpečení Androidu, které nemají jednoduché a jednoduché odpovědi.

Abychom to pomohli vyřešit, přešli jsme přímo ke zdroji. Adrian Ludwig, vedoucí inženýr pro zabezpečení Androidu ve společnosti Google, trvalo nějakou dobu prostřednictvím e-mailu, než odpověděl, co jsme hledali.

Přečtěte si více: Zabezpečení Androidu - otázky a odpovědi s Adrianem Ludwigem z Googlu

Otázka: Před čím přesně se Google snaží chránit své uživatele Androidu?

Ludwig: Android jsme navrhli pomocí několika vrstev zabezpečení - počínaje hardwarovými funkcemi zařízení (Trustzone, NX), přes operační systém (Application Sandbox, SELinux, ASLR) a až po aplikace a služby, které Google poskytuje (Google Play, Správce zařízení, Ověřit aplikace atd.). Podporujeme také inovace v oblasti zabezpečení tím, že umožňujeme třetím stranám poskytovat bezpečnostní řešení.

Mezi nejnaléhavější bezpečnostní hrozby, kterým dnes mobilní zařízení čelí, patří: 1. Ztracená a odcizená zařízení (pro které poskytujeme ochranu, jako je uzamčení obrazovky, šifrování zařízení a Správce zařízení Android) 2. Útoky na úrovni sítě (pro které Android poskytuje kryptografické služby a ve výchozím nastavení zpřístupňuje minimální útočnou plochu bez naslouchacích služeb) 3. Potenciálně škodlivé aplikace (pro které jsou určeny karantény aplikací pro Android, kontrola aplikací na Google Play a ověřování aplikací)

Když se dozvídáme o nové potenciální hrozbě, začneme to začleňovat do našich budoucích plánů a návrhů.

Otázka: Jak dlouho Google nabízí podporu pro věci, jako jsou bezpečnostní chyby, které jsou objeveny v operačním systému?

Ludwig: Náš přístup k zásadám podpory pro zabezpečení Android je poskytovat aktualizace všude, kde věříme, že budou skutečně doručeny uživatelům, a zlepšit zabezpečení. V praxi to znamená, že poskytujeme několik různých typů podpory pro potenciální bezpečnostní problémy:

1. Pokud lze problém vyřešit aktualizací Chromu, Gmailu, Google Play nebo libovolného počtu aplikací Google - problém vyřešíme způsobem, který sahá až ke všem verzím systému Android, na kterých je každá aplikace k dispozici.
2. Google Nexus zařízení a Vydání Google Play zařízení pravidelně dostávají aktualizace zabezpečení včas.
3. Poskytujeme opravy pro aktuální větev Android v Android Open Source Project (AOSP) a přímo poskytuje partnerům Android opravy alespoň pro poslední dvě hlavní verze operačního systému. V současné době poskytujeme backporty pro bezpečnostní problémy, které pokrývají Android 4.3 a vyšší. Jedinou výjimkou je WebKit pro Android 4.3. Je podporován v systému Android 4.4 a novějších jako binární aktualizace. Nicméně, když výrobce OEM požádá o pomoc při vývoji opravy pro zařízení, na kterém běží starší verze platformy a zavázali se, že dají tuto opravu jako OTA do zařízení, poskytneme jim pomoc.
4. Kde je to možné, také aktualizujeme Bezpečnostní služby Google pro Android poskytnout další vrstvu ochrany pro všechna zařízení Android, bez ohledu na to, zda jsou stále podporována výrobci OEM. To zahrnuje kontrolu potenciálně škodlivých aplikací a další zabezpečení chování.
5. Poskytujeme také vývojářům aplikací informace a nástroje k zajištění ochrany jejich aplikací před potenciálními bezpečnostními problémy. To zahrnuje poskytování API v rámci služeb Google Play, jako je aktualizovatelný poskytovatel zabezpečení které může Google aktualizovat bez OTA zařízení. Poskytujeme také osvědčené postupy které mohou vývojářům pomoci zajistit, aby jejich aplikace fungovaly bezpečně na všech zařízeních Android, bez ohledu na to, zda jsou stále podporovány výrobci OEM. Nedávno jsme začali skenovat aplikace na Google Play, zda neobsahují potenciální chyby zabezpečení, a upozornit vývojáře, pokud jsou tyto chyby zabezpečení zjištěno.
6. V neposlední řadě sdílíme informace o bezpečnostních problémech (včetně informací o opravách a jakémkoli známém zneužití) s partnery Androidu, aby se ujistili, že problému rozumějí, včetně rizik spojených se zařízeními, která neobdrží aktualizaci pro problém. To zahrnuje přidání testů na potenciální bezpečnostní problémy v Sada pro testování kompatibility snížit pravděpodobnost, že výrobce OEM neúmyslně dodá zařízení se známým problémem se zabezpečením.

Otázka: V případě, že byla aplikace považována za škodlivou, ale ne nutně nebezpečnou - například aplikace, která spamuje oznamovací lištu nevyžádanými reklamami - jaké nástroje jsou uživatelům k dispozici?

Ludwig: Android poskytuje uživatelům ovládací prvky, které jim umožňují ovládat prostředí na jejich zařízení. To zahrnuje funkce, jako je prohlížení oprávnění aplikace, konfigurace nastavení, jako je schopnost aplikace zobrazit oznámení nebo schopnost zakázat nebo odebrat aplikace v kdykoli.

Pokud je oznámení nežádoucí, může uživatel dlouhým stisknutím oznámení zjistit, která aplikace jej vytvořila, a poté změnit nastavení oznámení aplikace nebo aplikaci odinstalovat.

Otázka: Co se stane, když Google odešle zprávu varující uživatelům škodlivé aplikace a uživatel aplikaci neodstraní, buď proto, že se tak nestane, nebo byla zpráva omylem zavržena?

Ludwig: Existuje několik nadbytečných kontrol zabezpečení, které jsou navrženy tak, aby zajistily, že aplikace, o které je známo, že je potenciálně škodlivá, nebude omylem nainstalována. Při každé z těchto kontrol se většina uživatelů, kteří obdrží upozornění na potenciálně škodlivou aplikaci, rozhodla nepokračovat.

Tady jsou všechny hlavní kroky:

Google integroval svůj varovný systém pro známé potenciálně škodlivé aplikace do backendu mnoha našich aplikací. Například prohlížeč Chrome s funkcí Bezpečné prohlížení může uživatele varovat ještě předtím, než si stáhne aplikaci z webu, že vypadá, že je na webu, který hostí potenciálně škodlivé aplikace.

Pokud se přesto rozhodnou stáhnout a nainstalovat, obdrží při instalaci varování (stejně jako další informace, například oprávnění aplikace, která jim mohou pomoci rozhodnout se, zda chtějí Nainstalujte).

Pokud se přesto rozhodnou pokračovat, aplikace je nainstalována, ale stále nemůže dělat nic, dokud se uživatel skutečně nerozhodne aplikaci spustit. Mají tedy ještě jednu šanci rozhodnout se aplikaci odebrat, než by mohla způsobit újmu.

Ať už se rozhodnou aplikaci spustit nebo ne, pokud je nainstalovaná na jejich zařízení, pak Verify Apps skenování na pozadí označí aplikaci a poskytne další varování, které doporučuje odebrat aplikace. Toto varování se obvykle objeví přibližně jednou týdně - i když má uživatel možnost říci „nepřipomínat mi to znovu.“

Otázka: Udržují mě bezpečnostní aplikace třetích stran ještě více v bezpečí před potenciálně škodlivými aplikacemi Play Store?

Ludwig: Ochrana zabudovaná do Google Play je velmi robustní. Pro uživatele, kteří instalují aplikace mimo Google Play, důrazně doporučujeme povolit Verify Apps, která je k dispozici na Zařízení Android se systémem Android 2.3 nebo vyšším (to je více než 99 procent zařízení Android), která mají Google Play nainstalován.

V roce 2014 bylo podle údajů o ověření aplikací shromážděných společností Google a ignorování kořenových aplikací, které uživatelé úmyslně nainstalovali, méně než 0,15 procent aplikací nainstalovaných mimo Google Play na zařízení v angličtině v USA bylo klasifikováno jako potenciálně škodlivé Aplikace. Vzhledem k integrované ochraně poskytované aplikací Verify Apps a nízké frekvenci instalace PHA je potenciální bezpečnostní výhoda dalšího bezpečnostního řešení velmi malá.

Otázka: Vztahuje se některá z bezpečnostních funkcí Google na uživatele, kteří si nainstalovali verze systému Android třetích stran (čtěte: ROMy vytvořené komunitou)?

Ludwig: Ano, ROMy třetích stran jsou obecně postaveny na AOSP, takže podporují karanténu Android a mnoho z nich používá aplikace Google, včetně našich bezpečnostních služeb.

A tady to máte. Google dělá neuvěřitelné množství práce, aby udržel Android v bezpečí, a jeho velká část se připravuje na to, co se stane dál. Ale vždy to bude tak trochu hra na kočku a myš. Jako vždy tomu bylo v případě, že je v bezpečí zařízení, je třeba si uvědomit, kam klepáte, co instalujete, a být co nejvíce informován.

Pokud se chcete dozvědět více, nezapomeňte se podívat na zbytek naší řady zabezpečení.

Poslouchali jste tento týden Android Central Podcast?

Každý týden vám Android Central Podcast přináší nejnovější technologické novinky, analýzy a zajímavé záběry se známými hostiteli a speciálními hosty.

• Přihlaste se k odběru v kapesních obsazeních: Zvuk
• Přihlaste se k odběru ve Spotify: Zvuk
• Přihlásit se k odběru v iTunes: Zvuk