Android-Sicherheit - Fragen und Antworten mit Adrian Ludwig von Google

Wir haben in letzter Zeit viel über Sicherheit auf Ihrem Android-Gerät gesprochen, und als das Gespräch fortgesetzt wurde, war klar, dass es Fragen gab, die von einer Person mit größerer Autorität beantwortet werden mussten. Dinge wie, ob Sie brauchen Antivirensoftware für Ihr Telefon, Malware identifizierenund sicher sein, dass Ihre Geräte sind im Allgemeinen sicher durch den täglichen Gebrauch sind Themen, die unnötig schlammig geworden sind. Während wir einen Teil der Schuld dafür auf die scheinbar endlose Flut von Artikeln legen können, die uns über die gesamte Software da draußen erzählen Da Android-Benutzer ausgenutzt werden sollen, gibt es auch einige berechtigte Fragen zur Android-Sicherheit, die nicht einfach sind Antworten.

Um dies zu beheben, sind wir direkt zur Quelle gegangen. Adrian Ludwig, leitender Ingenieur für Android-Sicherheit bei Google, nahm sich einige Zeit per E-Mail Zeit, um die Antworten zu geben, nach denen wir gesucht haben.

Lesen Sie mehr: Android-Sicherheit - Fragen und Antworten mit Adrian Ludwig von Google

F: Wovor genau versucht Google, seine Android-Nutzer zu schützen?

Ludwig: Wir haben Android mit mehreren Sicherheitsebenen entwickelt - beginnend mit Gerätehardwarefunktionen (Trustzone, NX) über das Betriebssystem (Application Sandbox, SELinux, ASLR) und bis zu Anwendungen und Diensten, die Google bereitstellt (Google Play, Geräte-Manager, Apps überprüfen usw.). Wir fördern auch Sicherheitsinnovationen, indem wir Dritten die Bereitstellung von Sicherheitslösungen ermöglichen.

Die dringendsten Sicherheitsbedrohungen für mobile Geräte sind derzeit: 1. Verlorene und gestohlene Geräte (für die wir Schutzmaßnahmen wie Sperrbildschirm, Geräteverschlüsselung und Android-Geräte-Manager bereitstellen) 2. Angriffe auf Netzwerkebene (für die Android kryptografische Dienste bereitstellt und eine minimale Angriffsfläche bereitstellt, da standardmäßig keine Abhördienste vorhanden sind) 3. Potenziell schädliche Anwendungen (für die die Sandbox für Android-Anwendungen, die Google Play-Überprüfung von Anwendungen und Verify Apps entwickelt wurden)

Wenn wir von einer neuen potenziellen Bedrohung hören, beginnen wir, diese in unsere zukünftigen Pläne und Entwürfe einzubeziehen.

F: Wie lange bietet Google Unterstützung für Sicherheitslücken, die im Betriebssystem entdeckt werden?

Ludwig: Unser Ansatz für eine Supportrichtlinie für die Android-Sicherheit besteht darin, Updates überall dort bereitzustellen, wo wir glauben, dass sie tatsächlich an Benutzer geliefert werden, und die Sicherheit zu verbessern. In der Praxis bedeutet dies, dass wir verschiedene Arten von Support für potenzielle Sicherheitsprobleme anbieten:

1. Wenn ein Problem durch Aktualisieren von Chrome, Google Mail, Google Play oder einer beliebigen Anzahl von Google-Anwendungen behoben werden kann - Wir werden das Problem auf eine Weise beheben, die auf alle Android-Versionen zurückgeht, auf denen sich jede Anwendung befindet verfügbar.
2. Google Nexus Geräte und Google Play Edition Geräte erhalten regelmäßig und zeitnah Sicherheitsupdates.
3. Wir bieten Patches für den aktuellen Android-Zweig in der Android Open Source Projekt (AOSP) und stellen Android-Partnern direkt Patches für mindestens die letzten beiden Hauptversionen des Betriebssystems zur Verfügung. Derzeit bieten wir Backports für Sicherheitsprobleme an, die Android 4.3 und höher abdecken. WebKit unter Android 4.3 ist die einzige Ausnahme. Es wird unter Android 4.4 und höher als binäres Update unterstützt. Wenn ein OEM jedoch Unterstützung bei der Entwicklung eines Patches für ein Gerät anfordert, auf dem eine ältere Version ausgeführt wird von der Plattform und sie verpflichten sich, diesen Patch als OTA für Geräte bereitzustellen, werden wir sie unterstützen.
4. Wo möglich aktualisieren wir auch Googles Sicherheitsdienste für Android um eine zusätzliche Schutzschicht für alle Android-Geräte bereitzustellen, unabhängig davon, ob dies der Fall ist wird immer noch von OEMs unterstützt. Dies umfasst die Überprüfung auf potenziell schädliche Anwendungen und andere Sicherheitsmaßnahmen Verhalten.
5. Wir stellen Anwendungsentwicklern auch Informationen und Tools zur Verfügung, um sicherzustellen, dass ihre Anwendungen vor potenziellen Sicherheitsproblemen geschützt sind. Dies umfasst die Bereitstellung von APIs in Google Play Services wie dem aktualisierbarer Sicherheitsanbieter das kann von Google ohne Geräte-OTA aktualisiert werden. Wir bieten auch empfohlene Vorgehensweise Dies kann Entwicklern helfen, sicherzustellen, dass ihre Anwendungen auf allen Android-Geräten sicher funktionieren, unabhängig davon, ob sie noch von OEMs unterstützt werden. Vor kurzem haben wir begonnen, Anwendungen in Google Play nach potenziellen Sicherheitslücken zu durchsuchen und Entwickler zu benachrichtigen, wenn diese Schwachstellen vorliegen erkannt.
6. Zu guter Letzt geben wir Informationen zu Sicherheitsproblemen weiter (einschließlich Informationen zu Korrekturen und bekannter Ausnutzung). mit Android-Partnern, um sicherzustellen, dass sie das Problem verstehen, einschließlich der Risiken, die mit Geräten verbunden sind, die kein Update für das Gerät erhalten Problem. Dies umfasst das Hinzufügen von Tests für potenzielle Sicherheitsprobleme in der Kompatibilitätstestsuite um die Wahrscheinlichkeit zu verringern, dass ein OEM versehentlich ein Gerät mit einem bekannten Sicherheitsproblem versendet.

F: Für den Fall, dass eine App als bösartig, aber nicht unbedingt gefährlich eingestuft wurde - beispielsweise eine App, die die Benachrichtigungsleiste mit unerwünschten Anzeigen spammt - welche Tools stehen zur Verfügung, um Benutzern zu helfen?

Ludwig: Android bietet Benutzern Steuerelemente, mit denen sie die Benutzererfahrung auf ihrem Gerät steuern können. Dies umfasst Funktionen wie das Anzeigen von Anwendungsberechtigungen und das Konfigurieren von Einstellungen wie z Fähigkeit einer Anwendung, Benachrichtigungen anzuzeigen, oder die Fähigkeit, Anwendungen unter zu deaktivieren oder zu entfernen Jederzeit.

Wenn eine Benachrichtigung unerwünscht ist, kann der Benutzer lange auf die Benachrichtigung drücken, um zu sehen, welche App sie erstellt hat, und dann die Benachrichtigungseinstellungen der Anwendung ändern oder die Anwendung deinstallieren.

F: Was passiert, wenn Google eine Nachricht sendet, in der Benutzer vor einer bösartigen App gewarnt werden und der Benutzer die App nicht entfernt, weil er dies nicht tut oder die Nachricht versehentlich verworfen wurde?

Ludwig: Es gibt mehrere redundante Sicherheitsüberprüfungen, mit denen sichergestellt werden soll, dass eine App, von der bekannt ist, dass sie potenziell schädlich ist, nicht versehentlich installiert wird. Bei jeder dieser Überprüfungen entscheidet sich die Mehrheit der Benutzer, die eine Warnung vor einer potenziell schädlichen App erhalten, dafür, nicht fortzufahren.

Hier sind alle wichtigen Schritte:

Google hat sein Warnsystem für bekannte potenziell schädliche Apps in das Backend vieler unserer Apps integriert. So kann beispielsweise der Chrome-Browser mit Safe Browsing den Benutzer warnen, bevor er eine App von einer Website herunterlädt, dass er sich auf einer Website befindet, auf der potenziell schädliche Apps gehostet werden.

Wenn sie sich dennoch für das Herunterladen und Installieren entscheiden, erhalten sie zur Installationszeit eine Warnung (sowie andere Informationen wie die Anwendungsberechtigungen, die ihnen bei der Entscheidung helfen können, ob sie möchten Installieren).

Wenn sie sich dennoch dazu entschließen, fortzufahren, wird die Anwendung installiert, sie kann jedoch nichts tun, bis der Benutzer tatsächlich entscheidet, die App auszuführen. Sie haben also noch eine Chance, die Anwendung zu entfernen, bevor sie möglicherweise Schaden anrichten kann.

Unabhängig davon, ob sie die App ausführen möchten oder nicht, wenn sie auf ihrem Gerät installiert ist, klicken Sie auf Apps überprüfen Beim Scannen im Hintergrund wird die App markiert und eine weitere Warnung angezeigt, in der empfohlen wird, die App zu entfernen App. Diese Warnung wird in der Regel etwa einmal pro Woche angezeigt. Der Benutzer hat jedoch die Möglichkeit, "Erinnere mich nicht noch einmal daran" zu sagen.

F: Schützen mich Sicherheits-Apps von Drittanbietern noch sicherer vor potenziell schädlichen Play Store-Apps?

Ludwig: Die in Google Play integrierten Schutzfunktionen sind sehr robust. Benutzern, die Apps außerhalb von Google Play installieren, wird dringend empfohlen, Apps überprüfen zu aktivieren, die auf bereitgestellt werden Android-Geräte mit Android 2.3 oder höher (das sind mehr als 99 Prozent der Android-Geräte) mit Google Play Eingerichtet.

Im Jahr 2014 laut Verify Apps Daten von Google gesammelt und Rooting Apps ignoriert, die absichtlich von Nutzern installiert wurden, weniger als 0,15 Prozent der Anwendungen, die von außerhalb von Google Play auf Geräten in US-Englisch installiert wurden, wurden als potenziell schädlich eingestuft Anwendungen. Angesichts des integrierten Schutzes von Verify Apps und der geringen Häufigkeit des Installierens von PHAs ist der potenzielle Sicherheitsvorteil einer zusätzlichen Sicherheitslösung sehr gering.

F: Gilt eine der Sicherheitsfunktionen von Google für Benutzer, die Android-Versionen von Drittanbietern installiert haben (siehe: Von der Community erstellte ROMs)?

Ludwig: Ja, ROMs von Drittanbietern basieren im Allgemeinen auf AOSP, unterstützen also die Android-Sandbox und viele von ihnen verwenden die Anwendungen von Google, einschließlich unserer Sicherheitsdienste.

Und da hast du es. Google leistet unglaublich viel Arbeit, um die Sicherheit von Android zu gewährleisten, und ein großer Teil davon wird für die nächsten Schritte vorbereitet. Aber es wird immer ein Katz-und-Maus-Spiel. Wie immer geht es bei der Sicherheit Ihres Geräts darum, zu wissen, wo Sie tippen, was Sie installieren und so gut wie möglich informiert zu sein.

Schauen Sie sich unbedingt den Rest unserer Sicherheitsreihe an, wenn Sie mehr erfahren möchten.

Haben Sie den Android Central Podcast dieser Woche gehört?

Der Android Central Podcast bietet Ihnen jede Woche die neuesten technischen Nachrichten, Analysen und aktuellen Einstellungen mit vertrauten Co-Hosts und besonderen Gästen.

• Abonnieren Sie in Pocket Casts: Audio
• Abonnieren Sie in Spotify: Audio
• In iTunes abonnieren: Audio