Android Security - küsimused ja vastused Google'i Adrian Ludwigiga

Oleme hiljuti palju rääkinud teie Android-seadme turvalisusest ja vestluse jätkudes oli selge, et on küsimusi, millele peab vastama suurem autoriteet. Asjad, näiteks kas vajate telefoni viirusetõrjetarkvara, pahavara tuvastamineja veenduge, et teie seadmed oleksid igapäevasel kasutamisel üldiselt ohutu on tarbetult poriseks muutunud teemad. Kuigi me võime selles süüdistada selles näiliselt lõputult paisuvaid artikleid, mis räägivad meile kogu sealsest tarkvarast Androidi kasutajate ärakasutamiseks on Androidi turvalisuse kohta ka mõned õigustatud küsimused, millel pole lihtsat ja lihtsat küsimust vastused.

Selle lahendamiseks oleme jõudnud otse allika juurde. Google'i Androidi turvalisuse juhtivinsener Adrian Ludwig võttis e-posti teel aega, et anda otsitud vastused.

Loe lisaks: Android Security - küsimused ja vastused Google'i Adrian Ludwigiga

K: Millega täpselt üritab Google oma Android-kasutajaid kaitsta?

Ludwig: Kujundasime Androidi, kasutades mitut turvakihti - alustades seadme riistvara funktsioonidest (Trustzone, NX) operatsioonisüsteemi kaudu (Application Sandbox, SELinux, ASLR) ning kuni Google'i pakutavate rakenduste ja teenusteni (Google Play, seadmehaldur, rakenduste kinnitamine jne). Samuti julgustame turvauuendusi, võimaldades kolmandatel isikutel pakkuda turvalahendusi.

Mobiilsideseadmetega kaasnevad kõige pakilisemad turvaohud: 1. Kadunud ja varastatud seadmed (mille jaoks pakume selliseid kaitset nagu lukustusekraan, seadme krüptimine ja Android-seadme haldur) 2. Võrgutaseme rünnakud (mille jaoks Android pakub krüptoteenuseid ja paljastab minimaalse rünnakupinna, kuna vaikimisi pole kuulamisteenuseid) 3. Potentsiaalselt kahjulikud rakendused (mille jaoks on loodud Androidi rakenduste liivakast, rakenduste Google Play ülevaade ja rakenduste kinnitamine)

Uuest potentsiaalsest ohust kuuldes hakkame seda oma tulevikuplaanidesse ja kujundusse kaasama.

K: Kui kaua pakub Google tuge operatsioonisüsteemis avastatavatele turvaaukudele?

Ludwig: Meie lähenemine Androidi turvalisuse tugipoliitikale on pakkuda värskendusi kõikjal, kus usume, et neid tegelikult kasutajatele edastatakse, ja parandada turvalisust. Praktikas tähendab see seda, et pakume võimalike turvaküsimustega mitut tüüpi tuge:

1. Kui probleemi saab lahendada, värskendades Chrome'i, Gmaili, Google Play või mitut Google'i rakendust - lahendame probleemi viisil, mis ulatub tagasi kõigi Androidi versioonide juurde, kus iga rakendus on saadaval.
2. Google Nexus seadmed ja Google Play väljaanne seadmed saavad regulaarselt õigeaegselt turvavärskendusi.
3. Pakume plaastreid Androidi praegusele harule Androidi avatud lähtekoodiga projekt (AOSP) ja andke Android-partneritele otse vähemalt kahe operatsioonisüsteemi viimase peamise versiooni plaastrid. Praegu pakume Android 4.3 ja uuemat versiooni hõlmavate turvaprobleemide jaoks backports. Veebikomplekt Android 4.3 on ainus erand. Binaarse värskendusena toetab see operatsioonisüsteemi Android 4.4 ja uuemaid versioone. Sellest hoolimata, kui originaalseadmete tootja palub abi vanemat versiooni käitava seadme plaastri väljatöötamisel platvormi ja nad kohustuvad tarnima selle plaastri OTA-na seadmetesse, pakume neile abi.
4. Võimalusel uuendame ka Google'i turbeteenused Androidile pakkuda täiendavat kaitsekihti kõigile Android-seadmetele, olenemata sellest, kas need on endiselt OEM-ide poolt toetatud. See hõlmab potentsiaalselt kahjulike rakenduste ja muu turvalisuse kontrollimist käitumine.
5. Samuti pakume rakenduste arendajatele teavet ja tööriistu, et tagada nende rakenduste kaitse võimalike turvaküsimuste eest. See hõlmab API-de pakkumist Google Play teenustes, näiteks värskendatav turvapakkuja mida saab Google ilma seadme OTA-ta värskendada. Pakume ka parimad tavad mis aitab arendajatel veenduda, et nende rakendused töötavad ohutult kõigis Android-seadmetes, olenemata sellest, kas originaalseadmete tootjad neid veel toetavad. Hiljuti oleme hakanud Google Play rakendusi otsima võimalike turvanõrkuste suhtes ja teavitama arendajaid, kui need haavatavused on tuvastatud.
6. Viimasena, kuid mitte vähem tähtsana, jagame teavet turbeprobleemide kohta (sealhulgas teave, mis meil on paranduste ja teadaoleva ekspluateerimise kohta) Androidi partneritega, et veenduda, et nad mõistavad probleemi, sealhulgas riske, mis on seotud seadmetega, mis ei saa programmi probleem. See hõlmab võimalike turvaküsimuste testide lisamist Ühilduvustesti komplekt vähendada võimalust, et OEM saadab tahtmatult teadaoleva turbeprobleemiga seadme.

K: Kui rakendust on peetud pahatahtlikuks, kuid see pole tingimata ohtlik - näiteks rakendus, mis rämpspostib teatesalve soovimatute reklaamidega - millised tööriistad on kasutajate abistamiseks saadaval?

Ludwig: Android pakub kasutajatele juhtnuppe, mis võimaldavad neil oma seadme kasutuskogemust juhtida. See hõlmab selliseid võimalusi nagu rakenduse lubade vaatamine, selliste seadete konfigureerimine nagu rakenduse võime märguandeid kuvada või võimalus rakendusi keelata või eemaldada aadressil igal ajal.

Kui teatis on soovimatu, võib kasutaja märguandele pikalt vajutada, et näha, milline rakendus selle koostas, ja seejärel muuta rakenduse märguandeseadeid või desinstallida rakenduse.

K: Mis juhtub, kui Google saadab kasutajaid pahatahtliku rakenduse eest hoiatades ja kasutaja ei eemalda rakendust kas sellepärast, et nad otsustavad seda mitte teha või lükati teade kogemata tagasi?

Ludwig: On mitmeid üleliigseid turvakontrolle, mille eesmärk on tagada, et teadaolevalt potentsiaalselt kahjulikku rakendust kogemata ei installita. Kõigil nendel kontrollidel otsustavad enamik kasutajaid, kes saavad potentsiaalselt kahjuliku rakenduse kohta hoiatuse, mitte jätkata.

Siin on kõik peamised sammud:

Google on integreerinud oma teadaolevate potentsiaalselt kahjulike rakenduste hoiatussüsteemi paljude meie rakenduste taustaprogrammi. Nii võib näiteks turvalise sirvimisega Chrome'i brauser hoiatada kasutajat enne, kui ta rakenduse isegi veebisaidilt alla laadib, et ta näib olevat potentsiaalselt kahjulikke rakendusi hostival veebisaidil.

Kui nad otsustavad ikkagi alla laadida ja installida, saavad nad installimise ajal hoiatuse (nagu ka muu teave, näiteks rakenduse õigused, mis võivad aidata neil soovi korral otsustada installida).

Kui nad otsustavad ikkagi jätkata, on rakendus installitud, kuid see ei saa ikkagi midagi teha enne, kui kasutaja tegelikult otsustab rakenduse käivitada. Nii et neil on veel üks võimalus valida rakendus eemaldada, enne kui see võib kahjustada.

Kas nad otsustavad rakenduse käivitada või mitte, kui see on nende seadmesse installitud, siis kontrollige rakendusi taustskannimine märgistab rakenduse ja annab uue hoiatuse, soovitades neil see eemaldada rakendus. See hoiatus ilmneb tavaliselt umbes kord nädalas - kuigi kasutajal on siiski võimalus öelda "ära tuleta mulle enam meelde".

K: Kas kolmanda osapoole turvarakendused hoiavad mind potentsiaalsete kahjulike Play poe rakenduste eest veelgi paremini?

Ludwig: Google Play sisseehitatud kaitsed on väga tugevad. Kasutajatele, kes installivad rakendusi väljaspool Google Play-d, soovitame tungivalt lubada rakenduse Verify, mis on saadaval Android-seadmed, milles töötab Android 2.3 või uuem versioon (see on rohkem kui 99 protsenti Android-seadmetest) ja millel on Google Play installitud.

Aastal 2014, vastavalt Google'i kogutud Verify Appsi andmetele ja ignoreerides kasutajate tahtlikult installitud rakenduste juurdumist, vähem kui 0,15 protsenti väljaspool Google Playd USA-s asuvatesse seadmetesse installitud rakendustest liigitati potentsiaalselt kahjulikeks Rakendused. Arvestades Verify Appsi pakutavat sisseehitatud kaitset ja PHA-de installimise madalat esinemissagedust, on täiendava turbelahenduse potentsiaalne turbekasu väga väike.

K: Kas mõni Google'i turvafunktsioon kehtib ka kasutajatele, kes on installinud Androidi kolmandate osapoolte versioonid (loe: kogukonna loodud ROMid)?

Ludwig: Jah, kolmandate osapoolte ROMid on tavaliselt ehitatud AOSP-le, seega toetavad need Androidi liivakasti ja paljud neist kasutavad Google'i rakendusi, sealhulgas meie turvateenuseid.

Ja seal see teil on. Google teeb Androidi turvalisuse tagamiseks uskumatult palju tööd ja sellest valmistatakse ette tohutu osa mis iganes edasi saab. Kuid see saab alati olema natuke kassi ja hiire mäng. Nagu ikka, on seadme turvalisuse tagamine teadlik sellest, kuhu koputate, mida installite, ja olla võimalikult informeeritud.

Kui soovite lisateavet, vaadake kindlasti üle meie ülejäänud turvasarjad.

Kas olete kuulanud selle nädala Android Central Podcasti?

Igal nädalal toob Android Central Podcast teile tuttavad kaassaatejuhid ja erikülalised uusimad tehnoloogiauudised, analüüsid ja kuumad võtted.

• Telli taskuülekanded: Heli
• Telli Spotifys: Heli
• Telli iTunes'is: Heli