Allikas: Alex Dobie / Android Central
Aastate jooksul on Android-telefoni turvalisuse ümber levinud palju FUD - hirmu, ebakindlust ja kahtlusi. Ja ma olen aus: algusaegadel oli suur osa sellest vääriline. Androidi killustatud olemus, tohutu hulk värk mis vajas muutmiseks püsivara täielikku täiendamist ja telefonitootjate tagasihoidlikkust Need värskendused välja tähendasid, et Android-telefonid olid turvaküsimustele vastuvõtlikumad kui iPhone.
Kümme aastat tagasi, kui avastatakse iPhone'i suur turvaauk, võib Apple kogu oma ökosüsteemi kiiresti lappida. Androidis võidakse jääda ootama kuid, kui teie seadmesse on kunagi parandatud. Androidi turvaküsimuse lahendamiseks 2011. aastal pidi Google esmalt uue koodi välja tõrjuma, seejärel integreeritakse tootja telefoni püsivara sisse ja lõpuks logitakse teie telefonilt alla kandja. See ei ole ideaalne sündmuste jada, kui aeg on kõige olulisem, nagu see oleks tõenäoline, kui looduses kasutataks vastikut uut tarkvara haavatavust.
Androidi turvalisus on viimase 10 aasta jooksul läbinud pika ja pika tee.
Kuid Android üldiselt ja eriti Androidi turvalisus on viimase kümne aasta jooksul jõudnud kaugele. Ja Androidi omanike väsinud trobikond ei saa kunagi värskendusi ning pahavarasse sattunud Android-telefonid on nüüd hästi ja tõeliselt aegunud. The parimad Android-telefonid tagavad nüüd neli aastat tavapäraseid turvapaiku ja Android ise on nüüd disainilt turvalisem.
Probleem on selles, kuidas Google hoiab Androidi turvalisena ja turvaliselt ebamäärased ja üsna tehnilised. Kuigi vertikaalse integreerituse ja suhteliselt väikese telefonimudelite arvuga Apple saab lihtsalt täies mahus välja töötada püsivara värskendused oma äranägemise järgi nõuab Google'i suurem, mitmekesisem ja vähem otseselt kontrollitav ökosüsteem teistsugust lähenemisviisi.
Google Play teenused
Allikas: Android Central / Phil Nickinson
Päris iga läänes müüdav Android-telefon on varustatud Google Play teenustega - see on teenuse oluline osa Google'i Android-telefonidele eellaaditud mobiilirakenduste pakett, mida Google saab Windowsis vaikselt värskendada taust. Kuid Play Services on palju, palju võimsam kui teie keskmine Androidi rakendus. Sellepärast, et see on a süsteemi rakendus, mis tähendab põhimõtteliselt lossi võtmeid, võimaldades funktsioone, näiteks telefoni kaugjuhtimist, kui see on kadunud või varastatud. (Sel põhjusel peab süsteemirakendused kõigepealt seadmesse laadima teie tootja. Neid ei saa nullist installida nagu tavalist rakendust.)
Google Play teenuste praeguseid versioone toetatakse kuni Android 5.0 Lollipopini, mis ilmus 2014. aastal. Androidi viimane versioon, mis kaotas Play teenuste toe, oli 2011. aastal välja antud 4.0 Ice Cream Sandwich, mis lõpetati 2018. aastal. See tähendab, et Google Play teenuste praeguse toe jaoks on ajagraafikud, millest siin räägime, palju pikemad, kui enamik inimesi nutitelefoni kunagi hoiab.
Veel: Google Mobile Services aabits
Play teenused teevad ka paljusid muid asju, näiteks lubavad arendajatel integreerida oma rakendustesse sellised teenused nagu Google Pay ja Google'i ühekordne sisselogimine. Kuid nullime turvalisuse tagajärjed: selline süsteemirakendus, mida pidevalt taustal ajakohastatakse, toetab seitse või enam aastat tagasi välja antud seadmed, millel on luba teha põhimõtteliselt kõike, on võimas tööriist Google'i Androidi turvalisuses arsenal.
Allikas: Andrew Martonik / Android Central
Play teenused on alati ka iidsetes Android-telefonides ajakohased, kaitstes pahavara eest.
Näiteks Google Play Protect on osa Play teenustest. See võimaldab Google'il kontrollida teie telefoni rakendustes pahavara olemasolu, olenemata sellest, kas need on Play poest alla laaditud. Kuna Play teenused on süsteemirakendus, võib Play Protect pahatahtlikke rakendusi nunnutada, enne kui neil on võimalus midagi halba teha. Kuna Play teenuseid värskendatakse pidevalt, saab neid kaitsemeetmeid taustal ajakohastada mitu aastat pärast seda, kui teie seade saab viimase korraliku püsivara värskenduse. See on võimalus vanematele seadmetele kaitsta pahatahtlike rakenduste eest, isegi kui need rakendused kasutavad tarkvara haavatavusi, mis on põhiosas endiselt tehniliselt olemas.
See võib anda sellistele seadmetele nagu 2013. aastal välja antud geriaatriline Samsung Galaxy S4 korraliku kaitse Android 5-põhises püsivara haavatavuste eest.
Allikas: Alex Dobie / Android Central
Google Play teenuste võimsuse suurepärast näidet võib näha Covid-19 kokkupuute teatamise süsteemis. Google suutis selle süsteemi Apple'iga üles ehitada ja tänu Play teenustele juurutada selle automaatselt igasse Android-telefoni, milles töötab 5.0 Lollipop või uuem versioon, värskendamata nende püsivara.
Kui ilmnevad hirmutavad tarkvara haavatavused, nagu juhtus 2014. aastal Viga "võltsitud ID", Värskendas Google rikkuvate rakenduste tuvastamiseks kohe oma funktsiooni „Rakenduste kinnitamine” (Google Play Protecti eelkäija). See võimaldas haavatavuse ninale tõmmata juba ammu enne, kui tootjad jõudsid püsivara värskenduste väljatöötamiseni, et lahendada aluseks olev viga.
Kuid muidugi on haavatavuste puudumine parem kui lihtsalt nende ekspluateerimise takistamine. Selleks on Google viimastel aastatel Androidi pikaajalise püsivara värskendamise probleemiga tegelenud mitmel erineval viisil viisid: esiteks muutes Androidi modulaarsemaks ja tehes Androidi ajal tihedamat koostööd tootjatega arengut. Teiseks sidudes kuupäeva selgelt Androidi turvalisuse tasemega ja kirjutades telefonitootjatega sõlmitud lepingutesse miinimumtoe nõuded.
Android läheb modulaarseks
Allikas: Alex Dobie / Android Central
Kümme aastat tagasi oli Android suur monoliitne üksus, mida tuli korraga värskendada. Süsteemi tasemel muudatusi, näiteks meediumikoodekeid või võrguühendust - või isegi sisseehitatud veebibrauserit või helistajarakendust - saab teha ainult täieliku püsivara värskenduse kaudu, kaasates kogu sellega seotud vaeva. (Esiteks lükkab Google uue koodi välja, seejärel muudab tootja selle seadmepõhiseks püsivara värskenduseks, seejärel operaator peab välja logima.) Ja nagu varem mainitud, on see aeglane ja turvalisuse jaoks üsna halb, kui see on kasutatav viga avastatud.
Sellest ajast alates on Google muutnud Androidi modulaarsemaks, muutes ettevõtetele OS-i värskenduste väljatõstmise kiiremaks ja lihtsamaks. Ja hiljuti on nüüd võimalik Android OS-i tükke värskendada ilma püsivara täieliku täiendamiseta. Kõik see võimaldab Google'il ja telefonitootjatel kiiresti reageerida, et OS-i teatud osades turbeprobleeme lahendada.
Google'i esimesed sammud selles suunas hõlmasid teatud rakenduste ja komponentide püsivara väljajagamist ning nende värskendamise võimaldamist Google Play poe kaudu. Parimad näited selle kohta on Google Chrome ja Android WebView komponent - mida kasutatakse veebisisu jaoks Androidi rakendustes. Nende värskendamine püsivarast sõltumatult võimaldab Googleil parandada brauserimootori vigu, mida saaks ära kasutada pahatahtlike veebilehtede abil ja saate need kogu tunni jooksul kogu Androidi ökosüsteemi kasutusele võtta tundide asemel kuud.
Androidi uusimad versioonid saavad värskendatud vahendajast lahti.
2017. aasta Android 8.0 Oreo väljalaskes suurendas Google rakendust "Project Treble". See oli püüd teha lahti madala taseme bitti Kiibistiku tootjate Android nagu Qualcomm ülejäänud operatsioonisüsteemist ja loob modulaarsema operatsioonisüsteemi, mida saaks rohkem värskendada kiiresti. Kuna riistvaraettevõtted suudavad oma kohandused põhisüsteemist eraldada, oli idee, et püsivara värskendusi saab välja lükata kiiremas tempos ja vähem tehnilise jalavarjuga. Project Treble pole midagi, mida märkate oma seadmes töötama, kuid see võib olla põhjus, miks 2018. aastal ostetud Android-telefon sai OS-i värskendused kiiremini kui 2016. aastal ostetud telefon. Ja turvalisuse huvides on loomulikult paremad kiiremad värskendused.
Allikas: Google
Järgmine samm Androidi moduleerimisel tuli Android 10-sse koos projektiga "Project Mainline" - täna tuntud kui ebamäärase nimega "Google Play süsteemivärskendused". Mainline on kõike olemasoleva õhu kaudu toimiva püsivara protsessi kõrvalejätmine ja Androidi osade ühendamine uuteks mooduliteks, mida Google või teie telefon saaks otse värskendada tootja. Mainline kasvas sisse Android 11 koos värskendatavate moodulitega rohkemate Android-süsteemibittide jaoks, nagu WiFi, lõastamine ja närvivõrgu komponendid. Ja Android 12-s hõlmab see ka ART-i (Androidi käitusaeg), mis toob rohkem turvalisuse eeliseid. As AC-d Jerry Hildenbrand selgitab hiljutises juhtkirjas:
Android 12-s saab Androidi käituse tööpõhimõtetes leiduvaid turvavarusid kiiresti ja hõlpsalt kogu Androidi ökosüsteemis parandada.
Mõistmaks, kuidas Androidi turvalisus on alates 2010. aastate algusest nii palju paranenud, on huvitav heita pilk ühele möödunud kümnendi suuremale Androidi turvalisuse hirmutajale - 2015. aastale Viga "Stagefright". Stagefright hõlmas meediumifailide töötlemiseks kasutatava Androidi komponendi ärakasutamist, mis võimaldas spetsiaalselt modifitseeritud videofailil käitada pahatahtlikku koodi Android-telefonides.
Üks 2015. aasta kõige jubedamaid Androidi turvavigu kastreeriks Project Mainline täielikult.
Kuigi pole tõendeid selle kohta, et Stagefrightit oleks kunagi reaalses pahavaras laialdaselt kasutatud - tõenäoliselt seetõttu, et muud Androidi turvaabinõud muutsid selle kasutamise väga raskeks - see oli siiski suur uudis aeg. 2015. aastal ei olnud Stagefrightil ühtegi hõbekuuli. Erinevalt rakenduspõhisest haavatavusest ei suutnud Google Play Protect takistada halbadel meediumifailidel teie telefoni ohtu seadmast. Ainus tõeline lahendus oli oodata püsivara värskendust ja loota parimat.
Kuid kui 2021. aastal avastataks midagi sellist nagu Stagefright, oleks see triviaalne. Google valmistaks meedia taasesituskogu jaoks lihtsalt projekti Mainline värskenduse ja parandaks vea koheselt kõigis seadmetes, milles töötab Android 10 või uuem versioon. Kuna OS-i igas uues versioonis on rohkem Androidi moduleeritud, on palju vähem tõenäoline, et Google jääb tulevikus ärakasutamisele nagu Stagefright.
Androidi turvapaigad
Allikas: Alex Dobie / Android Central
Stagefright'i vea otsese tulemusena viis Google 2015. aasta lõpus Androidi turvapaigade tasemed, sidudes täpse kuupäeva mis tahes Google'i heakskiidetud Androidi püsivara turvalisuse tasemega. Iga kuu antakse välja uusi plaastreid, mis käsitlevad hiljuti avastatud turvaprobleeme. Seadmete tootjatel on seadmetele väljapaistvate turvapaikade saamiseks aega üks kuni kaks kuud. Turvapaiga lisanähtavus valgustas üle- ja allajõudnud Androidi tootjaid, andes samas ka meelerahu uute värskenduste saabumisel.
Nüüd nõuab Google lepinguliselt kaheaastast turvavärskendust.
Hiljuti on Google hakanud Androidi tootjatega sõlmitud lepingutesse kirjutama minimaalse turvatoetuse taseme. Äärelteatas 2018. aastal et telefonitootjad peaksid kahe aasta jooksul tagama uute telefonide turvauuendused, esimesel aastal vähemalt neli turvauuendust. Enamiku tippklassi telefonide standardite järgi on see üsna lihtne tugitase. Aga see on lihtsalt see, mis on: miinimum. Paljud teised tipptasemel ettevõtted lähevad palju kaugemale, sealhulgas Samsung oma hiljutise lubadusega neli aastat turvavärskendusi peamistele Galaxy telefonidele.
Kümme aastat edu
Allikas: Alex Dobie / Android Central
Kiiremate Androidi värskenduste vahel tänu Project Treble'ile, hõlpsamatele OS-i osade värskendustele ilma püsivara täieliku täienduseta, pikem eluiga ja tugev viimane kaitse pahavara eest Google Play Protectilt, on Androidi turvalisus täna jõuline. Suurem osa tänapäeval väga avalikustatud mobiilside turvariskidest ilmnevad andmepüügirünnakute kujul, mitte pahatahtlikud rakendused või meediumifailid. Või teisisõnu, kui Androidi turvalisus on tugevdatud, otsustavad pahad üha enam trikitada sina, mitte teie telefoni.
See ei tähenda, et olukord Androidi turvalisuse ja platvormi värskenduste ümber oleks ideaalne. Ideaalses maailmas oleks Google turvaaukude lappimisel sama nutikas kui Apple. Projekt Mainline'iga oleme kindlasti sinna jõudmine, kuid Android 11-s ja Android 12-s lisatud uute Mainline moodulite eeliste jõudmine Androidi ökosüsteemi võtab aega. Google Play Protect piirdub nii hea kui see on rakenduspõhise pahavara neutraliseerimisega, erinevalt muust ärakasutamisest. Ja ma väidan kindlasti, et lepinguline miinimum, mis on üks turvavärskendus iga kolme kuu tagant, ei lähe piisavalt kaugele. (Juhtum: The häbiväärsed väljavaated paljudest odavamatest OnePlus Nord telefonidest.)
Samal ajal on 2021. aastal vana stereotüüp, et Androidis on palju pahavara ja püsivara ärakasutamist, kaugemal tõest kui kunagi varem. Otsesed võrdlused iOS-i värskendusmudeliga jätavad tähelepanuta Google Androidi olulised osad, nagu Play Services ja Project Mainline. Platvorm on alates 2011. aastast läbinud pika tee ja viimase kümnendi edusammud tähendavad, et Androidil on hea positsioon tuleviku tarkvaraga seotud ohtude ärahoidmiseks.
Alex Dobie
Alex on Android Centrali ülemaailmne tegevtoimetaja ja on tavaliselt Ühendkuningriigis. Ta on bloginud juba enne seda, kui seda nii kutsuti, ja praegu kulub suurem osa ajast video juhtimiseks AC, mis hõlmab kaamera suunamist telefonide poole ja sõnade rääkimist mikrofoni poole. Tal oleks lihtsalt hea meel kuulda teie mõtteid aadressil [email protected] või sotsiaalsetest asjadest aadressil @alexdobie.