Lähde: Alex Dobie / Android Central
Android-puhelinturvallisuudesta on vuosien varrella levinnyt paljon FUDia - pelkoa, epävarmuutta ja epäilyjä. Ja olen rehellinen: alkuaikoina suuri osa siitä oli ansaittu. Androidin hajanaisuus, valtava määrä tavaraa joka vaati täydellistä laiteohjelmistopäivitystä muutokseen ja puhelinvalmistajien pidättyväisyyttä liikkua Näiden päivitysten myötä Android-puhelimet olivat alttiimpia turvallisuusongelmille kuin iPhone.
Kymmenen vuotta sitten, jos havaitaan merkittävä iPhonen tietoturva-aukko, Apple voi nopeasti korjata koko ekosysteeminsä. Androidilla saatat jäädä odottamaan kuukausia, jos korjaus on koskaan tehnyt sen laitteellesi. Jotta Android-tietoturvaongelma voitaisiin ratkaista vuonna 2011, Googlen oli ensin työnnettävä uusi koodi, sitten valmistaja integroi sen puhelimesi laiteohjelmistoon ja lopulta allekirjoittaa sinun harjoittaja. Se ei ole ihanteellinen tapahtumasarja, jos aika on olennaista, kuten todennäköisesti olisi, jos luonnossa hyödynnettäisiin ilkeä uusi ohjelmistoheikkous.
Android-tietoturva on kulkenut pitkän, pitkän tien viimeisten 10 vuoden aikana.
Mutta Android yleensä ja erityisesti Android-tietoturva ovat edenneet pitkälle viime vuosikymmenen aikana. Ja Android-omistajien väsynyt tropiikki ei koskaan saa päivityksiä, ja haittaohjelmiin upotetut Android-puhelimet ovat nyt hyvin ja todella vanhentuneita. parhaat Android-puhelimet takaavat nyt neljä vuotta säännöllisiä tietoturvakorjauksia, ja Android itsessään on nyt turvallisempi suunnittelulta.
Ongelmana on, että tapa, jolla Google pitää Androidin turvallisena, on epämääräistä ja melko teknistä. Vaikka Apple pystyy integroimalla vertikaalisesti ja suhteellisen pienellä määrällä puhelinmalleja yksinkertaisesti täyttymään laiteohjelmistopäivitykset haluamallaan tavalla, Googlen suurempi, monimuotoisempi ja vähemmän suoraan hallittava ekosysteemi vaatii erilaista lähestyä.
Google Play -palvelut
Lähde: Android Central / Phil Nickinson
Melkein jokaisessa lännessä myydyssä Android-puhelimessa on Google Play Services - se on tärkeä osa paketti mobiilisovelluksia, jotka on esiladattu Google Android - puhelimiin, ja Google voi päivittää sen hiljaa tausta. Mutta Play-palvelut ovat paljon, paljon tehokkaampia kuin keskimääräinen Android-sovelluksesi. Se johtuu siitä, että se on järjestelmään sovellus, joka pohjimmiltaan tarkoittaa, että sillä on linnan avaimet, mikä sallii sellaiset ominaisuudet kuin puhelimen etätyhjennys, jos se katoaa tai varastetaan. (Siksi valmistajan on ensin ladattava järjestelmäsovellukset laitteeseen. Niitä ei voi asentaa tyhjästä kuin tavallista sovellusta.)
Google Play -palvelujen nykyisiä versioita tuetaan aina Android 5.0 Lollipopiin, joka julkaistiin vuonna 2014. Viimeisin Android-versio, joka menetti Play Services -tuen, oli 4.0 Ice Cream Sandwich, joka julkaistiin vuonna 2011 ja joka jäi eläkkeelle vuonna 2018. Tämä tarkoittaa, että "nykyisen" Google Play -palvelujen tuen aikarajat, joista puhumme, ovat paljon pidempiä kuin useimmat ihmiset koskaan pitävät älypuhelinta.
Lisää: Google Mobile Services -alusta
Play-palvelut tekevät myös monia muita asioita, kuten sallivat kehittäjien integroida sovelluksiaan esimerkiksi Google Pay ja Google kertakirjautuminen. Mutta nollataan turvallisuusvaikutukset: Tällainen järjestelmäsovellus, jota pidetään jatkuvasti ajan tasalla taustalla, tukee vähintään seitsemän vuotta sitten julkaistut laitteet, joilla on lupa tehdä periaatteessa mitä tahansa, on tehokas työkalu Googlen Android-tietoturvassa arsenaali.
Lähde: Andrew Martonik / Android Central
Play-palvelut ovat aina ajan tasalla jopa muinaisissa Android-puhelimissa ja suojaavat haittaohjelmilta.
Esimerkiksi Google Play Protect on osa Play-palveluita. Tämän avulla Google voi tarkistaa puhelimesi sovellukset haittaohjelmien varalta riippumatta siitä, onko ne ladattu Play Kaupasta. Koska Play Services on järjestelmäsovellus, Play Protect voi houkutella haittaohjelmia ennen kuin heillä on mahdollisuus tehdä haittaa. Ja koska Play-palveluita päivitetään jatkuvasti, nämä suojaukset voidaan pitää ajan tasalla taustalla monta vuotta sen jälkeen, kun laite on saanut viimeisen oikean laiteohjelmistopäivityksen. Se on tapa suojata vanhemmat laitteet haitallisilta sovelluksilta, vaikka kyseiset sovellukset käyttävätkin ohjelmistohaavoittuvuuksia, jotka ovat edelleen teknisesti taustalla olevassa käyttöjärjestelmässä.
Se voi antaa laitteille, kuten vuonna 2013 julkaistulle geriatriselle Samsung Galaxy S4: lle, kohtuullisen suojan Android 5-pohjaisen laiteohjelmiston haavoittuvuuksia vastaan.
Lähde: Alex Dobie / Android Central
Hieno esimerkki Google Play -palveluiden voimasta voidaan nähdä Covid-19-altistumisilmoitusjärjestelmässä. Google pystyi rakentamaan tämän järjestelmän Applen kanssa ja ottamaan Play Services -palvelun käyttöön sen automaattisesti kaikkiin Android-puhelimiin, joissa on 5.0 Lollipop tai uudempi, päivittämättä niiden laiteohjelmistoja.
Kun pelottavia ohjelmistohaavoittuvuuksia ilmenee, kuten tapahtui vuonna 2014 "Fake ID" -vika, Google päivitti välittömästi "Vahvista sovellukset" -ominaisuuden (Google Play Protectin edeltäjä) rikkoneiden sovellusten tunnistamiseksi. Tämä mahdollisti haavoittuvuuden nipistämisen alkuun kauan ennen kuin valmistajat ryhtyivät julkaisemaan laiteohjelmistopäivityksiä korjaamaan taustalla olevan virheen.
Mutta tietysti haavoittuvuuksien puuttuminen ensinnäkin on parempi kuin vain estää niiden hyväksikäyttö. Tätä varten Google on viime vuosina ratkaissut Androidin pitkäaikaisen laiteohjelmistopäivityksen ongelman useilla eri tavoilla tapoja: Ensinnäkin tekemällä Androidista modulaarisempi ja tekemällä läheisempää yhteistyötä valmistajien kanssa Androidin aikana kehitystä. Toiseksi sitomalla päivämäärä selvästi Androidin turvallisuustasoon ja kirjoittamalla vähimmäistukivaatimukset sopimuksiinsa puhelimen valmistajien kanssa.
Android menee modulaariseksi
Lähde: Alex Dobie / Android Central
Vuosikymmen sitten Android oli iso monoliittinen kokonaisuus, joka oli päivitettävä kerralla. Muutokset järjestelmätason asioihin, kuten mediakoodekkeihin tai verkkoyhteyksiin - tai jopa sisäänrakennettuun verkkoselaimeen tai valintasovellukseen - voitiin tehdä vain täydellä laiteohjelmistopäivityksellä ja kaikella siihen liittyvällä vaivalla. (Ensinnäkin Google työntää uuden koodin ulos, sitten valmistaja muuttaa sen laitekohtaiseksi laiteohjelmapäivitykseksi, sitten operaattorin on kirjauduttava ulos.) Ja kuten aiemmin mainittiin, se on hidasta ja melko huono turvallisuudelle, jos hyödynnettävä vika on löydetty.
Siitä lähtien Google on tehnyt Androidista modulaarisemman, mikä tekee yrityksille nopeamman ja helpomman käyttöjärjestelmän päivitysten julkaisemisen. Viime aikoina on nyt mahdollista päivittää Android-käyttöjärjestelmän osat ilman täyttä laiteohjelmiston päivitystä. Kaikki tämä antaa Googlelle ja puhelinvalmistajille mahdollisuuden reagoida nopeasti korjaamaan tietoturvaongelmat käyttöjärjestelmän tietyissä osissa.
Googlen aikaisimmat askeleet tähän suuntaan sisälsivät tiettyjen sovellusten ja komponenttien purkamisen laiteohjelmistosta ja niiden päivittämisen Google Play -kaupan kautta. Parhaita esimerkkejä tästä ovat Google Chrome ja Android WebView -komponentti, joita käytetään verkkosisältöön Android-sovelluksissa. Päivittämällä nämä laiteohjelmistosta riippumatta Google voi korjata selaimen moottorivirheet, joita voitaisiin hyödyntää haitallisten verkkosivujen avulla ja saada ne käyttöön koko Android-ekosysteemissä muutamassa tunnissa kuukaudet.
Androidin viimeisimmät versiot pääsevät eroon päivityksestä.
Vuonna 2017 Android 8.0 Oreo -julkaisussa Google lisäsi asioita "Project Treble" -palvelulla. Tämä oli pyrkimys purkaa matalan tason bitit Android piirisarjavalmistajilta, kuten Qualcomm muusta käyttöjärjestelmästä, ja luo modulaarisempi käyttöjärjestelmä, jota voitaisiin päivittää enemmän nopeasti. Kun laiteyritykset pystyivät erottamaan omat mukautuksensa käyttöjärjestelmästä, ajatuksena oli, että laiteohjelmistopäivitykset voidaan työntää ulos nopeammin ja vähemmän teknistä jalkatyötä. Project Treble ei ole jotain, jonka huomaat käynnissä laitteellasi, mutta se voi olla syy, miksi vuonna 2018 ostamasi Android-puhelin sai käyttöjärjestelmän päivitykset nopeammin kuin vuonna 2016 ostamasi. Nopeammat päivitykset ovat tietenkin parempia turvallisuuden kannalta.
Lähde: Google
Seuraava askel Androidin modularisoimisessa tuli Android 10: een, "Project Mainline" - joka tunnetaan tänään hämärästi nimeltään "Google Play -järjestelmän päivitykset". Mainline on kyse sivuuttaa nykyinen langaton laiteohjelmistoprosessi kokonaan ja niputtaa Android-osia uusiksi moduuleiksi, jotka Google tai puhelimesi voivat päivittää suoraan valmistaja. Mainline kasvoi Android 11 päivitettävillä moduuleilla lisää Android-järjestelmää varten, kuten Wi-Fi, jakaminen ja hermoverkkokomponentit. Ja Android 12: ssa se kattaa myös ART: n (Android-ajonaikainen), mikä tuo enemmän turvallisuusetuja. Kuten AC: t Jerry Hildenbrand selittää tuoreessa toimituksessaan:
Android 12: ssa kaikenlaiset tietoturvahyödyt, jotka löytyvät siitä, miten Android-ajonaikainen toiminta toimii, voidaan korjata nopeasti ja helposti koko Android-ekosysteemiin.
Ymmärtääksesi, kuinka Androidin turvallisuus on parantunut niin paljon 2010-luvun alusta lähtien, on mielenkiintoista tarkastella yhtä viime vuosikymmenen suurimmista Android-turvallisuuspeloista - 2015 "Stagefright" -vika. Stagefright sisälsi mediatiedostojen käsittelyyn käytetyn Android-komponentin hyödyntämisen, mikä saattoi sallia erityisesti muokatun videotiedoston suorittavan haitallista koodia Android-puhelimissa.
Yksi Main 2015: n pelottavimmista Android-tietoturvavirheistä kastettaisiin kokonaan.
Vaikka ei ole todisteita siitä, että Stagefrightia olisi koskaan käytetty laajalti reaalimaailman haittaohjelmissa - luultavasti muiden vuoksi Androidin turvallisuusvarotoimet tekivät sen hyödyntämisen erittäin vaikeaksi - se oli kuitenkin iso uutinen aika. Vuonna 2015 Stagefrightille ei ollut olemassa yhtä hopeamallia. Toisin kuin sovelluspohjainen haavoittuvuus, Google Play Protect ei voinut estää huonoja mediatiedostoja vaarantamasta puhelintasi. Ainoa todellinen korjaus oli odottaa laiteohjelmistopäivitystä ja toivoa parasta.
Mutta jos jotain Stagefrightia löydettäisiin vuonna 2021, olisi triviaalia puuttua asiaan. Google yksinkertaisesti valmistelee Project Mainline -päivityksen median toistokirjastoon ja korjaa virheen välittömästi jokaisessa laitteessa, jossa on Android 10 tai uudempi. Kun enemmän Androidia moduloidaan käyttöjärjestelmän jokaisessa uudessa versiossa, on paljon vähemmän todennäköistä, että Stagefrightin kaltainen hyväksikäyttö tarttuu tulevaisuudessa Googleen.
Android-tietoturvakorjaukset
Lähde: Alex Dobie / Android Central
Stagefright-virheen suorana seurauksena Google otti vuoden 2015 lopulla käyttöön Android-tietoturvakorjausten tasot sitomalla tarkka päivämäärä minkä tahansa Googlen hyväksymän Android-laiteohjelmiston suojaustasoon. Uusia korjaustiedostoja julkaistaan kuukausittain, ja niissä puututaan äskettäin havaittuihin tietoturvaongelmiin.Laitteiden valmistajille annetaan yksi tai kaksi kuukautta läpimenoaika saadakseen tietoturvakorjauksia laitteille. Tietoturvakorjauksen ylimääräinen näkyvyys loisti valoa yli- ja heikosti menestyneille Android-valmistajille ja antoi samalla mielenrauhaa uusien päivitysten saapuessa.
Kahden vuoden tietoturvapäivitykset vaaditaan nyt Googlen toimesta sopimuksella.
Viime aikoina Google on alkanut kirjoittaa vähimmäisturvatukea sopimuksiinsa Android-valmistajien kanssa. Rajaraportoitu vuonna 2018 että puhelinvalmistajien on taattava kahden vuoden suojauspäivitykset uusille puhelimille ja vähintään neljä suojauspäivitystä ensimmäisen vuoden aikana. Useimpien huippuluokan puhelimien standardien mukaan tuki on melko perustaso. Mutta juuri sitä se on: vähimmäismäärä. Monet muut huippuluokassa menevät paljon pidemmälle, mukaan lukien Samsung äskettäin antamallaan lupauksella neljän vuoden tietoturvapäivitykset tärkeimmille Galaxy-puhelimille.
Vuosikymmenen edistystä
Lähde: Alex Dobie / Android Central
Nopeammien Android-päivitysten välillä Project Diskantin ansiosta, helpommat päivitykset käyttöjärjestelmän osiin ilman täydellistä laiteohjelmistopäivitystä, pidempi käyttöikä ja vahva viimeinen suojaus haittaohjelmia vastaan Google Play Protectilta, Androidin turvallisuus on tänään kestävä. Suurin osa nykyään hyvin julkistetuista mobiililaitteiden tietoturvariskeistä tapahtuu tietojenkalasteluhyökkäysten muodossa haitallisten sovellusten tai mediatiedostojen sijaan. Tai toisin sanoen, kun Android-tietoturva vahvistuu, pahikset valitsevat yhä enemmän temppuja sinä, ei puhelinta.
Tämä ei tarkoita sitä, että Android-tietoturva- ja alustapäivitysten tilanne olisi täydellinen. Ihanteellisessa maailmassa Google olisi yhtä ketterä kuin Apple, kun se tulee korjaamaan tietoturva-aukkoja. Project Mainlinen kanssa olemme ehdottomasti päästä sinne, mutta vie aikaa, ennen kuin Android 11: ään ja Android 12: een lisätyt uudet Mainline-moduulit hyötyvät Android-ekosysteemistä. Google Play Protect rajoittuu sovellusten pohjalta haittaohjelmien neutralointiin toisin kuin muulla tavalla. Ja väittäisin ehdottomasti, että sopimuksen mukainen vähintään yhden tietoturvapäivityksen kolmen kuukauden välein ei mene tarpeeksi pitkälle. (Tapaus: surkeat päivitysmahdollisuudet monista halvemmista OnePlus Nord -puhelimista.)
Samaan aikaan vuonna 2021 vanha stereotypia Androidista, joka sisältää paljon haittaohjelmia ja laiteohjelmistoja, on kauemmas totuudesta kuin koskaan. Ja suorissa vertailuissa iOS-päivitysmalliin unohdetaan tärkeät Google Android -osat, kuten Play Services ja Project Mainline. Alusta on kulkenut pitkän matkan vuodesta 2011, ja viimeisen vuosikymmenen kehitys tarkoittaa, että Androidilla on hyvät mahdollisuudet nähdä tulevaisuuden ohjelmistouhat.
Alex Dobie
Alex on Android Centralin maailmanlaajuinen päätoimittaja, ja se löytyy yleensä Isosta-Britanniasta. Hän on blogannut siitä lähtien, kun sitä kutsuttiin niin, ja tällä hetkellä suurin osa ajastaan käytetään videoiden johtamiseen AC, johon kuuluu kameran osoittaminen puhelimiin ja sanojen puhuminen mikrofoniin. Hän haluaa vain kuulla ajatuksesi osoitteessa [email protected] tai sosiaalisista asioista osoitteessa @alexdobie.