Android Security - Kérdések és válaszok a Google Adrian Ludwigjével

A közelmúltban sokat beszéltünk az Android-eszközöd biztonságáról, és a beszélgetés folytatódása után egyértelmű volt, hogy vannak olyan kérdések, amelyekre egy nagyobb tekintélyű személynek válaszolnia kell. Olyan dolgok, mint amire szüksége van víruskereső szoftver a telefonjához, a rosszindulatú programok azonosítása, és megbizonyosodni arról, hogy eszközei megfelelőek-e napi használat során általában biztonságos olyan témák, amelyek feleslegesen sárosak lettek. Noha ezt részben hibáztathatjuk a látszólag véget nem érő cikkek között, amelyek az összes szoftverről szólnak nekünk az Android-felhasználók kiaknázására készülnek, vannak olyan jogos kérdések az Android biztonságával kapcsolatban, amelyeknek nincs egyszerű, egyszerű kérdése válaszokat.

Ennek megoldása érdekében egyenesen a forráshoz fordultunk. Adrian Ludwig, a Google Android biztonságának vezető mérnöke e-mailben eltartott egy ideig, hogy megválaszolja a keresett válaszokat.

Bővebben: Android Security - Kérdések és válaszok a Google Adrian Ludwigjével

K: Pontosan mitől próbál a Google megvédeni Android-felhasználóit?

Ludwig: Az Androidot több biztonsági réteg felhasználásával terveztük - kezdve az eszköz hardverjellemzőivel (Trustzone, NX), az operációs rendszeren keresztül (Application Sandbox, SELinux, ASLR) és akár a Google által biztosított alkalmazások és szolgáltatások (Google Play, Eszközkezelő, Alkalmazások ellenőrzése stb.). Ösztönözzük a biztonsági innovációt azáltal is, hogy harmadik feleknek biztonsági megoldásokat kínálunk.

A mobileszközök napjainkban a legsürgetőbb biztonsági fenyegetések a következők: Elveszett és ellopott eszközök (amelyekhez olyan védelmet nyújtunk, mint a lezárási képernyő, az eszközök titkosítása és az Android Eszközkezelő) 2. Hálózati szintű támadások (amelyekhez az Android kriptográfiai szolgáltatásokat nyújt, és minimális támadási felületet tesz ki azzal, hogy alapértelmezés szerint nincsenek hallgatási szolgáltatások) 3. Potenciálisan káros alkalmazások (amelyekhez az Android Application sandbox, az alkalmazások Google Play-felülvizsgálata és az Alkalmazások ellenőrzése egyaránt készült)

Amikor új potenciális fenyegetésről értesülünk, elkezdjük ezt beépíteni a jövőbeni terveinkbe.

K: Meddig nyújt támogatást a Google az operációs rendszerben felfedezett biztonsági résekhez?

Ludwig: Az Android biztonságának támogatási politikájához az a megközelítésünk, hogy mindenhol frissítéseket adunk, amelyekről úgy gondoljuk, hogy valóban eljutnak a felhasználókhoz, és javítja a biztonságot. A gyakorlatban ez azt jelenti, hogy többféle támogatást nyújtunk a lehetséges biztonsági kérdésekhez:

1. Ha egy probléma megoldható a Chrome, a Gmail, a Google Play vagy bármely más Google alkalmazás frissítésével - úgy oldjuk meg a problémát, hogy visszanyerjük az összes Android-verziót, amelyen az egyes alkalmazások találhatók elérhető.
2. Google Kapcsolat eszközök és Google Play kiadás az eszközök rendszeresen, időben megkapják a biztonsági frissítéseket.
3. Javításokat biztosítunk az Android jelenlegi ágához a Android nyílt forráskódú projekt (AOSP), és közvetlenül biztosít az Android partnereknek javításokat az operációs rendszer legalább utolsó két fő verziójához. Jelenleg az Android 4.3 vagy újabb verzióját lefedő biztonsági problémákhoz nyújtunk backportokat. Az Android 4.3-as WebKit az egyetlen kivétel. Bináris frissítésként támogatja az Android 4.4 és újabb verziókat. Ennek ellenére, amikor egy OEM segítséget kér egy régebbi verziót futtató eszköz javításának fejlesztéséhez és vállalják, hogy ezt a javítást OTA-ként eljuttatják az eszközökhöz, mi segítséget nyújtunk nekik.
4. Ahol lehetséges, frissítünk is A Google biztonsági szolgáltatásai Androidra további védelmi réteg biztosítása az összes Android-eszköz számára, függetlenül attól, hogy azok vannak-e továbbra is az OEM gyártók támogatják. Ez magában foglalja a potenciálisan káros alkalmazások és egyéb biztonság ellenőrzését viselkedés.
5. Információkat és eszközöket is biztosítunk az alkalmazásfejlesztőknek annak biztosítására, hogy alkalmazásaik védve legyenek a lehetséges biztonsági kérdésekkel szemben. Ez magában foglalja az API-k biztosítását a Google Play Szolgáltatások, például a frissíthető biztonsági szolgáltató amelyet a Google eszköz OTA nélkül frissíthet. Mi is biztosítjuk legjobb gyakorlatok ez segíthet a fejlesztőknek abban, hogy alkalmazásaik biztonságosan működjenek az összes Android-eszközön, függetlenül attól, hogy az OEM-ek továbbra is támogatják-e őket. A közelmúltban elkezdtük keresni az alkalmazásokat a Google Playen a lehetséges biztonsági rések után, és értesíteni a fejlesztőket, ha ezek a biztonsági rések vannak észlelték.
6. Végül, de nem utolsósorban információkat osztunk meg a biztonsági kérdésekről (beleértve a javításokkal és minden ismert kiaknázással kapcsolatos információkat is) az Android partnerekkel annak biztosítása érdekében, hogy megértsék a problémát, beleértve azokat a kockázatokat is, amelyek az eszközökhöz kapcsolódnak, amelyek nem kapnak frissítést a probléma. Ez magában foglalja a tesztek hozzáadását a lehetséges biztonsági problémákhoz a Kompatibilitási tesztcsomag csökkentse annak esélyét, hogy egy OEM akaratlanul is szállítson egy ismert biztonsági problémával rendelkező eszközt.

K: Abban az esetben, ha egy alkalmazást rosszindulatúnak ítéltek, de nem feltétlenül veszélyesnek - például egy olyan alkalmazásnak, amely nem kívánt hirdetésekkel spameli az értesítési tálcát -, milyen eszközök állnak rendelkezésre a felhasználók segítésére?

Ludwig: Az Android olyan kezelőszerveket biztosít a felhasználók számára, amelyek lehetővé teszik számukra, hogy irányítsák az eszközükön tapasztalható élményeket. Ez magában foglalja az olyan képességeket, mint az alkalmazásengedélyek megtekintése, a beállítások konfigurálása, például a egy alkalmazás képes értesítéseket megjeleníteni, vagy letilthatja vagy eltávolíthatja az alkalmazásokat a bármikor.

Ha egy értesítés nem kívánt, a felhasználó hosszan megnyomhatja az értesítést, hogy megnézze, melyik alkalmazás készítette azt, majd módosíthatja az alkalmazás értesítési beállításait, vagy eltávolíthatja az alkalmazást.

K: Mi történik, ha a Google üzenetet küld egy rosszindulatú alkalmazás felhasználóinak figyelmeztetésére, és a felhasználó nem távolítja el az alkalmazást, vagy azért, mert úgy dönt, hogy nem, vagy az üzenetet véletlenül elvetették?

Ludwig: Számos redundáns biztonsági ellenőrzés létezik, amelyek célja annak biztosítása, hogy egy vélhetően potenciálisan káros alkalmazást ne telepítsenek véletlenül. Ezen ellenőrzések mindegyikénél a potenciálisan káros alkalmazásra figyelmeztetést kapó felhasználók többsége úgy dönt, hogy nem folytatja.

Íme az összes fő lépés:

A Google beépítette az ismert potenciálisan káros alkalmazásokra vonatkozó figyelmeztető rendszerét számos alkalmazásunk háttérbe. Így például a Biztonságos Böngészés funkcióval ellátott Chrome böngésző figyelmeztetheti a felhasználót, mielőtt még egy alkalmazást letöltenének egy webhelyről, úgy tűnik, hogy olyan webhelyen tartózkodik, amely potenciálisan káros alkalmazásokat tárol.

Ha mégis letöltés és telepítés mellett döntenek, a telepítéskor figyelmeztetést kapnak (valamint a egyéb információk, például az alkalmazás engedélyei, amelyek segíthetnek nekik eldönteni, hogy akarnak-e telepítés).

Ha továbbra is úgy döntenek, hogy folytatják, az alkalmazás telepítve van, de még mindig nem tehet semmit, amíg a felhasználó valóban nem dönt az alkalmazás futtatásáról. Tehát még egy esélyük van arra, hogy eltávolítsák az alkalmazást, mielőtt az esetleg kárt okozhatna.

Akár az alkalmazás futtatását választják, akár nem, ha az az eszközükre van telepítve, akkor az Alkalmazások ellenőrzése lehetőséget A háttérszkennelés megjelöli az alkalmazást, és újabb figyelmeztetést küld, amelyben azt javasolja, hogy távolítsák el az alkalmazást kb. Ez a figyelmeztetés általában hetente egyszer fordul elő - bár a felhasználónak lehetősége van azt mondani, hogy "ne emlékeztessen újra".

K: A harmadik féltől származó biztonsági alkalmazások még jobban védenek a potenciálisan káros Play Áruház-alkalmazásoktól?

Ludwig: A Google Playbe épített védelem nagyon robusztus. Azoknak a felhasználóknak, akik a Google Playen kívül telepítenek alkalmazásokat, erősen javasoljuk, hogy engedélyezzék az Alkalmazások ellenőrzése szolgáltatást, amely elérhető Az Android 2.3 vagy újabb rendszert futtató Android-eszközök (ez az Android-eszközök több mint 99 százaléka), amelyek rendelkeznek a Google Play szolgáltatással telepítve.

2014-ben a Google által gyűjtött Verify Apps adatok szerint, és figyelmen kívül hagyva a felhasználók által szándékosan telepített gyökereztető alkalmazásokat, kevesebb, mint A Google Playen kívülről az amerikai angol eszközökre telepített alkalmazások 0,15 százaléka minősült potenciálisan ártalmasnak Alkalmazások. Tekintettel a Verify Apps által biztosított beépített védelemre és a PHA-k alacsony telepítési gyakoriságára, egy további biztonsági megoldás potenciális biztonsági előnye nagyon kicsi.

K: A Google valamelyik biztonsági funkciója vonatkozik azokra a felhasználókra, akik telepítették az Android harmadik féltől származó verzióit (olvasható: közösség által készített ROM-ok)?

Ludwig: Igen, a harmadik féltől származó ROM-ok általában az AOSP-ra épülnek, ezért támogatják az Android homokozót, és közülük sokan a Google alkalmazásait használják, beleértve a biztonsági szolgáltatásainkat is.

És itt van. A Google hihetetlen mennyiségű munkát végez az Android biztonságának megőrzése érdekében, és ennek hatalmas részét előkészítik a későbbiekre. De ez mindig egy kis macska-egér játék lesz. Mint mindig, a készülék biztonságának megőrzése annyit jelent, hogy tisztában van azzal, hol koppint, mit telepít, és a lehető leginformáltabbnak kell lennie.

Feltétlenül nézze meg a többi biztonsági sorozatunkat, ha többet szeretne megtudni.

Hallgatta már a hét Android Central Podcastját?

Az Android Central Podcast minden héten a legfrissebb technológiai híreket, elemzéseket és gyors felvételeket hozza meg ismerős társtartókkal és különleges vendégekkel.

• Feliratkozás Pocket Cast-okra: Hang
• Feliratkozás a Spotify-ra: Hang
• Feliratkozás az iTunes-ra: Hang