Keamanan Android - Tanya Jawab dengan Adrian Ludwig Google

Kami telah berbicara banyak tentang keamanan di perangkat Android Anda baru-baru ini, dan seiring percakapan berlanjut, jelas ada pertanyaan yang perlu dijawab oleh orang yang memiliki otoritas yang lebih besar. Hal-hal seperti apakah Anda membutuhkan perangkat lunak antivirus untuk ponsel Anda, mengidentifikasi malware, dan memastikan perangkat Anda umumnya aman melalui penggunaan sehari-hari adalah topik yang tidak perlu menjadi berlumpur. Meskipun kami dapat menyalahkan beberapa hal ini pada rentetan artikel yang tampaknya tak berujung yang memberi tahu kami tentang semua perangkat lunak di luar sana dibuat untuk mengeksploitasi pengguna Android, ada juga beberapa pertanyaan sah tentang keamanan Android yang tidak sederhana, sederhana jawaban.

Untuk membantu mengatasi ini, kami telah langsung ke sumbernya. Adrian Ludwig, insinyur utama untuk keamanan Android di Google, meluangkan waktu melalui email untuk memberikan jawaban yang kami cari.

Baca selengkapnya: Keamanan Android - Tanya Jawab dengan Adrian Ludwig Google

T: Sebenarnya, apa yang Google coba lindungi dari pengguna Android?

Ludwig: Kami merancang Android menggunakan beberapa lapisan keamanan - Dimulai dengan fitur perangkat keras perangkat (Trustzone, NX), hingga sistem operasi (Application Sandbox, SELinux, ASLR) dan hingga aplikasi dan layanan yang disediakan Google (Google Play, Pengelola Perangkat, Verifikasi Aplikasi, dll). Kami juga mendorong inovasi keamanan dengan memungkinkan pihak ketiga memberikan solusi keamanan.

Ancaman keamanan paling mendesak yang dihadapi perangkat seluler saat ini meliputi: 1. Perangkat yang hilang dan dicuri (yang kami berikan perlindungan seperti layar kunci, enkripsi perangkat, dan Pengelola Perangkat Android) 2. Serangan tingkat jaringan (di mana Android menyediakan layanan kriptografik dan mengekspos permukaan serangan minimal dengan tidak memiliki layanan pendengaran secara default) 3. Aplikasi yang berpotensi berbahaya (di mana sandbox Aplikasi Android, tinjauan aplikasi Google Play, dan Verify Apps semuanya dirancang)

Saat kami mendengar tentang potensi ancaman baru, kami mulai memasukkannya ke dalam rencana dan desain masa depan kami.

T: Berapa lama Google menawarkan dukungan untuk hal-hal seperti kerentanan keamanan yang ditemukan dalam sistem operasi?

Ludwig: Pendekatan kami terhadap kebijakan dukungan untuk keamanan Android adalah memberikan pembaruan di mana pun yang kami yakini benar-benar akan dikirimkan kepada pengguna dan meningkatkan keamanan. Dalam praktiknya, ini berarti kami menyediakan berbagai jenis dukungan untuk potensi masalah keamanan:

1. Jika masalah dapat diselesaikan dengan memperbarui Chrome, Gmail, Google Play, atau sejumlah aplikasi Google - kami akan menyelesaikan masalah dengan cara yang kembali ke semua versi Android di mana setiap aplikasi berada tersedia.
2. Google Perhubungan perangkat dan Edisi Google Play perangkat secara teratur menerima pembaruan keamanan secara tepat waktu.
3. Kami menyediakan tambalan untuk cabang Android saat ini di Proyek Sumber Terbuka Android (AOSP) dan langsung memberi partner Android patch untuk setidaknya dua versi utama terakhir dari sistem operasi. Saat ini, kami menyediakan backport untuk masalah keamanan yang mencakup Android 4.3 dan yang lebih baru. WebKit di Android 4.3 adalah satu-satunya pengecualian. Ini didukung di Android 4.4 dan lebih tinggi sebagai pembaruan biner. Namun demikian, ketika OEM meminta bantuan dalam mengembangkan tambalan untuk perangkat yang menjalankan versi yang lebih lama platform dan mereka berkomitmen untuk mengirimkan patch itu sebagai OTA ke perangkat, kami akan memberikan bantuan kepada mereka.
4. Jika memungkinkan, kami juga memperbarui Layanan keamanan Google untuk Android untuk memberikan lapisan perlindungan tambahan untuk semua perangkat Android, terlepas dari apakah perangkat tersebut masih didukung oleh OEM. Ini termasuk memeriksa aplikasi yang berpotensi berbahaya dan keamanan lainnya tingkah laku.
5. Kami juga memberikan informasi dan alat kepada pengembang aplikasi untuk memastikan aplikasi mereka terlindungi dari potensi masalah keamanan. Ini termasuk menyediakan API dalam Layanan Google Play seperti Penyedia Keamanan yang dapat diperbarui yang dapat diperbarui oleh Google tanpa perangkat OTA. Kami juga menyediakan praktik terbaik yang dapat membantu pengembang memastikan aplikasi mereka berfungsi dengan aman di semua perangkat Android, terlepas dari apakah mereka masih didukung oleh OEM. Baru-baru ini, kami mulai memindai aplikasi di Google Play untuk mencari potensi kerentanan keamanan dan memberi tahu pengembang jika kerentanan tersebut ada terdeteksi.
6. Terakhir, namun tidak kalah pentingnya, kami membagikan informasi tentang masalah keamanan (termasuk informasi yang kami miliki tentang perbaikan dan eksploitasi yang diketahui) dengan mitra Android untuk memastikan mereka memahami masalahnya, termasuk risiko yang terkait dengan perangkat yang tidak menerima pembaruan untuk isu. Ini termasuk menambahkan tes untuk potensi masalah keamanan di Rangkaian Uji Kompatibilitas untuk mengurangi kemungkinan OEM secara tidak sengaja mengirimkan perangkat dengan masalah keamanan yang diketahui.

T: Jika suatu aplikasi dianggap berbahaya tetapi belum tentu berbahaya - misalnya aplikasi yang mengirim spam ke baki notifikasi dengan iklan yang tidak diinginkan - alat apa yang tersedia untuk membantu pengguna?

Ludwig: Android memberi pengguna kontrol yang memungkinkan mereka mengontrol pengalaman di perangkat mereka. Ini termasuk kemampuan seperti melihat izin aplikasi, mengonfigurasi pengaturan seperti kemampuan aplikasi untuk menampilkan pemberitahuan, atau kemampuan untuk menonaktifkan atau menghapus aplikasi di kapan saja.

Jika pemberitahuan tidak diinginkan, pengguna dapat menekan lama pada pemberitahuan untuk melihat aplikasi mana yang memproduksinya dan kemudian mengubah pengaturan pemberitahuan aplikasi atau menghapus instalan aplikasi.

T: Apa yang terjadi jika Google mengirimkan pesan yang memperingatkan pengguna tentang aplikasi yang berbahaya dan pengguna tidak menghapus aplikasi tersebut, baik karena mereka memilih untuk tidak melakukannya atau pesan tersebut ditutup secara tidak sengaja?

Ludwig: Ada beberapa pemeriksaan keamanan yang berlebihan yang dirancang untuk memastikan bahwa aplikasi yang diketahui berpotensi berbahaya tidak akan diinstal secara tidak sengaja. Pada setiap pemeriksaan ini, sebagian besar pengguna yang menerima peringatan tentang aplikasi yang berpotensi berbahaya memilih untuk tidak melanjutkan.

Berikut semua langkah utamanya:

Google telah mengintegrasikan sistem peringatannya untuk aplikasi yang berpotensi berbahaya ke bagian belakang banyak aplikasi kami. Jadi, misalnya, browser Chrome dengan Penjelajahan Aman mungkin memperingatkan pengguna bahkan sebelum mereka mengunduh aplikasi dari situs web bahwa sepertinya mereka berada di situs web yang menghosting aplikasi yang berpotensi berbahaya.

Jika mereka memilih untuk mengunduh dan menginstal, mereka akan menerima peringatan pada waktu penginstalan (juga informasi lain seperti izin aplikasi yang dapat membantu mereka memutuskan apakah mereka mau Install).

Jika mereka masih memutuskan untuk melanjutkan, aplikasi telah diinstal, tetapi tetap tidak dapat melakukan apa pun hingga pengguna benar-benar memutuskan untuk menjalankan aplikasi. Jadi, mereka memiliki satu kesempatan lagi untuk memilih untuk menghapus aplikasi sebelum dapat menyebabkan kerusakan.

Apakah mereka memilih untuk menjalankan aplikasi atau tidak, jika itu diinstal di perangkat mereka, maka Verifikasi Aplikasi pemindaian latar belakang akan menandai aplikasi dan memberikan peringatan lain yang merekomendasikan agar mereka menghapus aplikasi. Peringatan ini biasanya akan muncul sekitar sekali seminggu - meskipun pengguna memiliki opsi untuk mengatakan "jangan ingatkan saya lagi".

T: Apakah aplikasi keamanan pihak ketiga membuat saya semakin aman dari aplikasi Play Store yang berpotensi berbahaya?

Ludwig: Perlindungan yang dibangun di Google Play sangat kuat. Untuk pengguna yang memasang aplikasi di luar Google Play, kami sangat menyarankan agar mereka mengaktifkan Verifikasi Aplikasi, yang disediakan di Perangkat Android yang menjalankan Android 2.3 atau lebih tinggi (lebih dari 99 persen perangkat Android) yang memiliki Google Play terpasang.

Pada tahun 2014, menurut data Verifikasi Aplikasi yang dikumpulkan oleh Google dan mengabaikan aplikasi rooting yang sengaja dipasang oleh pengguna, kurang dari 0,15 persen dari Aplikasi yang dipasang dari luar Google Play ke perangkat Inggris AS diklasifikasikan sebagai Berpotensi Berbahaya Aplikasi. Mengingat perlindungan bawaan yang disediakan oleh Verify Apps dan frekuensi rendah terjadinya pemasangan PHA, potensi manfaat keamanan dari solusi keamanan tambahan sangat kecil.

T: Apakah ada fitur Keamanan Google yang berlaku untuk pengguna yang menginstal Android versi pihak ketiga (baca: ROM buatan komunitas)?

Ludwig: Ya, ROM pihak ketiga umumnya dibangun di atas AOSP, jadi ROM tersebut mendukung kotak pasir Android, dan banyak di antaranya menggunakan aplikasi Google, termasuk layanan keamanan kami.

Dan begitulah. Google melakukan banyak sekali pekerjaan untuk menjaga keamanan Android, dan sebagian besar sedang dipersiapkan untuk apa pun yang terjadi selanjutnya. Tapi itu akan selalu menjadi permainan kucing-dan-tikus. Seperti yang selalu terjadi, menjaga keamanan perangkat Anda adalah tentang menyadari di mana Anda mengetuk, apa yang Anda pasang, dan mendapatkan informasi sebanyak mungkin.

Pastikan untuk memeriksa seri keamanan kami lainnya jika Anda ingin mempelajari lebih lanjut.

Sudahkah Anda mendengarkan Podcast Pusat Android minggu ini?

Setiap minggu, Android Central Podcast menghadirkan berita teknologi terbaru, analisis, dan cuplikan menarik, dengan co-host yang sudah dikenal dan tamu istimewa.

• Berlangganan di Pocket Casts: Audio
• Berlangganan di Spotify: Audio
• Berlangganan di iTunes: Audio