אבטחת אנדרואיד - שאלות ותשובות עם אדריאן לודוויג של גוגל

דיברנו הרבה על אבטחה במכשיר האנדרואיד שלך לאחרונה, וככל שהשיחה נמשכה היה ברור שיש שאלות שצריכות לענות לאדם על סמכות גדולה יותר. דברים כמו אם אתה צריך תוכנת אנטי-וירוס לטלפון שלך, זיהוי תוכנות זדוניות, ולהיות בטוח שהמכשירים שלך כן בדרך כלל בטוח לשימוש יומיומי הם נושאים שהפכו לבוצי מיותר. אמנם אנו יכולים להטיל חלק מהאשמה בכך במטח האינסופי של המאמרים המספר לנו על כל התוכנות שיש שנעשה לנצל את משתמשי אנדרואיד, ישנן גם שאלות לגיטימיות לגבי אבטחת אנדרואיד שאין בהן פשוט ופשוט תשובות.

כדי לעזור בטיפול בעניין, פנינו היישר למקור. אדריאן לודוויג, מהנדס מוביל לאבטחת אנדרואיד בגוגל, לקח קצת זמן בדוא"ל כדי לתת את התשובות שחיפשנו.

קרא עוד: אבטחת אנדרואיד - שאלות ותשובות עם אדריאן לודוויג של גוגל

ש: ממה בדיוק גוגל מנסה להגן על משתמשי האנדרואיד שלה?

לודוויג: תכננו את אנדרואיד באמצעות מספר שכבות אבטחה - החל מתכונות חומרת המכשיר (Trustzone, NX), דרך מערכת ההפעלה (יישום ארגז חול, SELinux, ASLR) ועד יישומים ושירותים ש- Google מספקת (Google Play, מנהל ההתקנים, אימות אפליקציות וכו '). אנו מעודדים גם חדשנות ביטחונית בכך שאנו מאפשרים לצדדים שלישיים לספק פתרונות אבטחה.

איומי האבטחה הדוחקים ביותר העומדים בפני מכשירים ניידים בימינו כוללים: 1. מכשירים שאבדו ונגנבו (שעבורם אנו מספקים הגנות כמו מסך מנעול, הצפנת מכשיר ומנהל מכשירי Android) 2. התקפות ברמת הרשת (שעבורן אנדרואיד מספקת שירותי הצפנה וחושפת משטח התקפה מינימלי על ידי שאין שירותי האזנה כברירת מחדל) 3. יישומים שעלולים להזיק (שעבורם תוכננו ארגז החול של אפליקציית Android, סקירת היישומים ב- Google Play ואפליקציות Verify)

כשאנחנו שומעים על איום פוטנציאלי חדש, אנחנו מתחילים לשלב את זה בתוכניות העיצוב והעיצוב העתידי שלנו.

ש: כמה זמן גוגל מציעה תמיכה בדברים כמו פגיעויות אבטחה שמתגלות במערכת ההפעלה?

לודוויג: הגישה שלנו למדיניות תמיכה לאבטחת אנדרואיד היא לספק עדכונים בכל מקום בו אנו מאמינים שהם אכן יועברו למשתמשים וישפרו את האבטחה. בפועל זה אומר שאנחנו מספקים סוגים שונים של תמיכה בנושאי אבטחה פוטנציאליים:

1. אם ניתן לפתור בעיה על ידי עדכון Chrome, Gmail, Google Play או מספר כלשהו של יישומי Google - נפתור את הבעיה באופן שיחזור לכל גרסאות Android שבהן כל יישום נמצא זמין.
2. גוגל קֶשֶׁר מכשירים ו מהדורת גוגל פליי מכשירים מקבלים עדכוני אבטחה באופן קבוע בזמן.
3. אנו מספקים תיקונים עבור הסניף הנוכחי של Android ב פרויקט קוד פתוח של Android (AOSP) ולספק ישירות לשותפי Android תיקונים לפחות לשתי הגרסאות העיקריות האחרונות של מערכת ההפעלה. נכון לעכשיו אנו מספקים אחסון אחורי לבעיות אבטחה המכסות את Android 4.3 ואילך. WebKit ב- Android 4.3 הוא היוצא מן הכלל היחיד. הוא נתמך באנדרואיד 4.4 ומעלה כעדכון בינארי. עם זאת, כש- OEM מבקש סיוע בפיתוח תיקון למכשיר שמריץ גרסה ישנה יותר של הפלטפורמה והם מתחייבים לספק את התיקון הזה כ- OTA למכשירים, אנו נספק להם סיוע.
4. במידת האפשר, אנו גם מעדכנים שירותי האבטחה של גוגל לאנדרואיד לספק שכבת הגנה נוספת לכל מכשירי אנדרואיד, ללא קשר לשאלה עדיין נתמך על ידי יצרני ציוד מקורי. זה כולל בדיקת אפליקציות שעלולות להזיק ואבטחה אחרת התנהגות.
5. אנו מספקים גם למפתחי יישומים מידע וכלים כדי להבטיח שהיישומים שלהם מוגנים מפני בעיות אבטחה אפשריות. זה כולל מתן ממשקי API בשירותי Google Play כגון ה- ספק אבטחה הניתן לעדכון שניתן לעדכן על ידי גוגל ללא OTA של מכשיר. אנו מספקים גם שיטות עבודה מומלצות שיכולים לעזור למפתחים לוודא שהיישומים שלהם פועלים בצורה בטוחה בכל מכשירי Android, ללא קשר אם הם עדיין נתמכים על ידי יצרני ציוד מקורי. לאחרונה התחלנו לסרוק אפליקציות ב- Google Play לאיתור פרצות אבטחה פוטנציאליות ולהודיע ​​למפתחים כאשר פגיעות אלו הן זוהה.
6. אחרון חביב, אנו משתפים מידע אודות בעיות אבטחה (כולל מידע שיש לנו על תיקונים וכל ניצול ידוע) עם שותפי Android כדי לוודא שהם מבינים את הנושא, כולל הסיכונים הכרוכים במכשירים שאינם מקבלים עדכון עבור ה- נושא. זה כולל הוספת בדיקות לבעיות אבטחה פוטנציאליות ב חבילת בדיקת תאימות כדי להפחית את הסיכוי שמקור OEM ישלח בשוגג מכשיר עם בעיית אבטחה ידועה.

שאלה: במקרה שאפליקציה נחשבה כזדונית אך לא בהכרח מסוכנת - למשל אפליקציה שמזלה את מגש ההודעות במודעות לא רצויות - אילו כלים זמינים לעזור למשתמשים?

לודוויג: אנדרואיד מספקת למשתמשים פקדים המאפשרים להם לשלוט בחוויה במכשיר שלהם. זה כולל יכולות כמו צפייה בהרשאות יישום, קביעת תצורה של הגדרות כגון היכולת של יישום להציג התראות, או היכולת להשבית או להסיר יישומים ב- בכל עת.

אם הודעה אינה רצויה, המשתמש יכול ללחוץ לחיצה ארוכה על ההודעה כדי לראות איזו אפליקציה הפיקה אותה ואז לשנות את הגדרות ההתראות של היישום או להסיר את ההתקנה של היישום.

ש: מה קורה כאשר גוגל שולחת הודעה המזהירה את המשתמשים מאפליקציה זדונית והמשתמש אינו מסיר את האפליקציה, משום שהם בחרו שלא או שההודעה נדחתה בטעות?

לודוויג: יש מספר בדיקות אבטחה מיותרות שנועדו לוודא שאפליקציה שידועה כעל פוטנציאל מזיק לא תותקן בטעות. בכל אחת מהבדיקות הללו, רוב המשתמשים שמקבלים אזהרה לגבי אפליקציה שעלולה להזיק, בוחרים שלא להמשיך.

להלן כל השלבים העיקריים:

גוגל שילבה את מערכת האזהרה שלה לגבי אפליקציות ידועות שעלולות להזיק למערכת הרקע של רבים מהאפליקציות שלנו. כך, למשל, דפדפן Chrome עם גלישה בטוחה עשוי להזהיר את המשתמש לפני שהם בכלל מורידים אפליקציה מאתר שהוא נראה כאילו הוא נמצא באתר שמארח אפליקציות שעלולות להזיק.

אם הם בוחרים להוריד ולהתקין בכל מקרה, הם יקבלו אזהרה בזמן ההתקנה (כמו גם מידע אחר כגון הרשאות היישום שיכולות לעזור להם להחליט אם הם רוצים להתקין).

אם הם עדיין מחליטים להמשיך, היישום מותקן, אך הוא עדיין לא יכול לעשות דבר עד שהמשתמש באמת יחליט להפעיל את האפליקציה. כך שיש להם הזדמנות נוספת לבחור להסיר את היישום לפני שהוא עלול לגרום נזק כלשהו.

בין אם הם בוחרים להפעיל את האפליקציה ובין אם לא, אם היא מותקנת במכשיר שלהם, ואז אמת את האפליקציות סריקת רקע תסמן את האפליקציה ותספק אזהרה נוספת הממליצה להסיר את ה- אפליקציה. אזהרה זו תתרחש בדרך כלל פעם בשבוע - אם כי למשתמש יש אפשרות לומר "אל תזכיר לי שוב."

ש: האם אפליקציות אבטחה של צד שלישי מונעות ממני להיות בטוחה עוד יותר מאפליקציות חנות Play שעלולות להזיק?

לודוויג: ההגנות המובנות ב- Google Play מאוד חזקות. למשתמשים שמתקינים אפליקציות מחוץ ל- Google Play, אנו ממליצים בחום להפעיל את Verify Apps, המסופק ב- מכשירי אנדרואיד שמריצים אנדרואיד 2.3 ומעלה (זה יותר מ- 99 אחוז ממכשירי אנדרואיד) שיש להם Google Play מוּתקָן.

בשנת 2014, על פי נתוני אימות אפליקציות שנאספו על ידי גוגל והתעלמות מאפליקציות השתרשות שהותקנו בכוונה על ידי משתמשים, פחות מ 0.15 אחוזים מהיישומים המותקנים מחוץ ל- Google Play למכשירים באנגלית בארה"ב סווגו כמזיקים עלול יישומים. לאור ההגנה המובנית שמספקת Verify Apps והתדירות הנמוכה של התרחשות ההתקנה של PHAs, היתרון הביטחוני הפוטנציאלי של פתרון אבטחה נוסף הוא קטן מאוד.

ש: האם כל אחת מתכונות האבטחה של גוגל חלה על משתמשים שהתקינו גרסאות של צד שלישי לאנדרואיד (קרא: ROMs תוצרת הקהילה)?

לודוויג: כן, ROM של צד שלישי בנוי בדרך כלל על AOSP, ולכן הם תומכים בארגז החול של Android, ורבים מהם משתמשים ביישומים של גוגל, כולל שירותי האבטחה שלנו.

והנה יש לך את זה. גוגל עושה עבודה מדהימה בכדי לשמור על ביטחון אנדרואיד, וחלק עצום מזה נערך לכל מה שיקרה אחר כך. אבל זה תמיד יהיה משחק של חתול ועכבר. כפי שהיה תמיד, שמירה על בטיחות המכשיר שלך כל זה להיות מודע למקום שאתה מקיש, מה אתה מתקין ולהיות מושכל ככל האפשר.

הקפד לבדוק את שאר סדרות האבטחה שלנו אם ברצונך ללמוד עוד.

האם האזנת לפודקאסט המרכזי של Android השבוע?

מדי שבוע ה- Podcast המרכזי של אנדרואיד מביא לכם את החדשות הטכנולוגיות האחרונות, ניתוחים וצילומים חמים, עם מארחים מוכרים ואורחים מיוחדים.

• הירשם כמלה בכיס: שֶׁמַע
• הירשם ב- Spotify: שֶׁמַע
• הירשם ב- iTunes: שֶׁמַע