מקור: אלכס דובי / אנדרואיד סנטרל
היה הרבה FUD - פחד, אי ודאות וספק - שהתפשט סביב אבטחת הטלפון של Android לאורך השנים. ואני אהיה כנה: בימים הראשונים, הרבה מזה היו ראויים בהחלט. האופי המקוטע של אנדרואיד, הכמות העצומה של דברים שנדרש שדרוג קושחה מלא על מנת לשנות, וחוסר רצון של יצרני הטלפונים להתגלגל פירושם של עדכונים אלה היה כי טלפוני אנדרואיד היו רגישים יותר לבעיות אבטחה מאשר ה- iPhone.
לפני עשר שנים אם התגלה פגיעות אבטחה גדולה באייפון, אפל תוכל לתקן במהירות את כל המערכת האקולוגית שלה. באנדרואיד אתה יכול להישאר חודשים מחכה, אם תיקון אי פעם יגיע למכשיר שלך. כדי שנושא האבטחה של Android יטופל בשנת 2011, קודם היה צריך לדחוף קוד חדש על ידי גוגל, ואז שולב בקושחת הטלפון שלך על ידי היצרן ובסופו של דבר חתם על ידי שלך מוֹבִיל. זה לא רצף אירועים אידיאלי אם הזמן הוא מהותי, כפי שזה עשוי להיות אם נוצלה פגיעות תוכנה חדשה ומגעילה בטבע.
אבטחת אנדרואיד עשתה דרך ארוכה ארוכה בעשר השנים האחרונות.
אבל אנדרואיד בכלל וביטחון אנדרואיד בפרט עברו דרך ארוכה בעשור האחרון. והטרופ העייף של בעלי אנדרואיד שמעולם לא זוכה לעדכונים, וטלפוני אנדרואיד שקועים בתוכנות זדוניות מיושנים כעת. ה
טלפונים אנדרואיד הטובים ביותר עכשיו מבטיחים ארבע שנים של תיקוני אבטחה קבועים, ו- Android עצמו מאובטח יותר על ידי עיצובו.הבעיה היא שהדרכים שבהן גוגל שומרת על אבטחת האבטחה של Android הן ערפיליות ודי טכניות. בעוד שאפל, עם האינטגרציה האנכית שלה ומספר מצומצם יחסית של דגמי טלפונים, יכולה פשוט להתגלגל מלאה לפי עדכוני קושחה כרצונם, המערכת האקולוגית הגדולה, המגוונת יותר ופחות מבוקרת ישירות של גוגל דורשת אחרת גִישָׁה.
שירותי Google Play
מקור: אנדרואיד סנטרל / פיל ניקינסון
כמעט כל טלפון אנדרואיד שנמכר במערב מגיע עם שירותי Google Play - זה חלק חשוב מה- חבילה של אפליקציות לנייד שטענו מראש לטלפונים של גוגל אנדרואיד, וניתן לעדכן אותה בשקט על ידי גוגל רקע כללי. אבל שירותי Play הם הרבה יותר חזקים מאפליקציית Android הממוצעת שלך. זה בגלל שזה א מערכת אפליקציה, שמשמעותה בעצם היא שיש לה את המפתחות לטירה, המאפשרת תכונות כמו מחיקה מרחוק של הטלפון שלך אם הוא אבוד או נגנב. (מסיבה זו, אפליקציות מערכת צריכות להיות מועלות תחילה על המכשיר על ידי היצרן שלך. לא ניתן להתקין אותם מאפס כמו אפליקציה רגילה.)
הגרסאות הנוכחיות של שירותי Google Play נתמכות כל הדרך חזרה ל- Android 5.0 Lollipop, שיצא בשנת 2014. הגרסה האחרונה של אנדרואיד שאיבדה את התמיכה בשירותי Play הייתה 4.0 Ice Cream Sandwich, שפורסמה בשנת 2011, שפרשה בשנת 2018. פירוש הדבר עבור התמיכה "הנוכחית" בשירותי Google Play, לוחות הזמנים עליהם אנו מדברים כאן ארוכים בהרבה ממה שרוב האנשים ישמרו אי פעם על טלפון חכם.
עוד: פריימר לשירותים ניידים של גוגל
שירותי Play גם עושים הרבה דברים אחרים, כמו לאפשר למפתחים לשלב שירותים כמו Google Pay ו- Google כניסה יחידה באפליקציות שלהם. אבל בואו לאפס את ההשלכות הביטחוניות: אפליקציית מערכת מסוג זה, המתעדכנת כל הזמן ברקע, נתמכת מכשירים ששוחררו לפני שבע שנים ויותר, ובאישור לעשות בעצם כל דבר, הם כלי רב עוצמה באבטחת אנדרואיד של גוגל מַחסָן נֶשֶׁק.
מקור: אנדרו מרטוניק / אנדרואיד סנטרל
שירותי Play תמיד מעודכנים גם בטלפונים אנדרואידיים קדומים ומגנים מפני תוכנות זדוניות.
Google Play Protect, למשל, הוא חלק משירותי Play. זה מאפשר לגוגל לבדוק אם קיימות תוכנות זדוניות באפליקציות בטלפון, בין אם הן הורדו מחנות Play ובין אם לאו. מכיוון ש- Play Services היא אפליקציית מערכת, Play Protect יכול לנטרל אפליקציות זדוניות לפני שיש להם סיכוי להזיק. ומכיוון ששירותי Play מתעדכנים כל הזמן, ההגנות הללו יכולות להתעדכן ברקע שנים רבות אחרי שהמכשיר שלך מקבל את עדכון הקושחה הנכון האחרון שלו. זוהי דרך של מכשירים ישנים להיות מוגנים מפני אפליקציות זדוניות, גם אם אפליקציות אלה משתמשות בפגיעות תוכנה שעדיין קיימות טכנית במערכת ההפעלה הבסיסית.
זה יכול לתת למכשירים כמו Samsung Galaxy S4 הגריאטרית, שפורסמה בשנת 2013, הגנה ראויה מפני נקודות תורפה הקיימות בקושחה מבוססת Android 5 שלה.
מקור: אלכס דובי / אנדרואיד סנטרל
דוגמה מצוינת לכוחם של שירותי Google Play ניתן לראות במערכת הודעות החשיפה Covid-19. גוגל הצליחה לבנות מערכת זו עם אפל, ובזכות שירותי Play, לפרוס אותה באופן אוטומטי לכל טלפון אנדרואיד שמריץ 5.0 Lollipop ומעלה מבלי לעדכן את הקושחה שלהם.
כאשר מתעוררות נקודות תורפה מפחידות, כפי שקרה בשנת 2014 עם באג "זיהוי מזויף", גוגל עדכנה מיד את תכונת ה"אמת אפליקציות "שלה (קודמת ל- Google Play Protect) לזיהוי אפליקציות פוגעות. זה אפשר לפגיעות בפגיעות הרבה לפני שהיצרנים הספיקו לפרסם עדכוני קושחה העוסקים בבאג הבסיסי.
אבל כמובן, מלכתחילה אין פגיעות טוב יותר מאשר רק למנוע את ניצולן. לשם כך, בשנים האחרונות גוגל התמודדה עם בעיית עדכון הקושחה הוותיקה של אנדרואיד בכמה שונות דרכים: ראשית, על ידי הפיכת אנדרואיד ליותר מודולרית ועבודה צמודה יותר עם יצרנים במהלך אנדרואיד התפתחות. ושנית, על ידי קישור ברור של תאריך לרמת האבטחה של Android, וכתיבת דרישות תמיכה מינימליות בחוזים שלה עם יצרני הטלפונים.
אנדרואיד הופך למודולרי
מקור: אלכס דובי / אנדרואיד סנטרל
לפני עשור, אנדרואיד הייתה ישות מונוליטית גדולה שנאלצה לעדכן בבת אחת. שינויים בדברים ברמת המערכת כמו רכיבי מדיה או רשת - או אפילו בדפדפן האינטרנט המובנה או באפליקציית החיוג - יכולים להיעשות רק באמצעות עדכון קושחה מלא, עם כל הטרחה הכרוכה בכך. (ראשית, גוגל דוחפת קוד חדש החוצה, ואז היצרנית הופכת אותו לעדכון קושחה ספציפי למכשיר, ואז ל- הספק צריך לחתום.) וכפי שהוזכר קודם לכן, זה איטי ודי רע לביטחון אם מדובר בבאג שניתן לנצל גילה.
בשנים שחלפו מאז, גוגל הפכה את אנדרואיד למודולרית יותר, מה שהופך את זה למהיר וקל יותר עבור חברות לדחוף את עדכוני מערכת ההפעלה. ולאחרונה, כעת ניתן לעדכן נתחים של מערכת ההפעלה אנדרואיד ללא שדרוג קושחה מלא. כל זה מאפשר ליצרני גוגל וטלפונים להגיב במהירות כדי לפתור בעיות אבטחה בחלקים מסוימים של מערכת ההפעלה.
הצעדים המוקדמים ביותר של גוגל בכיוון זה כללו פריצת אפליקציות ורכיבים מסוימים מהקושחה ואפשרו לעדכן אותם דרך חנות Google Play. הדוגמאות הטובות ביותר לכך הן Google Chrome ורכיב ה- Android WebView - המשמש לתוכן אינטרנט בתוך אפליקציות Android. עדכון אלה ללא קשר לקושחה מאפשר לגוגל לתקן באגים של מנוע דפדפן שניתן לנצל על ידי דפי אינטרנט זדוניים, ולהביא אותם למערכת האקולוגית של אנדרואיד כולה תוך שעות במקום חודשים.
הגרסאות האחרונות של אנדרואיד נפטרות מתווך העדכון.
במהדורת Android 8.0 Oreo לשנת 2017, גוגל הגבירה את העניינים עם "Project Treble". זה היה מאמץ לפרק את החלקים הנמוכים של אנדרואיד מיצרני ערכות השבבים כמו קוואלקום משאר מערכות ההפעלה, וליצור מערכת הפעלה מודולרית יותר שניתן לעדכן יותר בִּמְהִירוּת. עם חברות חומרה שמסוגלות להפריד את ההתאמות האישיות שלהן ממערכת ההפעלה המרכזית, הרעיון היה שניתן יהיה לדחוף את עדכוני הקושחה בקצב מהיר יותר ועם פחות עבודת רגליים טכנית. Project Treble אינו משהו שתבחין בו כי פועל במכשיר שלך, אך זו יכולה להיות הסיבה לכך שטלפון האנדרואיד שקנית בשנת 2018 קיבל עדכוני מערכת הפעלה מהר יותר מזה שרכשת בשנת 2016. ועדכונים מהירים יותר, כמובן, טובים יותר לביטחון.
מקור: גוגל
השלב הבא במודולריזציה של אנדרואיד הגיע באנדרואיד 10, עם "Project Mainline" - המכונה היום בשם המעורפל "עדכוני מערכת של Google Play". קו הראשי הוא הכל עקיפת תהליך הקושחה הקיים מהאוויר לחלוטין ואגירת חלקי אנדרואיד למודולים חדשים אשר יכולים להתעדכן ישירות על ידי גוגל או הטלפון שלך. יַצרָן. קו הראשי צמח אנדרואיד 11 עם מודולים הניתנים לעדכון ליותר ביטים של מערכת אנדרואיד כמו Wi-Fi, רכיבי קשירה ורשתות עצביות. וגם באנדרואיד 12 זה יכסה גם את ART (זמן הריצה של Android), שמביא יתרונות אבטחה נוספים. כפי ש AC ג'רי הילדנברנד מסביר במאמר מערכת אחרון:
באנדרואיד 12, ניתן לתקן במהירות ובקלות כל סוג של ניצולי אבטחה שניתן למצוא באופן בו פועלת זמן הריצה של אנדרואיד בכל המערכת האקולוגית של אנדרואיד.
כדי להבין כיצד האבטחה של Android השתפרה כל כך הרבה מאז תחילת שנות העשרים, מעניין להסתכל על אחד מפחדי האבטחה הגדולים של Android בעשור האחרון - של 2015 באג "Stagefright". Stagefright כללה ניצול ברכיב אנדרואיד המשמש לעיבוד קבצי מדיה, מה שיכול לאפשר לקובץ וידאו ששונה במיוחד להריץ קוד זדוני בטלפוני אנדרואיד.
אחד מבאגי האבטחה המפחידים ביותר של אנדרואיד לשנת 2015 יסורס לחלוטין על ידי Project Mainline.
אמנם אין שום עדות לכך ש- Stagefright שימשה אי פעם בתוכנות זדוניות בעולם האמיתי - כנראה בגלל אחרות אמצעי האבטחה באנדרואיד הקשו מאוד לנצל את זה - עם זאת היו חדשות גדולות ב זְמַן. בשנת 2015 לא היה כדור כסף אחד עבור Stagefright. שלא כמו פגיעות מבוססת אפליקציות, Google Play Protect לא הצליח למנוע מקבצי מדיה גרועים לפגוע בטלפון שלך. התיקון האמיתי היחיד היה לחכות לעדכון הקושחה ולקוות לטוב.
אבל אם התגלה משהו כמו Stagefright בשנת 2021, זה יהיה טריוויאלי לטפל בו. גוגל פשוט הייתה מכינה עדכון פרוייקט ראשי לספריית הפעלת המדיה ומתקנת באופן מיידי את הבאג בכל מכשיר שמריץ אנדרואיד 10 ומעלה. כאשר יותר מאנדרואיד מותאמת בכל גרסה חדשה של מערכת ההפעלה, הרבה פחות סביר שגוגל תיתפס על ידי נצל כמו Stagefright בעתיד.
תיקוני אבטחה של Android
מקור: אלכס דובי / אנדרואיד סנטרל
כתוצאה ישירה של הבאג של Stagefright, בסוף 2015 גוגל הציגה רמות תיקון אבטחה של Android, וקושרה תאריך מדויק לרמת האבטחה בכל קושחת אנדרואיד שאושרה על ידי Google. תיקונים חדשים מונפקים מדי חודש, ומתייחסים לבעיות אבטחה שהתגלו לאחרונה, כאשר יצרני המכשירים קיבלו זמן להוביל של חודש עד חודשיים כדי להדביק תיקוני אבטחה למכשירים. הנראות הנוספת של תיקון האבטחה האירו אור על יצרני ה- Android החסרים ותת-ההישגים, תוך מתן שקט נפשי כאשר הגיעו עדכונים חדשים.
שנתיים של עדכוני אבטחה נדרשות כעת באופן חוזי על ידי גוגל.
לאחרונה, גוגל החלה לכתוב רמות מינימליות של תמיכה באבטחה בחוזים שלה עם יצרני אנדרואיד. The Vergeדיווח בשנת 2018 כי יצרני הטלפונים יצטרכו להבטיח שנתיים של עדכוני אבטחה לטלפונים חדשים, עם לפחות ארבעה עדכוני אבטחה בשנה הראשונה. על פי הסטנדרטים של רוב הטלפונים היוקרתיים, זוהי רמת תמיכה בסיסית למדי. אבל זה בדיוק מה שזה: מינימום מוחלט. רבים אחרים בקצה הגבוה הולכים הרבה יותר רחוק, כולל סמסונג עם ההבטחה האחרונה שלה ארבע שנים של עדכוני אבטחה לטלפונים גדולים של גלקסי.
עשור של התקדמות
מקור: אלכס דובי / אנדרואיד סנטרל
בין עדכוני אנדרואיד מהירים יותר הודות ל- Project Treble, עדכונים קלים יותר לחלקי מערכת ההפעלה ללא שדרוג קושחה מלא, תמיכה לאורך זמן רב יותר והגנה אחרונה חזקה מפני תוכנות זדוניות מ- Google Play Protect, האבטחה של Android כיום היא חָסוֹן. רוב סיכוני האבטחה הניידים המתוקשרים כיום מגיעים בצורה של התקפות פישינג לעומת אפליקציות זדוניות או קבצי מדיה. או במילים אחרות, כאשר האבטחה של Android מתחזקת, הרעים בוחרים יותר ויותר להערים אתה, לא הטלפון שלך.
זה לא אומר שהמצב סביב עדכוני האבטחה והפלטפורמות של Android מושלם. בעולם אידיאלי גוגל תהיה זריזה כמו אפל בכל מה שקשור לתיקון פרצות אבטחה. עם Project Mainline אנחנו בהחלט להגיע לשם, אבל ייקח זמן עד שהיתרונות של המודולים הראשיים החדשים שנוספו באנדרואיד 11 ובאנדרואיד 12 יזלגו אל המערכת האקולוגית של אנדרואיד. Google Play Protect, טוב ככל שיהיה, מוגבל לנטרול תוכנות זדוניות מבוססות אפליקציות לעומת סוגים אחרים של מעללים. ובהחלט הייתי טוען שהמינימום החוזי של עדכון אבטחה אחד בכל שלושה חודשים אינו מגיע רחוק מספיק. (מקרה לדוגמה: סיכויי עדכון עגומים של הרבה מכשירי OnePlus Nord זולים יותר.)
יחד עם זאת, בשנת 2021 הסטריאוטיפ הישן של אנדרואיד השופע בתוכנות זדוניות וקושחה רחוק יותר מהאמת ממה שהיה אי פעם. והשוואות ישירות עם דגם העדכון של iOS משקיפות על חלקים חשובים ב- Google Android כמו Play Services ו- Project Mainline. הפלטפורמה עשתה דרך ארוכה מאז 2011, ועשור ההתקדמות האחרון פירושו שאנדרואיד נמצאת במצב טוב לראות את איומי התוכנה של העתיד.
אלכס דובי
אלכס הוא העורך הראשי העולמי של Android Central, והוא נמצא בדרך כלל בבריטניה. הוא כתב בלוגים מאז לפני שזה נקרא כך, וכרגע מרבית זמנו מושקע בהובלת סרטונים עבור AC, שכולל הפניית מצלמה לעבר טלפונים ודיבור מילים על מיקרופון. הוא פשוט ישמח לשמוע את מחשבותיך בכתובת [email protected], או על הדברים החברתיים בכתובת @alexdobie.