Avots: Alex Dobie / Android Central
Gadu gaitā ap Android tālruņu drošību ir bijis daudz FUD - bailes, nenoteiktība un šaubas. Un es būšu godīgs: pirmajās dienās liela daļa no tā bija pelnīta. Android sadrumstalotība, milzīgais daudzums sīkumi Lai mainītos, bija nepieciešams pilnīgs programmaparatūras jauninājums un tālruņu ražotāju atturība Šie atjauninājumi nozīmēja, ka Android tālruņi ir vairāk pakļauti drošības jautājumiem nekā iPhone.
Pirms desmit gadiem, ja tiks atklāta liela iPhone drošības ievainojamība, Apple varētu ātri aizlāpīt visu savu ekosistēmu. Operētājsistēmā Android jūs varētu palikt gaidīšanas mēnešus, ja jūsu ierīcē to kādreiz ir novērsta. Lai Android drošības problēma tiktu risināta 2011. gadā, Google vispirms bija jāizstumj jauns kods, pēc tam ražotājs to integrēja tālruņa programmaparatūrā un galu galā parakstīja jūsu pārvadātājs. Ja laiks ir būtisks, tā nav ideāla notikumu secība, kā tas, iespējams, būtu, ja savvaļā tiktu izmantota ļauna jauna programmatūras ievainojamība.
Android drošība pēdējo 10 gadu laikā ir nogājusi garu, garu ceļu.
Bet Android kopumā un jo īpaši Android drošība pēdējās desmitgades laikā ir gājusi garu ceļu. Un nogurušais Android īpašnieku trops nekad nesaņem atjauninājumus, un Android tālruņi, kas tiek piesūcināti ar ļaunprātīgu programmatūru, tagad ir patiesi un novecojuši. The labākie Android tālruņi tagad garantē četrus gadus ilgus regulārus drošības ielāpus, un pats Android tagad pēc konstrukcijas ir drošāks.
Problēma ir tā, ka veidi, kā Google uztur Android drošībā, ir neskaidri un diezgan tehniski. Kaut arī Apple ar savu vertikālo integrāciju un salīdzinoši nelielu tālruņu modeļu skaitu var vienkārši izvērsties pilnībā programmaparatūras atjauninājumi pēc vēlēšanās, Google lielākajai, daudzveidīgākajai un mazāk tieši kontrolētajai ekosistēmai ir nepieciešama cita pieeja.
Google Play pakalpojumi
Avots: Android Central / Phil Nickinson
Gandrīz katrs Android tālrunis, ko pārdod Rietumos, ir aprīkots ar Google Play pakalpojumiem - tā ir svarīga mobilo lietotņu pakete, kas iepriekš ielādēta Google Android tālruņos, un Google to var klusībā atjaunināt fons. Bet Play pakalpojumi ir daudz, daudz jaudīgāki nekā jūsu vidējā Android lietotne. Tas tāpēc, ka tas ir sistēmā lietotne, kas būtībā nozīmē pils atslēgas, ļaujot izmantot tādas funkcijas kā tālruņa tālvadības noslaukšana, ja tas tiek nozaudēts vai nozagts. (Šī iemesla dēļ sistēmas lietotnes ierīcē vispirms jāielādē ražotājam. Tos nevar instalēt no jauna kā parastu lietotni.)
Pašreizējās Google Play pakalpojumu versijas tiek atbalstītas līdz pat Android 5.0 Lollipop, kas tika izlaists 2014. gadā. Pēdējā Android versija, kas zaudēja Play pakalpojumu atbalstu, bija 4.0 Ice Cream Sandwich, kas tika izlaista 2011. gadā un kas tika pārtraukta 2018. gadā. Tas nozīmē, ka "pašreizējam" Google Play pakalpojumu atbalstam laika grafiki, par kuriem šeit runājam, ir daudz ilgāki nekā lielākā daļa cilvēku kādreiz paturēs viedtālruni.
Vairāk: Google Mobile Services primer
Play pakalpojumi veic arī daudz citu lietu, piemēram, ļauj izstrādātājiem savās lietotnēs integrēt tādus pakalpojumus kā Google Pay un Google vienreizēja pierakstīšanās. Bet noliecīsim drošības apsvērumus: šāda veida sistēmas lietotne, kas pastāvīgi tiek atjaunināta fonā, tiek atbalstīta ierīces, kas izlaistas pirms septiņiem vai vairāk gadiem, un ar atļauju būtībā darīt jebko, ir spēcīgs rīks Google Android drošībā arsenāls.
Avots: Endrjū Martoniks / Android Central
Play pakalpojumi vienmēr ir atjaunināti pat senajos Android tālruņos, aizsargājot pret ļaunprātīgu programmatūru.
Piemēram, Google Play Protect ir daļa no Play pakalpojumiem. Tas ļauj Google pārbaudīt, vai jūsu tālrunī esošajās lietotnēs nav ļaunprātīgas programmatūras, neatkarīgi no tā, vai tās ir lejupielādētas no Play veikala. Tā kā Play pakalpojumi ir sistēmas lietotne, Play Protect var kaitēt ļaunprātīgām lietotnēm, pirms tām ir iespēja nodarīt kaut ko ļaunu. Tā kā Play pakalpojumi tiek pastāvīgi atjaunināti, šos aizsardzības pasākumus var atjaunināt fonā daudzus gadus pēc tam, kad ierīce saņem pēdējo pareizo programmaparatūras atjauninājumu. Tas ir veids, kā vecākas ierīces var aizsargāt pret ļaunprātīgām lietotnēm, pat ja šīs lietotnes izmanto programmatūras ievainojamības, kas tehniski joprojām atrodas pamatā esošajā OS.
Tas var dot ierīcēm, piemēram, tagad geriatriskajam Samsung Galaxy S4, kas tika izlaists 2013. gadā, pienācīgu aizsardzības līmeni pret ievainojamībām, kas atrodas tā Android 5 balstītajā programmaparatūrā.
Avots: Alex Dobie / Android Central
Lielisku Google Play pakalpojumu jaudas piemēru var redzēt Covid-19 ekspozīcijas paziņošanas sistēmā. Google spēja izveidot šo sistēmu ar Apple un, pateicoties Play pakalpojumiem, automātiski to izvietoja katrā Android tālrunī, kurā darbojas 5.0 Lollipop vai jaunāka versija, neatjauninot to programmaparatūru.
Kad parādās biedējošas programmatūras ievainojamības, kā tas notika 2014. gadā ar Kļūda “Fake ID”, Google nekavējoties atjaunināja funkciju "Verificēt lietotnes" (Google Play Protect priekštecis), lai identificētu pārkāpošās lietotnes. Tas ļāva ievainojamību novērst jau ilgi pirms ražotāji sāka ieviest programmaparatūras atjauninājumus, novēršot pamatā esošo kļūdu.
Bet, protams, ja nav ievainojamību, tas ir labāk nekā vienkārši novērst to izmantošanu. Šim nolūkam pēdējos gados Google ir risinājis Android ilgstošo programmaparatūras atjaunināšanas problēmu vairākos dažādos veidos veidi: pirmkārt, padarot Android moduļaināku un ciešāk sadarbojoties ar ražotājiem Android laikā attīstību. Otrkārt, skaidri saistot datumu ar Android drošības līmeni un līgumos ar tālruņu veidotājiem ierakstot minimālās atbalsta prasības.
Android iet modulāri
Avots: Alex Dobie / Android Central
Pirms desmit gadiem Android bija liela monolīta vienība, kas bija jāatjaunina uzreiz. Izmaiņas sistēmas līmeņa lietās, piemēram, multivides kodekos vai tīklā, vai pat iebūvētajā tīmekļa pārlūkprogrammā vai zvanītāju lietotnē, var veikt tikai ar pilnu programmaparatūras atjauninājumu, ar visu nepieciešamo problēmu. (Pirmkārt, Google izspiež jauno kodu, pēc tam ražotājs to pārvērš par ierīci raksturīgu programmaparatūras atjauninājumu, pēc tam pārvadātājam ir jāpierakstās.) Un, kā minēts iepriekš, tas ir lēns un diezgan slikts drošībai, ja tā ir kāda izmantojama kļūda atklāja.
Kopš tā laika Google ir padarījis Android moduļaināku, padarot uzņēmumus ātrāku un vienkāršāku OS atjauninājumu izstumšanu. Un pavisam nesen tagad ir iespējams atjaunināt Android OS daļas bez pilnīgas programmaparatūras jaunināšanas. Tas viss ļauj Google un tālruņu ražotājiem ātri reaģēt, lai noteiktu OS noteiktās OS drošības problēmas.
Google agrākie soļi šajā virzienā ietvēra noteiktu lietotņu un komponentu izlaušanu no programmaparatūras un ļāva tos atjaunināt, izmantojot Google Play veikalu. Labākie piemēri tam ir Google Chrome un Android WebView komponents, kas tiek izmantots tīmekļa saturam Android lietotnēs. To atjaunināšana neatkarīgi no programmaparatūras ļauj Google novērst pārlūka dzinēja kļūdas, kuras varētu izmantot ar ļaunprātīgām tīmekļa lapām un stundu laikā, nevis stundas, lai tās izvērstu visā Android ekosistēmā mēnešus.
Jaunākās Android versijas atbrīvojas no atjaunināšanas starpnieka.
2017. gada Android 8.0 Oreo laidienā Google pastiprināja darbu ar "Project Treble". Tas bija mēģinājums atdalīt zema līmeņa bitus Android no mikroshēmojumu ražotājiem, piemēram, Qualcomm no pārējās operētājsistēmas, un izveidojiet modulārāku OS, kuru varētu atjaunināt vairāk ātri. Tā kā aparatūras uzņēmumi spēja atdalīt savus pielāgojumus no galvenās OS, ideja bija tāda, ka programmaparatūras atjauninājumus varētu izstumt ātrāk un ar mazāku tehnisko darbu. Project Treble nav kaut kas, ko jūs pamanīsit darboties jūsu ierīcē, taču tas varētu būt iemesls, kāpēc 2018. gadā iegādātais Android tālrunis OS atjauninājumus ieguva ātrāk nekā 2016. gadā iegādātais. Ātrāki atjauninājumi, protams, ir labāki drošībai.
Avots: Google
Nākamais solis Android modulēšanā tika veikts operētājsistēmā Android 10 ar “Project Mainline” - kas šodien ir pazīstams kā neskaidri nosaukts “Google Play sistēmas atjauninājums”. Mainline ir viss pilnībā apejot esošo bezvadu programmaparatūras procesu un apvienojot Android daļas jaunos moduļos, kurus Google vai jūsu tālrunis varētu tieši atjaunināt ražotājs. Mainline pieauga Android 11 ar atjaunināmiem moduļiem vairākiem Android sistēmas bitiem, piemēram, Wi-Fi, piesiešanas un neironu tīkla komponentiem. Un operētājsistēmā Android 12 tas aptvers arī ART (Android izpildlaiks), sniedzot vairāk drošības priekšrocību. Kā AC Džerijs Hildenbrands nesenajā redakcijā paskaidro:
Operētājsistēmā Android 12 jebkādu drošības izmantošanu, ko var atrast Android izpildlaika darbībā, varētu ātri un viegli novērst visā Android ekosistēmā.
Lai saprastu, kā Android drošība ir tik ļoti uzlabojusies kopš 2010. gadu sākuma, ir interesanti aplūkot vienu no pagājušās desmitgades lielākajām Android drošības baidīšanās reizēm - 2015. gadu Kļūda "Stagefright". Stagefright bija saistīts ar multivides failu apstrādei izmantotā Android komponenta izmantošanu, kas ļāva speciāli modificētam video failam palaist ļaunprātīgu kodu Android tālruņos.
Viena no 2015. gada drausmīgākajām Android drošības kļūdām būtu pilnībā kastrēta Project Mainline.
Lai gan nav pierādījumu, ka Stagefright kādreiz būtu plaši izmantots reālās pasaules ļaunprātīgā programmatūrā - iespējams, tāpēc, ka citi drošības piesardzības pasākumi Android ļoti apgrūtināja to izmantošanu - tas tomēr bija liels jaunums laiks. 2015. gadā Stagefright nebija nevienas sudraba lodes. Atšķirībā no lietotņu ievainojamības, Google Play Protect nevarēja atturēt sliktos multivides failus no tā, ka tas varētu apdraudēt jūsu tālruni. Vienīgais reālais labojums bija gaidīt programmaparatūras atjauninājumu un cerēt uz labāko.
Bet, ja 2021. gadā tiktu atklāts kaut kas līdzīgs Stagefright, būtu triviāli pievērsties. Google vienkārši sagatavos Project Mainline atjauninājumu multivides atskaņošanas bibliotēkai un nekavējoties novērsīs kļūdu visās ierīcēs, kurās darbojas operētājsistēma Android 10 un jaunākas versijas. Tā kā katrā jaunajā OS versijā tiek modulēts vairāk Android, ir daudz mazāk ticams, ka Google nākotnē tiks piesaistīts tādam darbam kā Stagefright.
Android drošības ielāpi
Avots: Alex Dobie / Android Central
Tiešas kļūdas Stagefright rezultātā Google 2015. gada beigās ieviesa Android drošības ielāpu līmeņus, sasaistot precīzu datumu ar jebkuras Google apstiprinātas Android programmaparatūras drošības līmeni. Katru mēnesi tiek izdoti jauni ielāpi, kas risina nesen atklātas drošības problēmas, un ierīču ražotājiem tiek dots viens līdz divi mēneši ilgs laiks, lai panāktu, ka ierīcēs tiek izspiesti drošības ielāpi. Drošības plākstera papildu redzamība spīdēja uz vairāk un mazāk sasniegtajiem Android ražotājiem, vienlaikus nodrošinot mieru, kad ieradās jauni atjauninājumi.
Divu gadu drošības atjauninājumus tagad pieprasa Google.
Pavisam nesen Google savos līgumos ar Android ražotājiem sāka ierakstīt minimālo drošības atbalsta līmeni. Vergeziņots 2018. gadā ka tālruņu ražotājiem divu gadu laikā būtu jāgarantē jaunu tālruņu drošības atjauninājumi ar vismaz četriem drošības atjauninājumiem pirmā gada laikā. Pēc vairuma augstākās klases tālruņu standartiem tas ir diezgan vienkāršs atbalsta līmenis. Bet tas ir tikai tas, kas ir minimums. Daudzi citi augstākās klases pārstāvji iet daudz tālāk, tostarp Samsung ar savu neseno solījumu četru gadu drošības atjauninājumi galvenajiem Galaxy tālruņiem.
Desmit gadu progress
Avots: Alex Dobie / Android Central
Starp ātrākiem Android atjauninājumiem, pateicoties Project Treble, vienkāršākiem OS daļu atjauninājumiem bez pilnīgas programmaparatūras jaunināšanas, ilgāks atbalsts visā mūžā un spēcīga pēdējā aizsardzība pret ļaunprātīgu programmatūru no Google Play Protect, Android drošība šodien ir izturīgs. Lielākā daļa ļoti reklamēto mobilo ierīču drošības risku mūsdienās ir pikšķerēšanas uzbrukumi, nevis ļaunprātīgas lietotnes vai multivides faili. Vai citiem vārdiem sakot, nostiprinoties Android drošībai, sliktie puiši arvien vairāk izvēlas viltus jūs, nevis tālruni.
Tas nenozīmē, ka situācija ap Android drošības un platformas atjauninājumiem ir ideāla. Ideālā pasaulē Google būtu tikpat veikls kā Apple, kad jānovērš drošības ievainojamība. Ar Project Mainline mēs noteikti esam Nokļūšana, taču paies laiks, līdz jauno Android 11 un Android 12 pievienoto galveno moduļu priekšrocības nonāks Android ekosistēmā. Google Play Protect, lai cik labs tas būtu, ir ierobežots ar lietotnēs balstītas ļaunprātīgas programmatūras neitralizēšanu pretstatā cita veida izmantojumiem. Es noteikti apgalvotu, ka līgumā noteiktais minimums par vienu drošības atjauninājumu ik pēc trim mēnešiem nav pietiekami tāls. (Piemērs: The drūmas atjaunināšanas iespējas no daudziem lētākiem OnePlus Nord tālruņiem.)
Tajā pašā laikā 2021. gadā vecais Android stereotips, kurā ir daudz ļaunprātīgas programmatūras un programmaparatūras izmantojumu, ir tālāk par patiesību nekā jebkad agrāk. Tiešie salīdzinājumi ar iOS atjaunināšanas modeli neņem vērā svarīgas Google Android daļas, piemēram, Play pakalpojumus un Project Mainline. Kopš 2011. gada platforma ir gājusi garu ceļu, un pēdējās desmitgades progress nozīmē, ka Android ir labā pozīcijā, lai novērstu nākotnes programmatūras draudus.
Alekss Dobijs
Alekss ir globāls Android Central izpilddirektors un parasti ir atrodams Lielbritānijā. Viņš ir veidojis emuārus kopš tā saukšanas, un šobrīd lielāko daļu laika viņš velta video vadīšanai AC, kas ietver kameras norādīšanu uz tālruņiem un vārdu runāšanu pie mikrofona. Viņš vienkārši vēlētos dzirdēt jūsu domas vietnē [email protected] vai par sociālajām lietām vietnē @alexdobie.