Android-beveiliging - een Q&A met Adrian Ludwig van Google

We hebben de laatste tijd veel gepraat over beveiliging op je Android-apparaat en naarmate het gesprek vorderde, werd het duidelijk dat er vragen waren die beantwoord moesten worden door een persoon met een grotere autoriteit. Dingen zoals of je het nodig hebt antivirussoftware voor uw telefoon, het identificeren van malwareen zorg ervoor dat uw apparaten dat zijn over het algemeen veilig door dagelijks gebruik zijn onderwerpen die onnodig modderig zijn geworden. Hoewel we een deel van de schuld hiervoor kunnen leggen op het schijnbaar eindeloze spervuur ​​van artikelen die ons vertellen over alle software die er is worden gemaakt om Android-gebruikers uit te buiten, zijn er ook enkele legitieme vragen over Android-beveiliging die niet duidelijk en eenvoudig zijn antwoorden.

Om dit op te lossen, zijn we rechtstreeks naar de bron gegaan. Adrian Ludwig, een hoofdingenieur voor Android-beveiliging bij Google, nam via e-mail wat tijd om de antwoorden te geven waarnaar we op zoek waren.

Lees meer: ​​Android-beveiliging - een Q&A met Adrian Ludwig van Google

Vraag: Waar probeert Google zijn Android-gebruikers precies tegen te beschermen?

Ludwig: We hebben Android ontworpen met behulp van meerdere beveiligingslagen - te beginnen met hardwarefuncties van het apparaat (Trustzone, NX), via het besturingssysteem (Application Sandbox, SELinux, ASLR) en tot applicaties en services die Google levert (Google Play, Device Manager, Verify Apps, enz.). We moedigen ook beveiligingsinnovatie aan door derden in staat te stellen beveiligingsoplossingen te bieden.

De meest urgente beveiligingsbedreigingen waarmee mobiele apparaten tegenwoordig worden geconfronteerd, zijn onder meer: ​​1. Verloren en gestolen apparaten (waarvoor we bescherming bieden, zoals lockscreen, apparaatversleuteling en Android-apparaatbeheer) 2. Aanvallen op netwerkniveau (waarvoor Android cryptografische services biedt en een minimaal aanvalsoppervlak blootlegt door standaard geen luisterdiensten te hebben) 3. Potentieel schadelijke applicaties (waarvoor de Android-applicatiesandbox, Google Play-beoordeling van applicaties en Verify Apps allemaal zijn ontworpen)

Wanneer we horen over een nieuwe potentiële dreiging, beginnen we die op te nemen in onze toekomstige plannen en ontwerpen.

V: Hoe lang biedt Google ondersteuning voor zaken als beveiligingsproblemen die zijn ontdekt in het besturingssysteem?

Ludwig: Onze benadering van een ondersteuningsbeleid voor Android-beveiliging is om overal updates aan te bieden waarvan we denken dat ze daadwerkelijk aan gebruikers zullen worden geleverd en de beveiliging te verbeteren. In de praktijk betekent dit dat we meerdere verschillende soorten ondersteuning bieden voor mogelijke beveiligingsproblemen:

1. Als een probleem kan worden opgelost door Chrome, Gmail, Google Play of een aantal Google-applicaties bij te werken - we lossen het probleem op op een manier die teruggaat tot alle Android-versies waarop elke applicatie staat beschikbaar.
2. Google Nexus apparaten en Google Play-editie apparaten ontvangen regelmatig tijdig beveiligingsupdates.
3. We bieden patches voor de huidige tak van Android in de Android Open Source-project (AOSP) en bieden Android-partners rechtstreeks patches voor ten minste de laatste twee hoofdversies van het besturingssysteem. Momenteel bieden we backports voor beveiligingsproblemen met Android 4.3 en hoger. WebKit op Android 4.3 is de enige uitzondering. Het wordt ondersteund op Android 4.4 en hoger als een binaire update. Niettemin, wanneer een OEM hulp vraagt ​​bij het ontwikkelen van een patch voor een apparaat waarop een oudere versie draait van het platform en zij verbinden zich ertoe die patch als een OTA aan apparaten te leveren, wij zullen hen assistentie bieden.
4. Waar mogelijk updaten we ook Google's beveiligingsservices voor Android om een ​​extra beschermingslaag te bieden voor alle Android-apparaten, ongeacht of ze dat zijn nog steeds ondersteund door OEM's. Dit omvat het controleren op mogelijk schadelijke toepassingen en andere beveiliging gedrag.
5. We bieden applicatieontwikkelaars ook informatie en tools om ervoor te zorgen dat hun applicaties worden beschermd tegen mogelijke beveiligingsproblemen. Dit omvat het leveren van API's binnen Google Play-services, zoals de bij te werken beveiligingsprovider dat kan worden bijgewerkt door Google zonder een apparaat-OTA. Wij bieden ook beste praktijken die ontwikkelaars kunnen helpen ervoor te zorgen dat hun applicaties veilig werken op alle Android-apparaten, ongeacht of ze nog steeds worden ondersteund door OEM's. Onlangs zijn we begonnen met het scannen van applicaties in Google Play op mogelijke beveiligingsproblemen en stellen we ontwikkelaars op de hoogte als die kwetsbaarheden zich voordoen gedetecteerd.
6. Last but not least delen we informatie over beveiligingsproblemen (inclusief informatie die we hebben over fixes en bekende exploitatie) met Android-partners om ervoor te zorgen dat ze het probleem begrijpen, inclusief de risico's die zijn verbonden aan apparaten die geen update ontvangen voor de kwestie. Dit omvat het toevoegen van tests voor mogelijke beveiligingsproblemen in het Compatibiliteitstestsuite om de kans te verkleinen dat een OEM per ongeluk een apparaat verzendt met een bekend beveiligingsprobleem.

V: In het geval dat een app als schadelijk maar niet noodzakelijkerwijs gevaarlijk wordt beschouwd - bijvoorbeeld een app die het berichtenvak met ongewenste advertenties spamt - welke tools zijn er beschikbaar om gebruikers te helpen?

Ludwig: Android biedt gebruikers bedieningselementen waarmee ze de ervaring op hun apparaat kunnen regelen. Dit omvat mogelijkheden zoals het bekijken van toepassingsmachtigingen, het configureren van instellingen zoals het mogelijkheid van een applicatie om meldingen weer te geven, of de mogelijkheid om applicaties uit te schakelen of te verwijderen op elk moment.

Als een melding ongewenst is, kan de gebruiker lang op de melding drukken om te zien welke app deze heeft geproduceerd en vervolgens de meldingsinstellingen van de toepassing wijzigen of de toepassing verwijderen.

V: Wat gebeurt er als Google een bericht verzendt waarin gebruikers worden gewaarschuwd voor een schadelijke app en de gebruiker de app niet verwijdert, omdat ze ervoor kiezen dit niet te doen of omdat het bericht per ongeluk is verwijderd?

Ludwig: Er zijn meerdere overtollige beveiligingscontroles die zijn ontworpen om ervoor te zorgen dat een app waarvan bekend is dat deze mogelijk schadelijk is, niet per ongeluk wordt geïnstalleerd. Bij elk van deze controles kiest de meerderheid van de gebruikers die een waarschuwing over een mogelijk schadelijke app ontvangen, ervoor om niet verder te gaan.

Hier zijn alle belangrijke stappen:

Google heeft zijn waarschuwingssysteem voor bekende potentieel schadelijke apps geïntegreerd in de backend van veel van onze apps. Zo kan de Chrome-browser met Safe Browsing de gebruiker waarschuwen voordat hij zelfs maar een app van een website downloadt, dat het lijkt alsof hij zich op een website bevindt waarop mogelijk schadelijke apps worden gehost.

Als ze ervoor kiezen om toch te downloaden en te installeren, ontvangen ze een waarschuwing tijdens de installatie (evenals andere informatie zoals de toepassingsmachtigingen die hen kunnen helpen beslissen of ze dat willen installeren).

Als ze nog steeds besluiten om door te gaan, is de applicatie geïnstalleerd, maar deze kan nog steeds niets doen totdat de gebruiker daadwerkelijk besluit de app uit te voeren. Ze hebben dus nog een kans om ervoor te kiezen de applicatie te verwijderen voordat deze mogelijk schade kan aanrichten.

Of ze ervoor kiezen om de app uit te voeren of niet, als deze op hun apparaat is geïnstalleerd, de Verifieer Apps scannen op de achtergrond zal de app markeren en een nieuwe waarschuwing geven waarin wordt aanbevolen om het app. Deze waarschuwing zal over het algemeen ongeveer één keer per week verschijnen, hoewel de gebruiker de mogelijkheid heeft om te zeggen "herinner me er niet meer aan".

V: Beschermen beveiligings-apps van derden mij nog beter tegen mogelijk schadelijke Play Store-apps?

Ludwig: De beveiligingen die in Google Play zijn ingebouwd, zijn zeer robuust. Voor gebruikers die apps buiten Google Play installeren, raden we ten zeerste aan om Verify Apps in te schakelen, die wordt geleverd op Android-apparaten met Android 2.3 of hoger (dat is meer dan 99 procent van de Android-apparaten) met Google Play geïnstalleerd.

In 2014, volgens Verify Apps-gegevens verzameld door Google en het negeren van root-apps die opzettelijk door gebruikers zijn geïnstalleerd, 0,15 procent van de apps die van buiten Google Play zijn geïnstalleerd op apparaten in het Amerikaans-Engels, zijn geclassificeerd als potentieel schadelijk Toepassingen. Gezien de ingebouwde bescherming die wordt geboden door Verify Apps en de lage frequentie waarmee PHA's worden geïnstalleerd, is het potentiële beveiligingsvoordeel van een aanvullende beveiligingsoplossing erg klein.

V: Zijn de beveiligingsfuncties van Google van toepassing op gebruikers die Android-versies van derden hebben geïnstalleerd (lees: door de community gemaakte ROM's)?

Ludwig: Ja, ROM's van derden zijn over het algemeen gebouwd op AOSP, dus ze ondersteunen de Android-sandbox, en veel van hen gebruiken de applicaties van Google, inclusief onze beveiligingsservices.

En daar heb je het. Google doet ongelooflijk veel werk om Android veilig te houden, en een groot deel daarvan wordt voorbereid op wat er daarna gebeurt. Maar het wordt altijd een beetje een kat-en-muisspel. Zoals altijd het geval is geweest, betekent het veilig houden van uw apparaat dat u zich bewust bent van waar u tikt, wat u installeert en zo goed mogelijk geïnformeerd bent.

Bekijk zeker ook de rest van onze beveiligingsserie als u meer wilt weten.

Heb je geluisterd naar de Android Central Podcast van deze week?

Elke week brengt de Android Central Podcast je het laatste technische nieuws, analyses en hot takes, met bekende mede-hosts en speciale gasten.

• Abonneer je op Pocket Casts: Audio
• Abonneren op Spotify: Audio
• Abonneer je in iTunes: Audio