Kaynak: Alex Dobie / Android Central
Yıllar boyunca Android telefon güvenliğini çevreleyen çok sayıda FUD (korku, belirsizlik ve şüphe) yaşandı. Ve dürüst olacağım: İlk günlerde, çoğu hak edildi. Android'in parçalanmış doğası, şey bu, değiştirmek için tam bir ürün yazılımı yükseltmesi gerektiriyordu ve telefon üreticilerinin suskunluğu Bu güncellemeler, Android telefonların güvenlik sorunlarına iPhone'dan daha duyarlı olduğu anlamına geliyordu.
On yıl önce, büyük bir iPhone güvenlik açığı keşfedilirse, Apple tüm ekosistemini hızla düzeltebilirdi. Android'de, cihazınıza bir düzeltme yapılmışsa aylarca beklemeniz gerekebilir. 2011'de bir Android güvenlik sorununun ele alınması için, önce Google tarafından yeni kodun çıkarılması gerekiyordu. daha sonra üretici tarafından telefonunuzun donanım yazılımına entegre edildi ve sonunda sizin tarafınızdan imzalandı. taşıyıcı. Vahşi doğada kötü bir yeni yazılım güvenlik açığından yararlanılıyorsa muhtemelen olacağı gibi, zamanın önemli olması durumunda bu ideal bir olaylar dizisi değildir.
Android güvenliği son 10 yılda çok uzun bir yol kat etti.
Ancak genel olarak Android ve özellikle Android güvenliği, son on yılda uzun bir yol kat etti. Ve Android sahiplerinin hiçbir zaman güncelleme almayan yorgun kinayesi ve Android telefonların kötü amaçlı yazılımlara bulaşması artık iyi ve gerçekten modası geçmiş durumda. en iyi Android telefonlar şimdi dört yıllık düzenli güvenlik düzeltme eklerini garanti ediyor ve Android'in kendisi artık tasarım gereği daha güvenli.
Sorun şu ki, Google'ın Android'i güvenli ve emniyetli tutma yöntemleri belirsiz ve oldukça teknik. Apple, dikey entegrasyonu ve nispeten az sayıda telefon modeli ile tam olarak piyasaya sürülebilirken Google'ın daha büyük, daha çeşitli ve daha az doğrudan kontrol edilen ekosistemi, isteğe bağlı olarak ürün yazılımı güncellemeleri gerektirir. yaklaşmak.
Google Play Hizmetleri
Kaynak: Android Central / Phil Nickinson
Batı'da satılan hemen hemen her Android telefon, Google Play Hizmetleri ile birlikte gelir - bu, Google Play Hizmetlerinin önemli bir parçasıdır. Google Android telefonlara önceden yüklenmiş mobil uygulama paketidir ve Google tarafından sessizce güncellenebilir. arka fon. Ancak Play Services, ortalama Android uygulamanızdan çok, çok daha güçlüdür. Bunun nedeni bir sistem Temel olarak kalenin anahtarlarına sahip olduğu anlamına gelen uygulama, telefonunuzun kaybolması veya çalınması durumunda uzaktan silme gibi özelliklere izin verir. (Bu nedenle, sistem uygulamalarının önce üreticiniz tarafından cihaza yüklenmesi gerekir. Normal bir uygulama gibi sıfırdan yüklenemezler.)
Google Play Hizmetlerinin mevcut sürümleri, 2014'te piyasaya sürülen Android 5.0 Lollipop'a kadar desteklenmektedir. Android'in Play Services desteğini kaybeden son sürümü, 2011'de piyasaya sürülen ve 2018'de kullanımdan kaldırılan 4.0 Ice Cream Sandwich oldu. Bu, "mevcut" Google Play Hizmetleri desteği için, burada bahsettiğimiz zaman dilimlerinin çoğu insanın bir akıllı telefona sahip olacağından çok daha uzun olduğu anlamına gelir.
Daha fazlası: Bir Google Mobil Hizmetleri primeri
Play Hizmetleri ayrıca geliştiricilerin Google Pay ve Google tek oturum açma gibi hizmetleri uygulamalarına entegre etmelerine izin vermek gibi pek çok başka şey de yapar. Ancak güvenlik etkilerine odaklanalım: Arka planda sürekli güncel tutulan bu tür bir sistem uygulaması, aşağıdakiler tarafından desteklenir: yedi veya daha fazla yıl önce piyasaya sürülen ve temelde her şeyi yapma iznine sahip cihazlar, Google'ın Android güvenliğinde güçlü bir araçtır cephanelik.
Kaynak: Andrew Martonik / Android Central
Play Hizmetleri, eski Android telefonlarda bile her zaman günceldir ve kötü amaçlı yazılımlara karşı koruma sağlar.
Örneğin Google Play Protect, Play Hizmetlerinin bir parçasıdır. Bu, Google'ın, Play Store'dan indirilmiş olsun veya olmasın, telefonunuzdaki uygulamaları kötü amaçlı yazılımlara karşı kontrol etmesine olanak tanır. Play Hizmetleri bir sistem uygulaması olduğu için Play Protect, kötü amaçlı uygulamaları herhangi bir zarar verme şansları olmadan önce bombalayabilir. Play Hizmetleri sürekli olarak güncellendiğinden, bu savunmalar, cihazınız son uygun donanım yazılımı güncellemesini aldıktan yıllar sonra arka planda güncel tutulabilir. Eski cihazların kötü amaçlı uygulamalara karşı korunmasının bir yolu, bu uygulamalar teknik olarak temel işletim sisteminde hala mevcut olan yazılım güvenlik açıklarını kullanıyor olsa bile.
2013'te piyasaya sürülen şimdi geriatrik Samsung Galaxy S4 gibi cihazlara, Android 5 tabanlı belleniminde bulunan güvenlik açıklarına karşı iyi bir koruma düzeyi sağlayabilen budur.
Kaynak: Alex Dobie / Android Central
Google Play Hizmetlerinin gücüne harika bir örnek, Covid-19 Maruziyet Bildirim Sisteminde görülebilir. Google, bu sistemi Apple ile kurabildi ve Play Services sayesinde, 5.0 Lollipop veya üzeri çalıştıran her Android telefona donanım yazılımını güncellemeden otomatik olarak dağıttı.
Korkunç yazılım açıkları ortaya çıktığında, 2014'te olduğu gibi "Sahte Kimlik" hatası, Google, rahatsız edici uygulamaları belirlemek için hemen "Uygulamaları Doğrula" özelliğini (Google Play Protect'in bir öncüsü) güncelledi. Bu, üreticilerin temeldeki hatayı ele alan ürün yazılımı güncellemelerini kullanıma sunmadan çok önce güvenlik açığının tomurcuklanmasına izin verdi.
Ancak elbette, güvenlik açıklarına sahip olmamak, bunların istismar edilmesini engellemekten daha iyidir. Bu amaçla, son yıllarda Google, Android'in uzun süredir devam eden ürün yazılımı güncelleme sorununu birkaç farklı şekilde ele aldı. yollar: İlk olarak, Android'i daha modüler hale getirerek ve Android'ler sırasında üreticilerle daha yakın çalışarak gelişme. İkincisi, açıkça Android'in güvenlik düzeyine bir tarih bağlayarak ve telefon üreticileriyle yaptığı sözleşmelere minimum destek gereksinimleri yazarak.
Android modüler hale geliyor
Kaynak: Alex Dobie / Android Central
On yıl önce Android, bir kerede güncellenmesi gereken büyük, tek parça bir varlıktı. Medya kodekleri veya ağ iletişimi gibi sistem düzeyindeki şeylerde - hatta yerleşik web tarayıcısı veya çevirici uygulaması - yalnızca tüm zorluklarla birlikte tam bir ürün yazılımı güncellemesi yoluyla yapılabilir. (Önce Google yeni kodu dışarı atar, ardından üretici bunu cihaza özel bir üretici yazılımı güncellemesine dönüştürür, ardından taşıyıcının oturumu kapatması gerekir.) Ve daha önce de belirtildiği gibi, istismar edilebilir bir hata varsa bu yavaş ve güvenlik açısından oldukça kötüdür. keşfetti.
O zamandan bu yana Google, Android'i daha modüler hale getirerek şirketlerin işletim sistemi güncellemelerini yayınlamasını daha hızlı ve kolay hale getirdi. Ve daha yakın zamanlarda, Android işletim sisteminin parçalarını tam bir ürün yazılımı yükseltmesi olmadan güncellemek artık mümkün. Tüm bunlar, Google ve telefon üreticilerinin, işletim sisteminin belirli bölümlerindeki güvenlik sorunlarını gidermek için hızlı yanıt vermesini mümkün kılar.
Google'ın bu yöndeki ilk adımları, belirli uygulamaları ve bileşenleri ürün yazılımından çıkarmayı ve bunların Google Play Store aracılığıyla güncellenmelerini sağlamayı içeriyordu. Bunun en iyi örnekleri, Google Chrome ve Android uygulamaları içindeki web içeriği için kullanılan Android WebView bileşenidir. Bunları üretici yazılımından bağımsız olarak güncellemek, Google'ın istismar edilebilecek tarayıcı motoru hatalarını düzeltmesine olanak tanır kötü niyetli web sayfaları tarafından ve bunların tüm Android ekosistemine saatler içinde sunulmasını sağlayın. aylar.
Android'in son sürümleri, güncelleme aracısından kurtulur.
2017'nin Android 8.0 Oreo sürümünde Google, "Project Treble" ile işleri hızlandırdı. Bu, düşük seviyeli bitleri çözmek için bir çabaydı. İşletim sisteminin geri kalanından Qualcomm gibi yonga seti üreticilerinden Android ve güncellenebilecek daha modüler bir işletim sistemi oluşturun. hızlı bir şekilde. Donanım şirketleri, kendi özelleştirmelerini çekirdek işletim sisteminden ayırabildikleri için, fikir, ürün yazılımı güncellemelerinin daha hızlı ve daha az teknik ayak işi ile gerçekleştirilebileceğiydi. Project Treble, cihazınızda çalışırken fark edeceğiniz bir şey değil, ancak 2018'de satın aldığınız Android telefonun işletim sistemi güncellemelerini 2016'da satın aldığınızdan daha hızlı almasının nedeni bu olabilir. Ve elbette daha hızlı güncellemeler güvenlik için daha iyidir.
Kaynak: Google
Android'i modülerleştirmenin bir sonraki adımı, bugün belirsiz bir şekilde "Google Play Sistem Güncellemeleri" olarak bilinen "Project Mainline" ile Android 10'da geldi. Ana hat her şeydir mevcut kablosuz aygıt yazılımı sürecini tamamen atlatmak ve Android'in parçalarını, doğrudan Google veya telefonunuzun yazılımı tarafından güncellenebilecek yeni modüller halinde toplamak üretici firma. Ana hat büyüdü Android 11 Wi-Fi, tethering ve sinir ağı bileşenleri gibi daha fazla Android sistem biti için güncellenebilir modüllerle. Ve Android 12'de ayrıca ART'ı da kapsayacak (Android çalışma zamanı), daha fazla güvenlik avantajı getiriyor. Gibi AC'ler Jerry Hildenbrand yakın tarihli bir başyazıda şöyle açıklıyor:
Android 12'de, Android çalışma zamanının nasıl çalıştığına dair bulunabilecek her türlü güvenlik açığı, tüm Android ekosisteminde hızlı ve kolay bir şekilde düzeltilebilir.
Android'in güvenliğinin 2010'ların başından beri nasıl bu kadar geliştiğini anlamak için, son on yılın en büyük Android güvenlik korkularından birine - 2015'lerin - bakmak ilginç. "Sahne korkusu" hatası. Stagefright, medya dosyalarını işlemek için kullanılan Android bileşeninde, özel olarak değiştirilmiş bir video dosyasının Android telefonlarda kötü amaçlı kod çalıştırmasına izin verebilecek bir istismar içeriyordu.
2015'in en korkunç Android güvenlik hatalarından biri, Project Mainline tarafından tamamen etkisiz hale getirilecekti.
Stagefright'ın gerçek dünyadaki kötü amaçlı yazılımlarda yaygın olarak kullanıldığına dair bir kanıt olmasa da - muhtemelen diğer Android'deki güvenlik önlemleri, bundan yararlanmayı çok zorlaştırdı - yine de büyük bir haberdi. zaman. 2015 yılında Stagefright için tek bir gümüş kurşun yoktu. Uygulama tabanlı bir güvenlik açığından farklı olarak, Google Play Protect, kötü medya dosyalarının telefonunuzu tehlikeye atmasını engelleyemez. Tek gerçek düzeltme, bir ürün yazılımı güncellemesini beklemek ve en iyisini ummaktı.
Ancak 2021'de Stagefright gibi bir şey keşfedilirse, ele alınması önemsiz olacaktır. Google, medya oynatma kitaplığı için bir Proje Ana Hattı güncellemesi hazırlayacak ve hatayı Android 10 ve sonraki sürümleri çalıştıran her cihazda anında düzeltecektir. İşletim sisteminin her yeni sürümünde Android'in daha fazla modüler hale getirilmesiyle, Google'ın gelecekte Stagefright gibi bir istismara yakalanması çok daha az olasıdır.
Android güvenlik yamaları
Kaynak: Alex Dobie / Android Central
Stagefright hatasının doğrudan bir sonucu olarak, 2015'in sonlarında Google, Google tarafından onaylanmış herhangi bir Android donanım yazılımındaki güvenlik düzeyine kesin bir tarih bağlayarak Android güvenlik düzeltme eki düzeylerini tanıttı. Her ay, yakın zamanda keşfedilen güvenlik sorunlarını ele alan yeni yamalar yayınlanır ve cihaz üreticilerine, güvenlik yamalarının cihazlara gönderilmesi için bir ila iki aylık bir hazırlık süresi verilir. Güvenlik yamasının ekstra görünürlüğü, başarılı ve başarısız Android üreticilerine ışık tutarken, yeni güncellemeler geldiğinde gönül rahatlığı da sağladı.
Artık Google, sözleşmeye bağlı olarak iki yıllık güvenlik güncellemelerini zorunlu kılıyor.
Daha yakın zamanlarda Google, Android üreticileriyle yaptığı sözleşmelere minimum düzeyde güvenlik desteği yazmaya başladı. Sınır2018'de rapor edildi telefon üreticilerinin, ilk yıl içinde en az dört güvenlik güncellemesi ile yeni telefonlar için iki yıllık güvenlik güncellemelerini garanti etmesi gerekecek. Çoğu üst düzey telefonun standartlarına göre, bu oldukça temel bir destek seviyesidir. Ama bu sadece budur: çıplak bir minimum. Son zamanlarda verdiği vaatlerle Samsung da dahil olmak üzere, üst düzey birçok kişi çok daha ileri gidiyor. büyük Galaxy telefonları için dört yıllık güvenlik güncellemeleri.
On yıllık ilerleme
Kaynak: Alex Dobie / Android Central
Project Treble sayesinde daha hızlı Android güncellemeleri arasında, tam bir ürün yazılımı yükseltmesi olmadan işletim sisteminin bazı bölümlerinde daha kolay güncellemeler, Google Play Protect'ten daha uzun destek ömürleri ve kötü amaçlı yazılımlara karşı güçlü bir son savunma, Android'in bugün güvenliği güçlü. Günümüzde yüksek oranda duyurulan mobil güvenlik risklerinin çoğu, kötü amaçlı uygulamalar veya medya dosyalarının aksine kimlik avı saldırıları şeklinde ortaya çıkıyor. Veya başka bir deyişle, Android güvenliği güçlendirilirken, kötü adamlar giderek daha fazla hile yapmayı tercih ediyor. sen, telefonunuz değil.
Bu, Android güvenliği ve platform güncellemeleriyle ilgili durumun mükemmel olduğu anlamına gelmiyor. İdeal bir dünyada Google, güvenlik açıklarını düzeltme konusunda Apple kadar çevik olurdu. Project Mainline ile kesinlikle oraya varmak, ancak Android 11 ve Android 12'de eklenen yeni Ana Hat modüllerinin avantajlarının Android ekosistemine yansıması zaman alacaktır. Google Play Protect, ne kadar iyi olursa olsun, diğer istismar türlerinin aksine, uygulama tabanlı kötü amaçlı yazılımları etkisiz hale getirmekle sınırlıdır. Ve kesinlikle her üç ayda bir sözleşmeye bağlı minimum bir güvenlik güncellemesinin yeterince ileri gitmediğini iddia ediyorum. (Konudaki durum: kasvetli güncelleme beklentileri daha ucuz OnePlus Nord telefonlarından.)
Aynı zamanda, 2021'de Android'in kötü amaçlı yazılımlar ve aygıt yazılımı istismarlarıyla dolu olduğu eski klişesi, gerçeklerden hiç olmadığı kadar uzak. Ve iOS güncelleme modeliyle doğrudan karşılaştırmalar, Play Services ve Project Mainline gibi Google Android'in önemli kısımlarını gözden kaçırır. Platform 2011'den bu yana çok yol kat etti ve son on yıllık ilerleme, Android'in geleceğin yazılım tehditlerini görmek için iyi bir konumda olduğu anlamına geliyor.
Alex Dobie
Alex, Android Central için küresel Yönetici Editördür ve genellikle Birleşik Krallık'ta bulunur. Adı anılmadan önce blog yazıyor ve şu anda zamanının çoğu lider video için harcanıyor. AC, telefonlara bir kamerayı doğrultmayı ve bir mikrofona sözcükleri söylemeyi içerir. Sadece [email protected] adresinden veya @alexdobie'deki sosyal şeyler hakkında düşüncelerinizi duymayı çok isterdi.