Logo el.androidermagazine.com
Logo el.androidermagazine.com
» Λογισμικό
Λογισμικό

Ασφάλεια Android - ένα q & a με το google adrian ludwig

Ασφάλεια Android - ένα q & a με το google adrian ludwig

Πίνακας περιεχομένων:

Anonim

Μιλήσαμε πολύ για την ασφάλεια της συσκευής σας Android πρόσφατα και καθώς η συνομιλία συνεχίστηκε ήταν σαφές ότι υπήρχαν ερωτήσεις που έπρεπε να απαντηθούν από ένα άτομο με μεγαλύτερη εξουσία. Πράγματα όπως αν χρειάζεστε λογισμικό προστασίας από ιούς για το τηλέφωνό σας, εντοπίζετε κακόβουλα προγράμματα και είστε σίγουροι ότι οι συσκευές σας είναι γενικά ασφαλείς μέσω της καθημερινής χρήσης είναι θέματα που έχουν γίνει άσκοπα λασπώδη. Ενώ μπορούμε να βάλουμε μέρος της ευθύνης για αυτό στο φαινομενικά ατελείωτο φράγμα των άρθρων που μας λένε για όλο το λογισμικό που γίνεται για να εκμεταλλευτεί τους χρήστες Android, υπάρχουν επίσης κάποιες θεμιτές ερωτήσεις σχετικά με την ασφάλεια του Android που δεν έχουν απλό, απλό απαντήσεις.

Για να βοηθήσουμε να το αντιμετωπίσουμε, πήγαμε κατευθείαν στην πηγή. Ο Adrian Ludwig, ηγέτης μηχανικής για την ασφάλεια του Android στο Google, πήρε λίγο χρόνο μέσω ηλεκτρονικού ταχυδρομείου για να δώσει τις απαντήσεις που ψάχναμε.

: Ασφάλεια Android - ένα Q & A με τον Adrian Ludwig της Google

Ο ρόλος της Google

Ε: Τι ακριβώς προσπαθεί η Google να προστατεύσει τους χρήστες Android της;

Ludwig: Σχεδιάσαμε το Android χρησιμοποιώντας πολλαπλά επίπεδα ασφαλείας - Ξεκινώντας με τις λειτουργίες υλικού συσκευών (Trustzone, NX), μέσω του λειτουργικού συστήματος (Application Sandbox, SELinux, ASLR) και μέχρι τις εφαρμογές και τις υπηρεσίες που παρέχει η Google (Google Play, Επαληθεύστε τις εφαρμογές, κ.λπ.). Ενθαρρύνουμε επίσης την καινοτομία στον τομέα της ασφάλειας επιτρέποντας σε τρίτα μέρη να παρέχουν λύσεις ασφάλειας.

Οι πιο επείγουσες απειλές ασφάλειας που αντιμετωπίζουν σήμερα οι κινητές συσκευές περιλαμβάνουν: 1. Απώλειες και κλοπές συσκευών (για τις οποίες παρέχουμε προστασία όπως κλειδαριές, κρυπτογράφηση συσκευών και Διαχείριση συσκευών Android) 2. Επιθέσεις σε επίπεδο δικτύου (για τις οποίες το Android παρέχει κρυπτογραφικές υπηρεσίες και εκθέσεις μια ελάχιστη επιφάνεια επίθεσης, χωρίς να έχουν προεπιλεγμένες υπηρεσίες ακρόασης) 3. Ενδέχεται να υπάρχουν δυνητικά επιβλαβείς εφαρμογές (για τους οποίους έχουν σχεδιαστεί όλες οι εφαρμογές Android Sandbox, αναθεώρηση εφαρμογών Google Play και Επαλήθευση εφαρμογών)

Όταν ακούμε για μια νέα πιθανή απειλή, αρχίζουμε να το ενσωματώνουμε στα μελλοντικά μας σχέδια και σχεδιασμό.

Πολιτική υποστήριξης

Ε: Για πόσο διάστημα η Google προσφέρει υποστήριξη για θέματα όπως τα ευπάθειες ασφαλείας που εντοπίζονται στο λειτουργικό σύστημα;

Ludwig: Η προσέγγισή μας σε μια πολιτική υποστήριξης για την ασφάλεια του Android είναι να παρέχουμε ενημερώσεις παντού όπου πιστεύουμε ότι θα παραδοθούν πραγματικά στους χρήστες και θα βελτιώσουν την ασφάλεια. Στην πράξη αυτό σημαίνει ότι παρέχουμε πολλαπλούς τύπους υποστήριξης για πιθανά ζητήματα ασφάλειας:

  1. Εάν ένα ζήτημα μπορεί να επιλυθεί με την ενημέρωση του Chrome, του Gmail, του Google Play ή οποιουδήποτε αριθμού εφαρμογών Google, θα λύσουμε το πρόβλημα με τρόπο που επιστρέφει σε όλες τις εκδόσεις Android για τις οποίες είναι διαθέσιμη κάθε εφαρμογή.
  2. Οι συσκευές Google Nexus και οι συσκευές έκδοσης του Google Play λαμβάνουν τακτικά ενημερώσεις ασφαλείας εγκαίρως.
  3. Παρέχουμε διορθώσεις για τον τρέχοντα κλάδο Android στο Android Open Source Project (AOSP) και παρέχουμε απευθείας στους συνεργάτες του Android εφαρμογές για τουλάχιστον τις δύο τελευταίες μεγάλες εκδόσεις του λειτουργικού συστήματος. Επί του παρόντος, παρέχουμε backports για θέματα ασφάλειας που καλύπτουν το Android 4.3 και μεγαλύτερο. Το WebKit στο Android 4.3 είναι η μόνη εξαίρεση. Υποστηρίζεται σε Android 4.4 και νεότερη έκδοση ως δυαδική ενημέρωση. Ωστόσο, όταν ένας ΚΑΕ ζητά βοήθεια για την ανάπτυξη μιας ενημερωμένης έκδοσης κώδικα για μια συσκευή που εκτελεί μια παλαιότερη έκδοση της πλατφόρμας και δεσμεύονται να παραδώσουν αυτήν την ενημερωμένη έκδοση ως συσκευή OTA στις συσκευές, θα τους παρέχουμε βοήθεια.
  4. Όπου είναι δυνατόν, ενημερώνουμε επίσης τις υπηρεσίες ασφαλείας της Google για το Android για να προσφέρουμε ένα πρόσθετο επίπεδο προστασίας για όλες τις συσκευές Android, ανεξάρτητα από το αν εξακολουθούν να υποστηρίζονται από ΚΑΕ. Αυτό περιλαμβάνει τον έλεγχο πιθανών επιβλαβών εφαρμογών και άλλων συμπεριφορών ασφαλείας.
  5. Παρέχουμε επίσης στους προγραμματιστές εφαρμογών πληροφορίες και εργαλεία για να εξασφαλίσουν ότι οι εφαρμογές τους προστατεύονται από ενδεχόμενα ζητήματα ασφάλειας. Αυτό περιλαμβάνει την παροχή API στις υπηρεσίες Google Play, όπως ο ενημερωμένος Παροχέας Ασφαλείας, ο οποίος μπορεί να ενημερωθεί από την Google χωρίς συσκευή OTA. Παρέχουμε επίσης βέλτιστες πρακτικές που μπορούν να βοηθήσουν τους προγραμματιστές να διασφαλίσουν ότι οι εφαρμογές τους λειτουργούν με ασφάλεια σε όλες τις συσκευές Android, ανεξάρτητα από το αν εξακολουθούν να υποστηρίζονται από ΚΑΕ. Πρόσφατα, έχουμε αρχίσει να σαρώσουμε εφαρμογές στο Google Play για πιθανές ευπάθειες ασφαλείας και να ενημερώνουμε τους προγραμματιστές όταν εντοπίζονται αυτά τα τρωτά σημεία.
  6. Τέλος, αλλά και αν μη τι άλλο, μοιραζόμαστε πληροφορίες σχετικά με θέματα ασφάλειας (συμπεριλαμβανομένων των πληροφοριών που έχουμε σχετικά με διορθώσεις και οποιαδήποτε γνωστή εκμετάλλευση) με τους συνεργάτες Android για να βεβαιωθούμε ότι κατανοούν το πρόβλημα, συμπεριλαμβανομένων των κινδύνων που σχετίζονται με συσκευές που δεν λαμβάνουν ενημέρωση για το πρόβλημα. Αυτό περιλαμβάνει την προσθήκη δοκιμών για πιθανά ζητήματα ασφαλείας στη δοκιμή συμβατότητας Suite για να μειωθεί η πιθανότητα ένας ΚΑΕ να παραδώσει κατά λάθος μια συσκευή με ένα γνωστό ζήτημα ασφάλειας.

Έλεγχος χρήστη

Ε: Σε περίπτωση που μια εφαρμογή έχει θεωρηθεί κακόβουλη αλλά όχι απαραίτητα επικίνδυνη - για παράδειγμα μια εφαρμογή που σπάζει το δίσκο ειδοποιήσεων με ανεπιθύμητες διαφημίσεις - ποια εργαλεία είναι διαθέσιμα για να βοηθήσουν τους χρήστες;

Ludwig: Το Android παρέχει στους χρήστες στοιχεία ελέγχου που τους επιτρέπουν να ελέγχουν την εμπειρία τους στη συσκευή τους. Αυτό περιλαμβάνει δυνατότητες όπως προβολή δικαιωμάτων χρήσης εφαρμογών, ρύθμιση παραμέτρων όπως η δυνατότητα μιας εφαρμογής να εμφανίζει ειδοποιήσεις ή η δυνατότητα απενεργοποίησης ή κατάργησης εφαρμογών ανά πάσα στιγμή.

Εάν μια ειδοποίηση είναι ανεπιθύμητη, ο χρήστης μπορεί να πατήσει παρατεταμένα την ειδοποίηση για να δει ποια εφαρμογή την δημιούργησε και στη συνέχεια να αλλάξει τις ρυθμίσεις ειδοποίησης της εφαρμογής ή να καταργήσει την εγκατάσταση της εφαρμογής.

Έλεγχοι ασφαλείας

Ερ.: Τι συμβαίνει όταν η Google στέλνει ένα μήνυμα που προειδοποιεί τους χρήστες για μια κακόβουλη εφαρμογή και ο χρήστης δεν καταργεί την εφαρμογή είτε επειδή δεν επιλέγουν είτε το μήνυμα απορρίφθηκε τυχαία;

Ludwig: Υπάρχουν πολλοί περιττοί έλεγχοι ασφάλειας που έχουν σχεδιαστεί για να βεβαιωθείτε ότι μια εφαρμογή που είναι γνωστό ότι είναι δυνητικά επιβλαβής δεν θα εγκατασταθεί κατά λάθος. Σε κάθε έναν από αυτούς τους ελέγχους, η πλειοψηφία των χρηστών που λαμβάνουν προειδοποίηση σχετικά με μια δυνητικά επιβλαβή εφαρμογή επιλέγουν να μην προχωρήσουν.

Εδώ είναι όλα τα σημαντικά βήματα:

Η Google έχει ενσωματώσει το προειδοποιητικό σύστημα για γνωστές δυνητικά επιβλαβείς εφαρμογές στο backend πολλών από τις εφαρμογές μας. Έτσι, για παράδειγμα, το πρόγραμμα περιήγησης Chrome με ασφαλή περιήγηση ενδέχεται να προειδοποιήσει τον χρήστη προτού κατεβάσει ακόμη μια εφαρμογή από έναν ιστότοπο που μοιάζει να βρίσκεται σε έναν ιστότοπο που φιλοξενεί δυνητικά επιβλαβείς εφαρμογές.

Εάν επιλέξουν να κάνουν λήψη και εγκατάσταση ούτως ή άλλως, θα λάβουν μια προειδοποίηση κατά την εγκατάσταση του χρόνου (καθώς και άλλες πληροφορίες, όπως τα δικαιώματα χρήσης που μπορούν να βοηθήσουν να αποφασίσουν αν θέλουν να εγκαταστήσουν).

Αν εξακολουθούν να αποφασίζουν να προχωρήσουν, η εφαρμογή εγκαθίσταται, αλλά εξακολουθεί να μην μπορεί να κάνει τίποτα μέχρι ο χρήστης να αποφασίσει να εκτελέσει την εφαρμογή. Έχουν λοιπόν μία ακόμη πιθανότητα να επιλέξουν να καταργήσουν την εφαρμογή πριν προλάβουν να προκαλέσουν βλάβη.

Είτε πρόκειται για την εκτέλεση της εφαρμογής είτε όχι, εάν είναι εγκατεστημένη στη συσκευή της, τότε η σάρωση στο παρασκήνιο Επαλήθευση εφαρμογών θα επισημάνει την εφαρμογή και θα δώσει μια άλλη προειδοποίηση που συνιστά να καταργηθεί η εφαρμογή. Αυτή η προειδοποίηση θα εμφανίζεται γενικά περίπου μία φορά την εβδομάδα - αν και ο χρήστης έχει την επιλογή να πει "μην μου θυμίζει ξανά".

Εφαρμογές antivirus

Ε: Μήπως οι εφαρμογές ασφαλείας τρίτων μερών με προστατεύουν ακόμη περισσότερο από τις δυνητικά επιβλαβείς εφαρμογές του Play Store;

Ludwig: Οι προστασίες που ενσωματώνονται στο Google Play είναι πολύ ισχυρές. Για χρήστες που εγκαθιστούν εφαρμογές εκτός του Google Play, συνιστούμε να ενεργοποιήσετε την επαλήθευση των εφαρμογών, η οποία παρέχεται σε συσκευές Android που εκτελούν Android 2.3 ή νεότερη έκδοση (ποσοστό μεγαλύτερο από το 99% των συσκευών Android) που έχουν εγκαταστήσει το Google Play.

Το 2014, σύμφωνα με τα στοιχεία Verify Apps που συνέλεξε η Google και αγνοώντας τις εφαρμογές ριζοβολίας που είχαν εγκατασταθεί σκόπιμα από τους χρήστες, λιγότερο από το 0, 15% των Εφαρμογών που εγκαταστάθηκαν εκτός του Google Play στις αμερικανικές συσκευές της Αγγλίας χαρακτηρίστηκαν ως δυνητικά επιβλαβείς εφαρμογές. Δεδομένης της ενσωματωμένης προστασίας που παρέχεται από το Verify Apps και της χαμηλής συχνότητας εμφάνισης εγκατάστασης PHAs, το πιθανό όφελος ασφαλείας μιας πρόσθετης λύσης ασφάλειας είναι πολύ μικρό.

Προσαρμοσμένα ROM

Ε: Λάβετε κάποια από τις δυνατότητες ασφαλείας της Google που ισχύουν για χρήστες που έχουν εγκαταστήσει εκδόσεις τρίτου κατασκευαστή Android (διαβάστε: κοινοτικές ROM);

Ludwig: Ναι, οι ROM τρίτων κατασκευαστών κατασκευάζονται γενικά στο AOSP, έτσι υποστηρίζουν το sandbox Android και πολλοί από αυτούς χρησιμοποιούν τις εφαρμογές της Google, συμπεριλαμβανομένων των υπηρεσιών ασφαλείας μας.

Και εκεί το έχετε. Η Google κάνει μια απίστευτη δουλειά για να διατηρήσει το Android ασφαλές και ένα τεράστιο τμήμα αυτής προετοιμάζεται για ό, τι συμβαίνει στη συνέχεια. Αλλά πάντα πρόκειται να είναι ένα παιχνίδι κάποιου και ποντικιού. Όπως πάντα συνέβαινε, η διατήρηση της συσκευής σας είναι ασφαλής για να γνωρίζετε πού πατάτε, τι εγκαθιστάτε και ότι είστε όσο το δυνατόν πιο ενημερωμένοι.

Φροντίστε να ελέγξετε την υπόλοιπη σειρά ασφαλείας εάν θέλετε να μάθετε περισσότερα.

Λογισμικό

Η επιλογή των συντακτών