אבטחת אנדרואיד - שאלות ותשובות עם אדריאן לודוויג של גוגל

לאחרונה דיברנו רבות על אבטחה במכשיר האנדרואיד שלכם, וככל שהשיחה נמשכה היה ברור שהיו שאלות שצריך לענות על ידי אדם בעל סמכות גדולה יותר. דברים כמו אם אתה זקוק לתוכנת אנטי-וירוס לטלפון שלך, זיהוי תוכנות זדוניות ולוודא שהמכשירים שלך בדרך כלל בטוחים באמצעות שימוש יומיומי הם נושאים שהפכו לבוציים שלא לצורך. אמנם אנו יכולים להטיל חלק מהאשמה בכך על מטח המאמרים לכאורה הבלתי נגמר של מאמרים המספרים לנו על כל התוכנות הקיימות כדי לנצל משתמשי אנדרואיד, אך יש גם כמה שאלות לגיטימיות בנושא אבטחת אנדרואיד שאין להן פשוט ופשוט. תשובות.

כדי לעזור בטיפול בזה, פנינו היישר למקור. אדריאן לודוויג, מהנדס מוביל לאבטחת אנדרואיד בגוגל, לקח קצת זמן באמצעות הדואר האלקטרוני כדי לתת את התשובות שחיפשנו.

: אבטחת אנדרואיד - שאלות ותשובות עם אדריאן לודוויג של גוגל

תפקידה של גוגל

ש: ממה בדיוק גוגל מנסה להגן על משתמשי אנדרואיד שלה?

לודוויג: תכננו את אנדרואיד באמצעות שכבות אבטחה מרובות - החל מתכונות חומרה של מכשירים (Trustzone, NX), דרך מערכת ההפעלה (Application Sandbox, SELinux, ASLR) ועד יישומים ושירותים שגוגל מספקת (Google Play, מנהל התקנים, אמת אפליקציות וכו '. אנו גם מעודדים חדשנות ביטחונית בכך שאפשרים לצדדים שלישיים לספק פתרונות אבטחה.

איומי האבטחה הקשים ביותר העומדים בפני מכשירים ניידים בימינו כוללים: 1. מכשירים אבודים וגנובים (שעבורם אנו מספקים הגנות כמו מסך נעילה, הצפנת מכשירים ומנהל מכשירים אנדרואיד).2 התקפות ברמת הרשת (שעבורן אנדרואיד מספקת שירותי קריפטוגרפיה וחושפת משטח התקפה מינימלי בכך שאינם כוללים שירותי האזנה כברירת מחדל. 3. יישומים שעלולים להזיק (שעבורם ארגז החול של יישום אנדרואיד, סקירת אפליקציות של Google Play ואפליקציות אימות כולם מיועדים)

כאשר אנו שומעים על איום פוטנציאלי חדש, אנו מתחילים לשלב זאת בתוכניות העיצוב העתידי שלנו.

מדיניות תמיכה

ש: כמה זמן גוגל מציעה תמיכה לדברים כמו פגיעויות אבטחה שמתגלים במערכת ההפעלה?

לודוויג: הגישה שלנו למדיניות תמיכה לאבטחת אנדרואיד היא לספק עדכונים בכל מקום שאנחנו מאמינים שהם יימסרו למשתמשים ולשפר את האבטחה. בפועל פירוש הדבר שאנו מספקים סוגים שונים של תמיכה בנושאי אבטחה פוטנציאליים:

1. אם ניתן לפתור בעיה על ידי עדכון Chrome, Gmail, Google Play או מספר יישומים של גוגל - אנו נפתור את הבעיה באופן שיחזור לכל גרסאות Android בהן כל יישום זמין.
2. מכשירי Google Nexus ומכשירים במהדורת Google Play מקבלים באופן קבוע עדכוני אבטחה בזמן.
3. אנו מספקים טלאים לסניף הנוכחי של אנדרואיד בפרויקט קוד פתוח אנדרואיד (AOSP) ומספקים ישירות לשותפי אנדרואיד טלאים לפחות לשתי הגרסאות העיקריות האחרונות של מערכת ההפעלה. נכון לעכשיו אנו מספקים דרכונים אחוריים לנושאי אבטחה המכסים את אנדרואיד 4.3 ומעלה. WebKit באנדרואיד 4.3 הוא יוצא הדופן. זה נתמך באנדרואיד 4.4 ומעלה כעדכון בינארי. עם זאת, כאשר יצרן ציוד מקורי מבקש עזרה בפיתוח תיקון למכשיר שמריץ גרסה ישנה יותר של הפלטפורמה והם מתחייבים למסור את התיקון כ- OTA למכשירים, אנו נספק להם סיוע.
4. במידת האפשר, אנו מעדכנים את שירותי האבטחה של גוגל עבור אנדרואיד בכדי לספק שכבת הגנה נוספת לכל מכשירי אנדרואיד, ללא קשר אם הם עדיין נתמכים על ידי יצרני ציוד מקורי. זה כולל בדיקת יישומים שעלולים להזיק והתנהגות אבטחה אחרת.
5. אנו מספקים למפתחי אפליקציות מידע וכלים כדי להבטיח שהיישומים שלהם מוגנים מפני בעיות אבטחה פוטנציאליות. זה כולל מתן ממשקי API בשירותי Google Play כגון ספק האבטחה שניתן לעדכון וניתן לעדכן אותו על ידי Google ללא מכשיר OTA. אנו מספקים גם שיטות עבודה מומלצות שיכולות לעזור למפתחים לוודא שהיישומים שלהם עובדים בבטחה בכל מכשירי Android, ללא קשר אם הם עדיין נתמכים על ידי יצרני ציוד מקורי. לאחרונה התחלנו לסרוק אפליקציות ב- Google Play אחר פגיעויות אבטחה אפשריות ולהודיע ​​למפתחים כשמגלים אותן פגיעויות.
6. אחרון חביב, אנו חולקים מידע על נושאי אבטחה (כולל מידע שיש לנו אודות תיקונים וכל ניצול ידוע) עם שותפי Android כדי לוודא שהם מבינים את הבעיה, כולל הסיכונים הכרוכים במכשירים שלא קיבלו עדכון לבעיה. זה כולל הוספת בדיקות לבעיות אבטחה פוטנציאליות בסביבת מבחן התאימות כדי לצמצם את הסיכוי ש- OEM יצליח לשלוח מכשיר עם סוגיית אבטחה ידועה.

בקרת משתמשים

ש: במקרה שאפליקציה נחשבה כזדונית אך לא בהכרח מסוכנת - למשל אפליקציה שמפזרת את מגש ההתראות במודעות לא רצויות - אילו כלים זמינים לעזור למשתמשים?

לודוויג: אנדרואיד מספקת למשתמשים פקדים המאפשרים להם לשלוט בחוויה במכשיר שלהם. זה כולל יכולות כמו הצגת הרשאות אפליקציה, קביעת תצורה של הגדרות כגון היכולת של יישום להציג התראות או יכולת להשבית או להסיר יישומים בכל עת.

אם הודעה אינה רצויה, המשתמש יכול ללחוץ זמן רב על ההודעה כדי לראות איזו אפליקציה ייצרה אותה ואז לשנות את הגדרות ההתראה של היישום או להסיר את ההתקנה של היישום.

בדיקות אבטחה

ש: מה קורה כשגוגל שולחת הודעה המזהירה את המשתמשים באפליקציה זדונית והמשתמש לא מסיר את האפליקציה, גם בגלל שהם בוחרים שלא או שההודעה הודחה בטעות?

לודוויג: ישנם מספר בדיקות אבטחה מיותרות שנועדו לוודא כי אפליקציה שידועה ככזו שעלולה להזיק לא תותקן בטעות. בכל אחת מהבדיקות הללו, רוב המשתמשים המקבלים אזהרה לגבי אפליקציה שעלולה להזיק, בוחרים שלא להמשיך.

להלן כל הצעדים העיקריים:

גוגל שילבה את מערכת ההתרעה שלה עבור אפליקציות ידועות שעלולות להזיק בתכנית של רבים מהאפליקציות שלנו. כך, למשל, דפדפן Chrome עם גלישה בטוחה עשוי להזהיר את המשתמש לפני שהוא אפילו מוריד אפליקציה מאתר שהוא נראה כאילו הוא נמצא באתר שמארח אפליקציות שעלולות להזיק.

אם הם בוחרים להוריד ולהתקין בכל מקרה, הם יקבלו אזהרה בזמן ההתקנה (כמו גם מידע אחר כמו הרשאות היישום שיכולים לעזור להם להחליט אם הם רוצים להתקין).

אם הם עדיין מחליטים להמשיך, היישום מותקן, אך הוא עדיין לא יכול לעשות דבר עד שהמשתמש בפועל יחליט להפעיל את האפליקציה. אז יש להם סיכוי אחד נוסף לבחור להסיר את היישום לפני שהיא עלולה לגרום נזק.

בין אם הם בוחרים להפעיל את האפליקציה ובין אם לא, אם היא מותקנת במכשיר שלהם, אז סריקת הרקע של Verify Apps תסמן את האפליקציה ותספק אזהרה נוספת שממליצה להסיר את האפליקציה. בדרך כלל אזהרה זו תופיע בערך פעם בשבוע - אם כי למשתמש יש אפשרות לומר "אל תזכיר לי שוב."

אפליקציות אנטי-וירוס

ש: האם אפליקציות אבטחה של צד שלישי שומרות עליי עוד יותר מפני יישומים שעלולים להזיק לחנות Play?

לודוויג: ההגנות המובנות ב- Google Play מאוד חזקות. למשתמשים שמתקינים אפליקציות מחוץ ל- Google Play, אנו ממליצים בחום להפעיל את Verify Apps, המסופק במכשירי אנדרואיד עם מערכת Android 2.3 ומעלה (כלומר יותר מ- 99 אחוז ממכשירי אנדרואיד) המותקנים ב- Google Play.

בשנת 2014, על פי נתוני Verify Apps שנאספו על ידי גוגל והתעלמות מאפליקציות השורשות שהותקנו בכוונה על ידי משתמשים, פחות מ- 0.15 אחוזים מהיישומים שהותקנו מחוץ ל- Google Play למכשירים באנגלית בארה"ב סווגו כיישומים שעלולים להזיק. בהתחשב בהגנה המובנית המסופקת על ידי Verify Apps והתדירות הנמוכה בהתרחשות התקנות PHAs, היתרון האבטחי הפוטנציאלי של פיתרון אבטחה נוסף הוא קטן מאוד.

ROM מותאם אישית

ש: האם אחת מתכונות האבטחה של גוגל חלה על משתמשים שהתקנו גרסאות של צד שלישי של אנדרואיד (קרא: ROM מתוצרת קהילה)?

לודוויג: כן, ROMs של צד שלישי בנויים בדרך כלל ב- AOSP, כך שהם תומכים בארגז החול של אנדרואיד, ורבים מהם משתמשים ביישומים של גוגל, כולל שירותי האבטחה שלנו.

ושם יש לך את זה. גוגל עושה עבודה מדהימה בכדי לשמור על בטיחות אנדרואיד, וחלק עצום מזה נערך לכל מה שיקרה אחר כך. אבל זה תמיד יהיה קצת משחק של חתול ועכבר. כמו תמיד, השמירה על המכשיר היא עניין של הידיעה היכן אתה מקיש, על מה שאתה מתקין ולהיות מעודכן ככל האפשר.

הקפד לבדוק את שאר סדרות האבטחה שלנו אם ברצונך לקבל מידע נוסף.