Android-tietoturva - q & a google Adrian ludwig

Olemme puhuneet viime aikoina paljon Android-laitteesi turvallisuudesta, ja kun keskustelu jatkui, oli selvää, että oli kysymyksiä, joihin henkilö, jolla on suurempi auktoriteetti, oli vastattava. Tarpeettomasti hämärtyneinä ovat aiheet, kuten tarvitsetko viruksentorjuntaohjelmia puhelimeesi, haittaohjelmien tunnistaminen ja laitteiden turvallisuuden varmistaminen päivittäisessä käytössä. Vaikka voimme syyttää tämän syyn näennäisesti loputtomiin artikkeleihin, jotka kertovat meille kaikista olemassa olevista Android-käyttäjien hyödyntämistä koskevista ohjelmistoista, Android-tietoturvasta on myös joitain oikeutettuja kysymyksiä, joilla ei ole selkeää, yksinkertaista vastauksia.

Auttaaksemme tämän ratkaisemisessa olemme menneet suoraan lähteelle. Adrian Ludwig, Googlen Android-tietoturvan johtava insinööri, antoi jonkin aikaa sähköpostitse antaaksemme etsimämme vastaukset.

: Android Security - Kysymyksiä ja vastauksia Googlen Adrian Ludwigin kanssa

Googlen rooli

K: Mitä Google yrittää suojella Android-käyttäjiään?

Ludwig: Suunnittelimme Androidin useilla suojaustasoilla - alkaen laitteistoominaisuuksista (Trustzone, NX), käyttöjärjestelmän (Application Sandbox, SELinux, ASLR) kautta ja Googlen tarjoamiin sovelluksiin ja palveluihin (Google Play, Device Manager, Varmista sovellukset jne.). Kannustamme myös turvallisuusinnovaatioita mahdollistamalla kolmansien osapuolten tarjota turvallisuusratkaisuja.

Nykyään kiireellisimpiin mobiililaitteisiin kohdistuviin turvallisuusuhkiin kuuluvat: 1. Kadonneet ja varastetut laitteet (joille tarjoamme suojauksia, kuten lukitusnäyttö, laitteen salaus ja Android Device Manager). 2. Verkkotason hyökkäykset (joille Android tarjoaa salauspalveluita ja paljastaa minimaalinen hyökkäyspinta, koska sillä ei ole oletuksena mitään kuuntelupalveluita) 3. Mahdollisesti haitalliset sovellukset (joille on suunniteltu Android-sovelluksen hiekkalaatikko, Google Play -sovellusten arvostelu ja Verify-sovellukset)

Kun kuulemme uudesta mahdollisesta uhasta, alamme sisällyttää sen tulevaisuussuunnitelmiin ja suunnitteluun.

Tukipolitiikka

K: Kuinka kauan Google tarjoaa tukea muun muassa käyttöjärjestelmässä havaittuihin tietoturva-aukkoihin?

Ludwig: Lähestymistapamme Android-tietoturvan tukipolitiikalle on tarjota päivityksiä kaikkialle, kun uskomme niiden tosiasiallisesti toimittavan käyttäjille ja parantaa tietoturvaa. Käytännössä tämä tarkoittaa sitä, että tarjoamme monen tyyppistä tukea mahdollisille turvallisuuskysymyksille:

1. Jos ongelma voidaan ratkaista päivittämällä Chrome, Gmail, Google Play tai mikä tahansa määrä Google-sovelluksia - me ratkaisemme ongelman tavalla, joka palaa kaikkiin Android-versioihin, joissa kukin sovellus on saatavana.
2. Google Nexus -laitteet ja Google Play Edition -laitteet vastaanottavat säännöllisesti tietoturvapäivitykset oikeaan aikaan.
3. Tarjoamme korjaustiedostoja nykyiselle Android-haaralle Android Open Source Project -projektissa (AOSP) ja toimitamme suoraan Android-kumppaneille korjaustiedostoja ainakin kahdesta viimeisimmästä käyttöjärjestelmän versiosta. Tarjoamme tällä hetkellä backportteja tietoturvaongelmiin, jotka kattavat Android 4.3: n tai uudemman. WebKit Android 4.3: ssa on ainoa poikkeus. Sitä tukee Android 4.4 ja uudemmat versiot binaaripäivityksenä. Siitä huolimatta, kun OEM-laite pyytää apua kehitettäessä korjaustiedostoa laitteelle, jolla on alustan vanhempi versio, ja he sitoutuvat toimittamaan kyseisen korjaustiedoston OTA-laitteisiin, me tarjoamme heille apua.
4. Päivitämme mahdollisuuksien mukaan myös Googlen Android-tietoturvapalvelut tarjoamaan lisäsuojaus kaikille Android-laitteille riippumatta siitä, tukeeko laitevalmistajia edelleen niitä. Tähän sisältyy mahdollisesti haitallisten sovellusten ja muun tietoturvakäyttäytymisen tarkistaminen.
5. Tarjoamme sovelluskehittäjille myös tietoja ja työkaluja sen varmistamiseksi, että sovellukset on suojattu mahdollisilta tietoturvaongelmilta. Tähän sisältyy sovellusliittymien tarjoaminen Google Play -palveluissa, kuten päivitettävä tietoturvapalveluntarjoaja, jonka Google voi päivittää ilman laitteen OTA: ta. Tarjoamme myös parhaita käytäntöjä, jotka voivat auttaa kehittäjiä varmistamaan, että heidän sovelluksensa toimivat turvallisesti kaikissa Android-laitteissa, riippumatta siitä, tukeeko OEM edelleen niitä. Viime aikoina olemme alkaneet tarkistaa Google Playn sovelluksia mahdollisten tietoturva-aukkojen varalta ja ilmoittaa kehittäjille, kun nämä haavoittuvuudet havaitaan.
6. Viimeisenä, mutta ei vähäisimpänä, jaamme Android-kumppaneiden kanssa tietoja turvallisuuskysymyksistä (mukaan lukien tiedot korjauksista ja kaikista tunnetuista hyödyntämisistä) varmistaaksemme, että he ymmärtävät ongelman, mukaan lukien riskit, jotka liittyvät laitteisiin, jotka eivät saa päivitystä ongelmaan. Tähän sisältyy testien lisääminen mahdollisiin tietoturvaongelmiin Yhteensopivuustestipakettiin vähentämään mahdollisuutta, että OEM-laite lähettää vahingossa laitteen, jolla on tunnettu tietoturvaongelma.

Käyttäjän hallinta

K: Jos sovellusta on pidetty haitallisena, mutta ei välttämättä vaarallisena - esimerkiksi sovellus, joka roskapostittaa ilmoituslokeroa ei-toivotuilla mainoksilla - mitä työkaluja on käyttäjien auttamiseksi?

Ludwig: Android tarjoaa käyttäjille hallintalaitteita, joiden avulla he voivat hallita laitteessaan olevia kokemuksia. Tähän sisältyy ominaisuuksia, kuten sovellusluvien katseleminen, asetusten määrittäminen, kuten sovelluksen kyky näyttää ilmoituksia tai mahdollisuus poistaa tai poistaa sovelluksia milloin tahansa.

Jos ilmoitusta ei toivota, käyttäjä voi painaa ilmoitusta pitkään nähdäksesi, mikä sovellus sen tuotti, ja muuttaa sitten sovelluksen ilmoitusasetuksia tai poistaa sovelluksen.

Turvallisuustarkastukset

K: Mitä tapahtuu, kun Google lähettää viestin, joka varoittaa haittaohjelman käyttäjiä, eikä käyttäjä poista sovellusta joko siksi, että he eivät halua tai viesti hylättiin vahingossa?

Ludwig: Useita tarpeettomia turvatarkastuksia on suunniteltu varmistamaan, että potentiaalisesti haitallisen sovelluksen ei asenneta vahingossa. Jokaisessa tarkastuksessa suurin osa käyttäjistä, jotka saavat varoituksen mahdollisesti haitallisesta sovelluksesta, päättää olla jatkamatta.

Tässä ovat kaikki tärkeimmät vaiheet:

Google on integroinut varoitusjärjestelmänsä tunnetuista mahdollisesti haitallisista sovelluksista monien sovelluksiemme taustaan. Joten esimerkiksi Suojattua selausta sisältävä Chrome-selain voi varoittaa käyttäjää ennen sovelluksen lataamista edes verkkosivustolta, että näyttää siltä, ​​että hän on verkkosivustolla, joka isännöi mahdollisesti haitallisia sovelluksia.

Jos he päättävät ladata ja asentaa muutenkin, he saavat varoituksen asennuksen yhteydessä (samoin kuin muut tiedot, kuten sovelluksen käyttöoikeudet, jotka voivat auttaa päättämään, haluavatko ne asentaa).

Jos he edelleen päättävät jatkaa, sovellus asennetaan, mutta se ei silti voi tehdä mitään, ennen kuin käyttäjä todella päättää suorittaa sovelluksen. Joten heillä on vielä yksi mahdollisuus valita sovelluksen poistaminen ennen kuin se voisi mahdollisesti aiheuttaa haittaa.

Riippumatta siitä, haluavatko ne ajaa sovelluksen, vai ei, jos se on asennettu laitteelleen, Verify Apps -taustaskannaus merkitsee sovelluksen ja antaa uuden varoituksen, joka suosittelee sovelluksen poistamista. Tämä varoitus tapahtuu yleensä noin kerran viikossa - tosin käyttäjällä on mahdollisuus sanoa "älä muistuta minua uudestaan".

Virustorjuntaohjelmat

K: Pitääkö kolmansien osapuolien tietoturvasovellukset entistä turvallisempia mahdollisesti haitallisilta Play Kaupan sovelluksilta?

Ludwig: Google Playn sisäänrakennetut suojaukset ovat erittäin vahvoja. Käyttäjille, jotka asentavat sovelluksia Google Playn ulkopuolelle, suosittelemme, että he ottavat käyttöön Verify Apps -sovelluksen, joka tarjotaan Android-laitteissa, joissa on Android 2.3 tai uudempi (eli yli 99 prosenttia Android-laitteista) ja joissa on Google Play.

Vuonna 2014 Googlen keräämien Verify Apps -tietojen mukaan käyttäjien tahallisesti asentamien juurtumissovellusten huomioimatta alle 0, 15 prosenttia Google Playn ulkopuolelta Yhdysvaltain englanninkielisiin laitteisiin asennetuista sovelluksista luokiteltiin mahdollisesti haitallisiksi sovelluksiksi. Koska Verify Apps tarjoaa sisäänrakennetun suojauksen ja PHA: n asentamisen harvoin esiintyy, ylimääräisen tietoturvaratkaisun mahdollinen turvallisuusetu on hyvin pieni.

Mukautetut ROM-levyt

K: Koskeeko jokin Googlen tietoturvaominaisuuksista käyttäjiä, jotka ovat asentaneet kolmannen osapuolen Android-versiot (lue: yhteisön tekemät ROM-levyt)?

Ludwig: Kyllä, kolmansien osapuolien ROM-tiedostot ovat yleensä rakennettu AOSP: lle, joten ne tukevat Android-hiekkalaatikkoa, ja monet heistä käyttävät Googlen sovelluksia, myös turvallisuuspalvelumme.

Ja siinä se on. Google tekee uskomattoman määrän työtä pitääkseen Androidin turvassa, ja valtava osa siitä valmistellaan seuraavaksi tapahtuvalle. Mutta se tulee aina olemaan kissan ja hiiren peli. Kuten aina on tapahtunut, laitteen pitäminen turvassa tarkoittaa sitä, että tiedät missä napautat, mitä asennat ja olet mahdollisimman tietoinen.

Muista tutustua muuhun tietoturvasarjaamme, jos haluat lisätietoja.