Безпека Android - питання та відповіді з Адріаном Людвігом Google

Останнім часом ми багато говорили про безпеку на вашому пристрої Android, і коли розмова тривала, було зрозуміло, що виникають питання, на які людина повинна відповісти більшою владою. Такі речі, як необхідність антивірусного програмного забезпечення для вашого телефону, виявлення шкідливого програмного забезпечення та впевненість, що ваші пристрої в цілому безпечні при щоденному використанні, - це теми, які стали непотрібними. Хоча ми можемо покласти деяку провину за це на, здавалося б, нескінченний ряд статей, які розповідають нам про все програмне забезпечення, яке робиться для використання користувачів Android, є також деякі законні питання щодо безпеки Android, які не мають простого, простого відповіді.

Щоб вирішити це, ми перейшли до джерела. Адріан Людвіг, провідний інженер з безпеки Android в Google, потребував певного часу електронною поштою, щоб дати відповіді, які ми шукали.

: Android Security - запитання і відповіді з Адріаном Людвігом Google

Роль Google

Питання: Від чого саме Google намагається захистити своїх користувачів Android?

Людвіг: Ми розробили Android, використовуючи різні шари безпеки - починаючи з апаратних функцій пристрою (Trustzone, NX), через операційну систему (Sandbox програми, SELinux, ASLR) і аж до програм та служб, які надає Google (Google Play, Диспетчер пристроїв, Перевірте додатки тощо). Ми також заохочуємо інновації в галузі безпеки, надаючи можливість третім сторонам пропонувати рішення щодо безпеки.

Найактуальніші загрози безпеці, з якими стикаються мобільні пристрої в наші дні, включають: 1. Втрачені та викрадені пристрої (для яких ми забезпечуємо захист, як блокування екрана, шифрування пристрою та диспетчер пристроїв Android) 2. Атаки на рівні мережі (для яких Android надає криптографічні послуги та виставляє мінімальна поверхня атаки (за замовчуванням немає служб прослуховування). 3. Потенційно шкідливі програми (для яких призначені пісочниця програм Android, огляд програм Google Play та верифікація програм)

Коли ми чуємо про нову потенційну загрозу, ми починаємо включати це у свої майбутні плани та дизайн.

Політика підтримки

Питання: Як довго Google пропонує підтримку таких речей, як вразливості безпеки, виявлені в операційній системі?

Людвіг: Наш підхід до політики підтримки щодо безпеки Android полягає в наданні оновлень скрізь, де ми вважаємо, що вони будуть фактично доставлені користувачам та покращують безпеку. На практиці це означає, що ми надаємо кілька різних типів підтримки для потенційних проблем безпеки:

1. Якщо проблему можна вирішити, оновивши Chrome, Gmail, Google Play або будь-яку кількість додатків Google - ми вирішимо цю проблему таким чином, щоб повернутися до всіх версій Android, на яких доступна кожна програма.
2. Пристрої Google Nexus та пристрої версії Google Play регулярно отримують оновлення безпеки своєчасно.
3. Ми надаємо виправлення для поточної гілки Android в Android Open Source Project (AOSP) і безпосередньо надаємо партнерам Android патчі принаймні для двох останніх основних версій операційної системи. Наразі ми надаємо опорні списки щодо проблем безпеки, які охоплюють Android 4.3 та новіших версій. WebKit на Android 4.3 - єдиний виняток. Він підтримується на Android 4.4 і вище як бінарне оновлення. Тим не менше, коли OEM вимагає допомоги у розробці патча для пристрою, на якому працює старша версія платформи, і вони зобов’язуються доставити цей патч як OTA на пристрої, ми надамо їм допомогу.
4. Там, де це можливо, ми також оновлюємо служби безпеки Google для Android, щоб забезпечити додатковий рівень захисту для всіх пристроїв Android, незалежно від того, вони все ще підтримуються OEM-виробниками. Сюди входить перевірка наявності потенційно шкідливих програм та інша поведінка безпеки.
5. Ми також надаємо розробникам додатків інформацію та інструменти для забезпечення їх захисту від можливих проблем безпеки. Сюди входить надання API в Службах Google Play, таких як постачальник оновлень безпеки, який може бути оновлений Google без пристрою OTA. Ми також пропонуємо найкращі практики, які допоможуть розробникам забезпечити безпечну роботу своїх додатків на всіх пристроях Android, незалежно від того, підтримують вони їх виробники. Нещодавно ми почали сканувати програми в Google Play на предмет потенційних вразливих місць безпеки та повідомляти розробників про виявлення цих вразливих місць.
6. І останнє, але не менш важливе, ми ділимось інформацією про проблеми безпеки (включаючи інформацію, яку ми маємо про виправлення та будь-яку відому експлуатацію) з партнерами Android, щоб переконатися, що вони розуміють проблему, включаючи ризики, пов’язані з пристроями, які не отримують оновлення для проблеми. Сюди входить додавання тестів на можливі проблеми безпеки в тестовому пакеті сумісності, щоб зменшити ймовірність того, що ОЕМ ненароком поставить пристрій із відомою проблемою безпеки.

Контроль користувача

Запитання: Якщо додаток вважається шкідливим, але не обов'язково небезпечним - наприклад, програма, яка розсилає лоток сповіщень із небажаною рекламою - які інструменти доступні, щоб допомогти користувачам?

Людвіг: Android надає користувачам елементи керування, які дозволяють їм контролювати досвід роботи на своєму пристрої. Сюди входять такі можливості, як перегляд дозволів програм, налаштування таких параметрів, як здатність програми відображати сповіщення або можливість будь-коли відключати або видаляти програми.

Якщо сповіщення небажане, користувач може довго натиснути на сповіщення, щоб побачити, який додаток його створив, а потім змінити налаштування сповіщень програми або видалити програму.

Перевірки безпеки

Питання: Що станеться, коли Google надсилає повідомлення з попередженням про шкідливий додаток, і користувач не видаляє додаток, тому що вони вирішили не робити або повідомлення було випадково відхилено?

Людвіг: Існує кілька зайвих перевірок безпеки, розроблених для того, щоб переконатися, що додаток, який, як відомо, є потенційно шкідливим, не буде встановлений випадково. Під час кожної з цих перевірок більшість користувачів, які отримують попередження про потенційно шкідливий додаток, вирішують не продовжувати.

Ось усі основні кроки:

Google інтегрував свою систему попередження про відомі потенційно шкідливі додатки в основу багатьох наших додатків. Так, наприклад, браузер Chrome із безпечним переглядом може попередити користувача перед тим, як вони навіть завантажують додаток з веб-сайту про те, що схоже, що вони є на веб-сайті, де розміщуються потенційно шкідливі програми.

Якщо вони все-таки захочуть завантажити та встановити, вони отримуватимуть попередження під час встановлення (а також іншу інформацію, таку як дозволу програми, яка може допомогти їм вирішити, чи хочуть вони встановити).

Якщо вони все-таки вирішать продовжити, додаток встановлено, але він все ще не може нічого зробити, поки користувач фактично не вирішить запустити додаток. Тож у них є ще один шанс вибрати видалення програми, перш ніж це могло спричинити шкоду.

Незалежно від того, вирішили вони запустити додаток чи ні, якщо він встановлений на їхньому пристрої, тоді сканування фонового сканування програм позначить програму та надасть ще одне попередження, рекомендуючи видалити програму. Це попередження, як правило, виникає приблизно раз на тиждень, хоча користувач має можливість сказати "не нагадуй мені більше".

Антивірусні програми

З: Чи сторонні додатки безпеки захищають мене ще від більш небезпечних додатків Play Store?

Людвіг: Захист, вбудований в Google Play, дуже міцний. Користувачам, які встановлюють додатки за межами Google Play, ми настійно рекомендуємо увімкнути Verify Apps, який надається на пристроях Android під керуванням Android 2.3 або новіших версій (тобто понад 99 відсотків пристроїв Android), на яких встановлено Google Play.

У 2014 році, згідно з даними Verify Apps, зібраними Google, і ігноруючи вкорінені програми, які навмисно встановлені користувачами, менше 0, 15 відсотків додатків, встановлених за межами Google Play, на американські англійські пристрої були віднесені до категорії потенційно шкідливих програм. Зважаючи на вбудований захист, що надається Verify Apps, та низьку частоту зустрічей встановлення PHA, потенційна користь для безпеки додаткового рішення щодо безпеки дуже мала.

Спеціальні ПЗУ

Питання: Чи застосовуються будь-які функції безпеки Google до користувачів, які встановили сторонні версії Android (читайте: спільно створені ПЗУ)?

Людвіг: Так, сторонні ROM-ROM, як правило, побудовані на AOSP, тому вони підтримують Android-пісочницю, і багато з них використовують додатки Google, включаючи наші служби безпеки.

І там у вас є. Google робить неймовірну кількість роботи, щоб захистити Android, і величезна частина цього готується до того, що буде далі. Але це завжди буде трохи котячо-мишача гра. Як це було завжди, захист пристрою - це те, щоб знати про те, куди ви натискаєте, що ви встановлюєте, та бути максимально поінформованим.

Обов’язково ознайомтеся з рештою наших серій безпеки, якщо хочете дізнатися більше.