Чи це QuadRooter раніше 2016 року, чи Gooligan ще недавно, новини наповнені повідомленнями про жахливі вразливості безпеки Android. Часто їх випускають на світ охоронні компанії, які продають товар, і видувають з усіх пропорцій мейнстрім.
Такі дослідження є важливою роботою дуже розумних людей. Але не помиляйтесь, мета - активізувати рекламу та (зрештою) продати вам програмне забезпечення безпеки. Ось чому нові вульси Android виходять із влучними прізвиськами, а іноді навіть логотипами - особливо в часи проведення великих хакерських конференцій, таких як Defcon та Black Hat. Це акуратна заздалегідь упакована історія, яка обов'язково приверне увагу, легко перетворившись на заголовки на кшталт "Обережно, користувачі Android: Більше 900 мільйонів смартфонів уразливі для цього калічного хака". (До речі, це був британський таблоїд The Mirror на QuadRooter.)
Це звучить страшно, але це цікаво тим, хто робить розкриття (і, будьмо чесними, нахабні Інтернет-ЗМІ) махати руками і робити так, як це здається якомога поганіше.
Існує багато типів вразливості програмного забезпечення, і майже неможливо гарантувати, що будь-яке програмне забезпечення є повністю бездоганним - особливо в такому складному, як смартфон. Але давайте зосередимось на програмі зловмисного програмного забезпечення, оскільки це найпоширеніший вектор атаки. Найпростіший спосіб поганим хлопцям робити погані речі на телефоні чи ваших даних - це встановити шкідливий додаток. Після цього додаток може використовувати вразливості в ОС, щоб захопити ваш пристрій, викрасти ваші дані, коштувати вам грошей чи чогось іншого.
Коли вразливість безпеки зростає на iOS, Apple видає оновлення програмного забезпечення і це виправлено. Через повний контроль Apple має над iPhone, це означає, що пристрої виправляються досить швидко, і все добре.
На iPhone все, що має значення, знаходиться всередині ОС. В Android він розділений між ОС та Play Services.
На Android це не так просто. Google безпосередньо не оновлює прошивку на мільярд або близько Android телефонів, і тому лише невелика жменька має останню версію ОС. Але це не означає, що їм доведеться пропустити нові функції, API та захист від зловмисного програмного забезпечення.
Служби Google Play - це додаток на системному рівні, який оновлюється у фоновому режимі Google на кожному телефоні Android, починаючи з випуску пряників 2010 року. Крім надання API, які дозволяють розробникам взаємодіяти з сервісами Google, а також переносити багато функцій до старих версій Android, Play Services відіграють важливу роль у безпеці Android.
Функція "Перевірити додатки" Служб Play - це брандмауер Google проти зловмисного програмного забезпечення на основі додатків. Він був представлений у 2012 році та вперше його включено за замовчуванням в Android 4.2 Jelly Bean. На момент написання повідомлення 92, 4% активних пристроїв Android працює з версією 4.2 і новішої версії, а старіші версії можуть ввімкнути її в додатку Налаштування Google.
Перевірка додатків працює аналогічно традиційному сканеру вірусів на ПК: Кожен раз, коли користувач встановлює додаток, Verify Apps шукає шкідливий код та відомі подвиги. Якщо вони там, додаток буде заблоковано прямо - відображається повідомлення про те, що "Установка заблокована". В інших, менш підозрілих випадках натомість може відображатися попереджувальне повідомлення, з можливістю встановити все одно. (І Verify Apps також можуть допомогти видалити відомі зловмисні програми, які вже встановлені.)
Незважаючи на те, що базовий подвиг все ще існує, це не дає можливість поганим хлопцям скористатися уразливими можливостями після того, як вони з'являться. Завдяки постійному оновленню Play Services у фоновому режимі, в основному, на всій базі користувачів Google Android, як тільки Google повідомляє про основну вразливість (часто до того, як громадськість почує про це), її виправлено через Verify Apps.
Перевірити додатки - це остання лінія захисту, але вона є дуже ефективною.
Хоча метод відрізняється від iOS, результат той самий. Власник платформи оновлює свою безпеку - Apple через оновлення ОС, Google через Play Services - і користувачі захищені. Можна цілий день сперечатися щодо того, хто з них кращий чи надійніший, але той факт, що нам ще не доведеться передбачити шкідливий ПО Android, свідчить про те, що метод Google працює досить добре. Це не означає, що інші кроки, такі як щомісячні виправлення безпеки Google, не є важливими. Хоча Verify Apps є останньою лінією захисту, вона є дуже ефективною.
Давайте зробимо крок назад ще далі - щоб навіть дійти до точки встановлення шкідливого додатку, користувачеві довелося б відключити прапорець "невідомі джерела", щоб дозволити встановлення додатків за межами Google Play Store. Для більшості людей це не те, що вони коли-небудь роблять. Програми надходять із магазину Play, і це все. Google контролює та використовує додатки в магазині Play і постійно сканує нечесні програми. Якщо ви встановлюєте лише додатки звідти, як правило, у вас все добре.
Безповідні звіти, в яких згадуються сотні мільйонів вразливих пристроїв Android, звичайно, нічого з цього не згадують. Наприклад, у випадку вразливості QuadRooter, якщо припустити, що ви перебуваєте на впливовій версії Android, спочатку потрібно буде відключити прапорець "невідомі джерела", потім перейти в Налаштування Google> Безпека та відключити сканування додатків. Тоді, якщо ви вирішили завантажити та встановити заражений додаток із шкідливого куточка Інтернету, вас постраждають. Більшість людей це не кроки, а також не речі, які відбуватимуться за власним бажанням.
Це цифровий еквівалент підпирання відкритих дверей, кидання ваших ключів на проїжджій дорозі та зведення великого знаку на вашій галявині з написом "Безкоштовні речі всередину, заходь".
Це не означає, що за останні кілька років не було жодної чи двох справді загрозливих проблем безпеки Android. Найгіршим на сьогоднішній день став Stagefright, який призвів до того, що Google встановила режим щомісячних патчів безпеки. Stagefright був особливо поганий, оскільки міг вплинути на телефони, лише відтворюючи мультимедійні файли. Існує велика різниця між цим і шкідливим програмним забезпеченням у вигляді програми, яку потрібно встановити.
Якщо мова йде про що-небудь у формі APK, існуючі гарантії безпеки Android вже захищають переважну більшість людей, навіть якщо вони не в найновішій версії.
Тож ці звіти про сотні мільйонів пристроїв Android "вразливі" до того чи іншого? Теоретично, якщо ви відмовитесь від відключення всіх вбудованих гарантій Android, обов'язково. У реальному світі не так багато.
