Защита на Android - въпроси и въпроси с адрианската лудгига на Google

Напоследък много говорихме за сигурността на вашето устройство с Android и докато разговорът продължи, беше ясно, че има въпроси, на които човек трябва да отговори на по-голям авторитет. Неща, като това дали имате нужда от антивирусен софтуер за телефона си, идентифициране на зловреден софтуер и да сте сигурни, че устройствата ви като цяло са безопасни чрез ежедневна употреба, са теми, които са станали ненужно кални. Въпреки че можем да поемем част от вината за това на пръв поглед безкраен набор от статии, разказващи ни за целия софтуер, който там е направен за експлоатация на потребители на Android, има и някои законни въпроси относно сигурността на Android, които нямат ясни, прости отговори.

За да се справим с това, отидохме направо към източника. Адриан Лудвиг, водещ инженер за защита на Android в Google, отне известно време по имейл, за да даде отговорите, които търсихме.

: Android Security - Въпроси и отговори с Адриан Лудвиг от Google

Ролята на Google

Въпрос: От какво точно се опитва Google да защити своите потребители на Android?

Лудвиг: Ние проектирахме Android, използвайки няколко слоя на сигурност - Започвайки от хардуерните функции на устройството (Trustzone, NX), през операционната система (Приложението за Sandbox, SELinux, ASLR) и до приложенията и услугите, които Google предоставя (Google Play, Диспечер на устройства, Потвърждаване на приложения и т.н.). Ние също така насърчаваме иновациите в сигурността, като даваме възможност на трети страни да предлагат решения за сигурност.

Най-належащите заплахи за сигурността, с които се сблъскват мобилните устройства в наши дни, включват: 1. Изгубени и откраднати устройства (за които ние осигуряваме защита като заключващ екран, криптиране на устройства и Android Device Manager) 2. Атаки на ниво мрежа (за които Android предоставя криптографски услуги и излага минимална повърхност за атака, като по подразбиране няма услуги за слушане) 3. Потенциално вредни приложения (за които са предназначени пясъчната кутия на приложението за Android, прегледът на Google Play на приложенията и верификационните приложения)

Когато чуем за нова потенциална заплаха, започваме да го включваме в бъдещите си планове и дизайн.

Политика за подкрепа

Въпрос: Колко време Google предлага поддръжка за неща като уязвимости в сигурността, които са открити в операционната система?

Лудвиг: Нашият подход към политиката за поддръжка за сигурността на Android е да предоставяме актуализации навсякъде, където смятаме, че те действително ще бъдат доставени на потребителите и ще подобрят сигурността. На практика това означава, че предоставяме множество различни видове поддръжка за потенциални проблеми със сигурността:

1. Ако даден проблем може да бъде решен чрез актуализиране на Chrome, Gmail, Google Play или произволен брой приложения на Google - ще разрешим проблема по начин, който се връща към всички версии на Android, в които всяко приложение е достъпно.
2. Устройствата на Google Nexus и устройствата с издание на Google Play редовно получават актуализации за сигурност навреме.
3. Предоставяме кръпки за текущия клон на Android в проекта с отворен код на Android (AOSP) и директно предоставяме на партньорите на Android пачове поне за последните две основни версии на операционната система. Понастоящем предоставяме задръжки за проблеми със сигурността, които обхващат Android 4.3 и по-нови. WebKit на Android 4.3 е ​​единственото изключение. Поддържа се на Android 4.4 и по-нова версия като двоична актуализация. Независимо от това, когато OEM заявява помощ при разработването на кръпка за устройство, което работи с по-стара версия на платформата и се ангажира да достави този патч като ОТА на устройства, ние ще им предоставим съдействие.
4. Където е възможно, ние също актуализираме услугите на Google за сигурност за Android, за да осигурим допълнителен слой защита за всички устройства с Android, независимо дали те все още се поддържат от OEM производители. Това включва проверка за потенциално вредни приложения и друго поведение на сигурността.
5. Също така предоставяме на разработчиците на приложения информация и инструменти, за да гарантираме, че техните приложения са защитени от потенциални проблеми със сигурността. Това включва предоставяне на API в Google Play Services, като актуализирания доставчик на сигурност, който може да бъде актуализиран от Google без OTA на устройство. Ние също така предоставяме най-добри практики, които могат да помогнат на разработчиците да гарантират, че приложенията им работят безопасно на всички устройства с Android, независимо дали те все още се поддържат от OEM производители. Наскоро започнахме да сканираме приложения в Google Play за потенциални уязвимости в сигурността и да уведомяваме разработчиците, когато тези уязвимости бъдат открити.
6. Не на последно място, но не на последно място споделяме информация за проблеми със сигурността (включително информация, която имаме за поправки и всяка известна експлоатация) с партньори за Android, за да сме сигурни, че разбират проблема, включително рисковете, свързани с устройства, които не получават актуализация за проблема. Това включва добавяне на тестове за потенциални проблеми със сигурността в тестовия пакет за съвместимост, за да се намали вероятността неволно OEM изпраща устройство с известен проблем със сигурността.

Потребителски контрол

Въпрос: В случай, че приложението се окаже злонамерено, но не е непременно опасно - например приложение, което спами таблата за известия с нежелани реклами - какви инструменти са на разположение, за да помогнат на потребителите?

Лудвиг: Android предоставя на потребителите контроли, които им позволяват да контролират опита на своето устройство. Това включва функции като преглед на разрешенията за приложения, конфигуриране на настройки като способността на приложението да показва известия или възможността по всяко време да деактивира или премахне приложения.

Ако дадено известие е нежелано, потребителят може дълго да натисне известието, за да види кое приложение го е произвело и след това да промени настройките за известия на приложението или да деинсталирате приложението.

Проверки за сигурност

Въпрос: Какво се случва, когато Google изпрати съобщение, предупреждаващо потребителите за злонамерено приложение и потребителят не премахва приложението, защото те решат да не или съобщението е отхвърлено случайно?

Лудвиг: Има множество излишни проверки за сигурност, които са предназначени да гарантират, че приложение, за което се знае, че е потенциално вредно, няма да бъде инсталирано случайно. При всяка от тези проверки по-голямата част от потребителите, които получават предупреждение за потенциално вредно приложение, решават да не продължават.

Ето всички основни стъпки:

Google интегрира своята система за предупреждение за известни потенциално вредни приложения в основата на много от нашите приложения. Така например браузърът Chrome със Safe Browsing може да предупреди потребителя преди дори да изтегли приложение от уебсайт, че изглежда, че е на уебсайт, който хоства потенциално вредни приложения.

Ако решат да изтеглят и инсталират така или иначе, ще получат предупреждение в момента на инсталиране (както и друга информация, като например разрешенията на приложението, които могат да им помогнат да решат дали искат да инсталират).

Ако все пак решат да продължат, приложението е инсталирано, но все още не може да направи нищо, докато потребителят действително не реши да стартира приложението. Така те имат още един шанс да изберат да премахнат приложението, преди да е възможно да причини някаква вреда.

Независимо дали избират да стартират приложението или не, ако е инсталирано на тяхното устройство, тогава сканирането на фона на сканиране на приложения ще маркира приложението и ще предостави друго предупреждение, препоръчващо премахването му. Това предупреждение обикновено се появява около веднъж седмично - въпреки че потребителят има възможност да каже „не ми напомняйте отново“.

Антивирусни приложения

Въпрос: Дали приложенията за сигурност на трети страни ме предпазват още по-сигурно от потенциално вредни приложения в Play Store?

Лудвиг: Защитите, вградени в Google Play, са много здрави. За потребители, които инсталират приложения извън Google Play, горещо препоръчваме те да активират Verify Apps, който се предлага на устройства с Android, работещи под Android 2.3 или по-нови (това е повече от 99 процента от устройства с Android), на които Google Play е инсталиран.

През 2014 г. според данните за проверка на приложения, събрани от Google и пренебрегващи приложения за вкореняване, които са били умишлено инсталирани от потребителите, по-малко от 0, 15 процента от приложения, инсталирани извън Google Play на американски английски устройства, бяха класифицирани като потенциално вредни приложения. Предвид вградената защита, осигурена от Verify Apps и ниската честота на срещане на инсталиране на PHA, потенциалната полза от сигурността на допълнително решение за сигурност е много малка.

Персонализирани ROM

Въпрос: Прилагат ли някоя от функциите за сигурност на Google за потребители, които са инсталирали трети версии на Android (четете: създадени от общността ROM)?

Лудвиг: Да, ROM-тата на трети страни обикновено са изградени на AOSP, така че те поддържат пясъчната кутия на Android и много от тях използват приложенията на Google, включително нашите служби за сигурност.

И там го имате. Google върши невероятно количество работа, за да запази безопасността на Android и огромна част от него се подготвя за всичко, което се случи по-нататък. Но винаги ще е малко игра на котка и мишка. Както винаги е било, запазването на устройството ви е безопасно да знаете къде слушате, какво инсталирате и да сте възможно най-информирани.

Не забравяйте да разгледате останалите от нашите серии за сигурност, ако искате да научите повече.