Logo sv.androidermagazine.com
Logo sv.androidermagazine.com
» Programvara
Programvara

Android-säkerhet - en fråga & fråga med Googles adrian ludwig

Android-säkerhet - en fråga & fråga med Googles adrian ludwig

Innehållsförteckning:

Anonim

Vi har pratat mycket om säkerhet på din Android-enhet nyligen, och när konversationen fortsatte var det tydligt att det fanns frågor som måste besvaras av en person med en större myndighet. Saker som om du behöver antivirusprogram för din telefon, identifiera skadlig programvara och vara säker på att dina enheter i allmänhet är säkra genom daglig användning är ämnen som har blivit onödigt leriga. Även om vi kan placera en del av skylden för detta på den till synes oändliga spärren av artiklar som berättar om all mjukvara som finns för att utnyttja Android-användare, finns det också några legitima frågor om Android-säkerhet som inte har enkel, enkel svar.

För att hjälpa till att ta itu med detta har vi gått direkt till källan. Adrian Ludwig, ledande ingenjör för Android-säkerhet hos Google, tog lite tid via e-post för att ge de svar vi har letat efter.

: Android-säkerhet - en fråga och svar med Googles Adrian Ludwig

Googles roll

F: Vad exakt försöker Google skydda sina Android-användare från?

Ludwig: Vi designade Android med flera säkerhetslager - Börjar med enhetshårdvarufunktioner (Trustzone, NX), via operativsystemet (Application Sandbox, SELinux, ASLR) och upp till applikationer och tjänster som Google tillhandahåller (Google Play, Device Manager, Verifiera appar osv). Vi uppmuntrar också säkerhetsinnovation genom att möjliggöra för tredje parter att tillhandahålla säkerhetslösningar.

De mest pressande säkerhetshoten som mobila enheter står inför idag inkluderar: 1. Förlorade och stulna enheter (för vilka vi ger skydd som låsskärm, enhetskryptering och Android Device Manager) 2. Attacker på nätverksnivå (för vilka Android tillhandahåller kryptografiska tjänster och exponerar en minimal attackyta genom att inte ha några lyssningstjänster som standard) 3. Potentiellt skadliga applikationer (för vilka Android-applikationssandlådan, Google Play-granskning av applikationer och Verifiera appar alla är utformade)

När vi hör till ett nytt potentiellt hot börjar vi integrera det i våra framtida planer och design.

Supportpolicy

F: Hur länge erbjuder Google support för saker som säkerhetsproblem som upptäcks i operativsystemet?

Ludwig: Vår strategi för en supportpolicy för Android-säkerhet är att tillhandahålla uppdateringar överallt där vi tror att de faktiskt kommer att levereras till användare och förbättra säkerheten. I praktiken innebär detta att vi erbjuder flera olika typer av stöd för potentiella säkerhetsproblem:

  1. Om ett problem kan lösas genom att uppdatera Chrome, Gmail, Google Play eller ett antal Google-applikationer - löser vi problemet på ett sätt som går tillbaka till alla Android-versioner som varje applikation är tillgänglig på.
  2. Google Nexus-enheter och Google Play-utgåvanheter får regelbundet säkerhetsuppdateringar i tid.
  3. Vi tillhandahåller korrigeringsfiler för den nuvarande grenen av Android i Android Open Source Project (AOSP) och ger direkt Android-samarbetspartner för åtminstone de två senaste stora versionerna av operativsystemet. För närvarande tillhandahåller vi backportar för säkerhetsproblem som täcker Android 4.3 och högre. WebKit på Android 4.3 är undantaget. Det stöds på Android 4.4 och senare som en binär uppdatering. Men när en OEM begär hjälp med att utveckla en patch för en enhet som kör en äldre version av plattformen och de förbinder sig att leverera den patch som en OTA till enheter, kommer vi att ge dem hjälp.
  4. När det är möjligt uppdaterar vi också Googles säkerhetstjänster för Android för att ge ett ytterligare lager av skydd för alla Android-enheter, oavsett om de fortfarande stöds av OEM: er. Detta inkluderar kontroll av potentiellt skadliga applikationer och annat säkerhetsbeteende.
  5. Vi ger också applikationsutvecklare information och verktyg för att se till att deras applikationer är skyddade mot potentiella säkerhetsproblem. Detta inkluderar tillhandahållande av API: er inom Google Play-tjänster, till exempel den uppdaterbara säkerhetsleverantören som kan uppdateras av Google utan en OTA-enhet. Vi tillhandahåller även bästa praxis som kan hjälpa utvecklare att se till att deras applikationer fungerar säkert på alla Android-enheter, oavsett om de fortfarande stöds av OEM: er. Nyligen har vi börjat skanna applikationer i Google Play efter potentiella säkerhetsproblem och meddela utvecklare när dessa sårbarheter upptäcks.
  6. Sist, men inte minst, delar vi information om säkerhetsproblem (inklusive information som vi har om korrigeringar och eventuell känd exploatering) med Android-partners för att se till att de förstår problemet, inklusive riskerna för enheter som inte får en uppdatering för problemet. Detta inkluderar att lägga till tester för potentiella säkerhetsproblem i Compatibility Test Suite för att minska risken att en OEM oavsiktligt skickar en enhet med ett känt säkerhetsproblem.

Användarkontroll

F: Om en app har bedömts vara skadlig men inte nödvändigtvis farlig - till exempel en app som skräppost meddelandefacket med oönskade annonser - vilka verktyg finns tillgängliga för att hjälpa användare?

Ludwig: Android ger användare kontroller som gör att de kan kontrollera upplevelsen på sin enhet. Detta inkluderar funktioner som visning av applikationsbehörigheter, konfigurering av inställningar som en applikations förmåga att visa aviseringar eller möjligheten att avaktivera eller ta bort program när som helst.

Om ett meddelande är oönskat kan användaren länge trycka på meddelandet för att se vilken app som producerade den och sedan ändra applikationens inställningar för avisering eller avinstallera applikationen.

Säkerhetskontroller

F: Vad händer när Google skickar ett meddelande som varnar användare för en skadlig app och användaren inte tar bort appen, antingen för att de väljer att inte eller meddelandet avvisades av misstag?

Ludwig: Det finns flera redundanta säkerhetskontroller som är utformade för att se till att en app som är känd som potentiellt skadlig inte kommer att installeras av misstag. Vid var och en av dessa kontroller väljer majoriteten av användare som får en varning om en potentiellt skadlig app att inte fortsätta.

Här är alla de viktigaste stegen:

Google har integrerat sitt varningssystem för kända potentiellt skadliga appar i backend för många av våra appar. Så till exempel kan Chrome-webbläsaren med Safe Browsing varna användaren innan de ens laddar ner en app från en webbplats att det ser ut som om de finns på en webbplats som är värd för potentiellt skadliga appar.

Om de väljer att ladda ner och installera ändå, skulle de få en varning vid installationstiden (liksom annan information, till exempel applikationens behörigheter som kan hjälpa dem att avgöra om de vill installera).

Om de fortfarande beslutar att fortsätta är applikationen installerad, men den kan fortfarande inte göra någonting förrän användaren faktiskt beslutar att köra appen. Så de har ytterligare en chans att välja att ta bort applikationen innan den eventuellt kan orsaka skada.

Oavsett om de väljer att köra appen eller inte, om den är installerad på deras enhet kommer sedan Verifiera appens bakgrundsskanning att markera appen och ge en annan varning som rekommenderar att de tar bort appen. Denna varning kommer vanligtvis att inträffa ungefär en gång i veckan - även om användaren har möjlighet att säga "påminn mig inte igen."

Antivirus-appar

F: Håller tredjeparts säkerhetsappar mig ännu säkrare från potentiellt skadliga Play Store-appar?

Ludwig: De skydd som är inbyggda i Google Play är mycket robusta. För användare som installerar appar utanför Google Play rekommenderar vi starkt att de aktiverar Verify Apps, som finns på Android-enheter som kör Android 2.3 eller senare (det är mer än 99 procent av Android-enheter) som har Google Play installerat.

2014, enligt Verify Apps-data som samlats in av Google och ignorerar rooting-appar som avsiktligt installerades av användare, klassificerades färre än 0, 15 procent av applikationer installerade utanför Google Play till amerikanska engelska enheter som potentiellt skadliga applikationer. Med tanke på det inbyggda skyddet som tillhandahålls av Verify Apps och den låga frekvensen av installation av PHA: er är den potentiella säkerhetsfördelen med en ytterligare säkerhetslösning mycket liten.

Anpassade ROM: er

F: Gäller någon av Googles säkerhetsfunktioner för användare som har installerat tredjepartsversioner av Android (läs: community-made ROMs)?

Ludwig: Ja, ROM-enheter från tredje part är vanligtvis byggda på AOSP, så de stöder Android-sandlådan, och många av dem använder Googles applikationer, inklusive våra säkerhetstjänster.

Och där har du det. Google gör otroligt mycket arbete för att hålla Android säker, och en stor del av det förbereds för vad som händer därefter. Men det kommer alltid att vara lite av ett katt-och-mus-spel. Som alltid varit fallet handlar det om att hålla din enhet säker om att vara medveten om var du knackar, vad du installerar och att vara så informerad som möjligt.

Var noga med att kolla in resten av vår säkerhetsserie om du vill veta mer.

Programvara

Redaktörens val