Logo lv.androidermagazine.com
Logo lv.androidermagazine.com
» Programmatūra
Programmatūra

Android drošība - q & a ar google adrian ludwig

Android drošība - q & a ar google adrian ludwig

Satura rādītājs:

Anonim

Nesen mēs daudz runājām par jūsu Android ierīces drošību, un sarunai turpinoties, bija skaidrs, ka ir jautājumi, uz kuriem ir jāatbild personai, kurai ir lielāka autoritāte. Lietas, piemēram, tas, vai tālrunim ir nepieciešama pretvīrusu programmatūra, ļaunprātīgas programmatūras identificēšana un pārliecība, ka ierīces ikdienā parasti ir drošas, ir tēmas, kuras ir kļuvušas nevajadzīgas. Lai gan mēs zināmu vainu tam varam likt uz šķietami nebeidzamajiem rakstiem, kas stāsta par visu tur esošo programmatūru, kas paredzēta Android lietotāju izmantošanai, tomēr ir arī daži pamatoti jautājumi par Android drošību, kuriem nav vienkārša, vienkārša atbildes.

Lai palīdzētu risināt šo problēmu, mēs esam gājuši tieši pie avota. Adrians Ludvigs, galvenais Google drošības inženieris Google, pa e-pastu sniedza zināmu laiku, lai sniegtu atbildes, kuras mēs meklējām.

: Android drošība - jautājumi un atbildes ar Google Adrianu Ludvigu

Google loma

J: Ko tieši Google mēģina pasargāt no saviem Android lietotājiem?

Ludvigs: Mēs izstrādājām Android, izmantojot vairākus drošības līmeņus - sākot ar ierīces aparatūras funkcijām (Trustzone, NX), izmantojot operētājsistēmu (Application Sandbox, SELinux, ASLR) un beidzot ar lietojumprogrammām un pakalpojumiem, ko nodrošina Google (Google Play, Device Manager, Pārbaudīt lietotnes utt.) Mēs arī atbalstām jauninājumus drošības jomā, ļaujot trešajām pusēm piedāvāt drošības risinājumus.

Mūsdienās aktuālākie drošības draudi, ar kuriem saskaras mobilās ierīces, ir šādi: 1. Pazaudētas un nozagtas ierīces (kurām mēs nodrošinām tādas aizsardzības funkcijas kā bloķēšanas ekrāns, ierīču šifrēšana un Android ierīces pārvaldnieks). 2. Tīkla līmeņa uzbrukumi (kuriem Android nodrošina kriptogrāfijas pakalpojumus un pakļauj tos minimāla uzbrukuma virsma, ja pēc noklusējuma nav klausīšanās pakalpojumu) 3. potenciāli kaitīgas lietojumprogrammas (kurām visām ir paredzēta Android lietojumprogrammu smilšu kaste, Google Play programmu pārskats un Verify Apps)

Kad mēs dzirdam par jauniem iespējamiem draudiem, mēs sākam tos iekļaut mūsu nākotnes plānos un dizainā.

Atbalsta politika

J: Cik ilgi Google piedāvā atbalstu tādām lietām kā drošības ievainojamības, kas tiek atklātas operētājsistēmā?

Ludvigs: Mūsu pieeja Android drošības atbalsta politikai ir nodrošināt atjauninājumus visur, kur mēs ticam, ka tie tiks faktiski piegādāti lietotājiem un uzlabos drošību. Praksē tas nozīmē, ka mēs sniedzam dažādu veidu atbalstu iespējamiem drošības jautājumiem:

  1. Ja problēmu var atrisināt, atjauninot pārlūku Chrome, Gmail, Google Play vai jebkuru citu Google lietojumprogrammu, mēs to atrisināsim visās Android versijās, kurās ir pieejama katra lietojumprogramma.
  2. Google Nexus ierīces un Google Play izdevuma ierīces regulāri un laikus saņem drošības atjauninājumus.
  3. Mēs piedāvājam ielāpus pašreizējai Android filiālei Android atvērtā pirmkoda projektā (AOSP) un tieši nodrošinām Android partnerus ar ielāpiem vismaz pēdējām divām operētājsistēmas galvenajām versijām. Pašlaik mēs piedāvājam atpakaļnosūtījumus drošības problēmām, kas attiecas uz operētājsistēmu Android 4.3 un jaunākām versijām. WebKit operētājsistēmā Android 4.3 ir vienīgais izņēmums. Tas tiek atbalstīts operētājsistēmas Android 4.4 un jaunākās versijās kā binārs atjauninājums. Neskatoties uz to, kad OEM pieprasīs palīdzību, lai izstrādātu ierīces, kurai darbojas vecāka platformas versija, plāksteri un viņi apņemas piegādāt šo plāksteri ierīcēm kā OTA, mēs viņiem sniegsim palīdzību.
  4. Ja iespējams, mēs atjauninām arī Google drošības pakalpojumus Android, lai nodrošinātu papildu aizsardzības līmeni visām Android ierīcēm neatkarīgi no tā, vai tās joprojām atbalsta OEM. Tas ietver potenciāli kaitīgu lietojumprogrammu un citas drošības uzvedības pārbaudi.
  5. Mēs arī sniedzam lietojumprogrammu izstrādātājiem informāciju un rīkus, lai nodrošinātu viņu lietojumprogrammu aizsardzību pret iespējamām drošības problēmām. Tas ietver API nodrošināšanu Google Play pakalpojumos, piemēram, atjaunināmo drošības nodrošinātāju, ko Google var atjaunināt bez ierīces OTA. Mēs piedāvājam arī labāko praksi, kas var palīdzēt izstrādātājiem pārliecināties, ka viņu lietojumprogrammas darbojas droši visās Android ierīcēs, neatkarīgi no tā, vai tās joprojām atbalsta OEM. Nesen esam sākuši skenēt lietojumprogrammas pakalpojumā Google Play, lai atklātu iespējamās drošības ievainojamības, un paziņot izstrādātājiem, kad šī ievainojamība tiek atklāta.
  6. Visbeidzot, bet ne mazāk svarīgi, mēs dalāmies ar informāciju par drošības jautājumiem (ieskaitot informāciju, kas mums ir par labojumiem un jebkuru zināmu izmantošanu) ar Android partneriem, lai pārliecinātos, ka viņi saprot šo problēmu, ieskaitot riskus, kas saistīti ar ierīcēm, kuras nesaņem šīs problēmas atjauninājumu. Tas ietver testēšanas pievienošanu saderības testa komplektā potenciālajām drošības problēmām, lai samazinātu iespēju, ka OEM nejauši piegādā ierīci ar zināmu drošības problēmu.

Lietotāja kontrole

J: Ja kāda lietotne tiek uzskatīta par ļaunprātīgu, bet ne vienmēr bīstamu - piemēram, lietotne, kas paziņojuma teknē izspiež nevēlamas reklāmas - kādi rīki ir pieejami lietotājiem?

Ludvigs: Android lietotājiem nodrošina vadības ierīces, kas ļauj viņiem kontrolēt ierīces pieredzi. Tas ietver tādas iespējas kā lietojumprogrammu atļauju skatīšana, tādu iestatījumu konfigurēšana kā programmas spēja parādīt paziņojumus vai spēja jebkurā laikā atspējot vai noņemt lietojumprogrammas.

Ja paziņojums ir nevēlams, lietotājs var ilgi nospiest paziņojumu, lai redzētu, kura lietotne to izveidoja, un pēc tam mainīt lietojumprogrammas paziņojumu iestatījumus vai atinstalēt lietojumprogrammu.

Drošības pārbaudes

J: Kas notiek, kad Google nosūta ziņojumu, kas brīdina ļaunprātīgas lietotnes lietotājus, un lietotājs šo lietotni nenoņem vai nu tāpēc, ka izvēlas to nedarīt, vai ziņojums tika nejauši noraidīts?

Ludvigs: Ir vairākas liekas drošības pārbaudes, kuru mērķis ir pārliecināties, ka lietotne, par kuru ir zināms, ka tā ir potenciāli kaitīga, netiks nejauši instalēta. Katrā no šīm pārbaudēm vairums lietotāju, kuri saņem brīdinājumu par potenciāli kaitīgu lietotni, izvēlas neturpināt.

Šīs ir visas galvenās darbības:

Google ir integrējis brīdināšanas sistēmu par zināmām potenciāli kaitīgām lietotnēm daudzu mūsu lietotņu aizmugurē. Tā, piemēram, pārlūks Chrome ar drošu pārlūkošanu var brīdināt lietotāju, pirms viņš pat lejupielādē lietotni no vietnes, izskatās, ka viņi atrodas vietnē, kas mitina potenciāli kaitīgas lietotnes.

Ja viņi tomēr izvēlas lejupielādēt un instalēt, instalēšanas laikā viņi saņems brīdinājumu (kā arī citu informāciju, piemēram, lietojumprogrammu atļaujas, kas var palīdzēt izlemt, vai viņi vēlas instalēt).

Ja viņi joprojām nolemj turpināt, lietojumprogramma tiek instalēta, taču tā joprojām neko nevar izdarīt, kamēr lietotājs faktiski nenolemj palaist lietotni. Tāpēc viņiem ir vēl viena iespēja izvēlēties noņemt lietojumprogrammu, pirms tā, iespējams, varētu radīt jebkādu kaitējumu.

Neatkarīgi no tā, vai viņi izvēlas palaist lietotni, ja tā ir instalēta viņu ierīcē, fona skenēšana verificēt lietotnes atzīmēs lietotni un sniegs vēl vienu brīdinājumu, kurā ieteikts noņemt lietotni. Šis brīdinājums parasti notiek apmēram reizi nedēļā - lai gan lietotājam ir iespēja pateikt "neatgādināt man vēlreiz".

Antivīrusu lietotnes

J: Vai trešo pušu drošības lietotnes mani vēl vairāk aizsargā no potenciāli kaitīgajām Play veikala lietotnēm?

Ludvigs: Google Play iebūvētās aizsardzības ir ļoti spēcīgas. Lietotājiem, kas instalē lietotnes ārpus Google Play, mēs ļoti iesakām iespējot Verify Apps, kas tiek nodrošināta Android ierīcēs, kurās darbojas operētājsistēma Android 2.3 vai jaunāka (tas ir vairāk nekā 99 procenti Android ierīču), kurās ir instalēta Google Play.

2014. gadā saskaņā ar Google apkopotajiem Verify Apps datiem un ignorējot sakņošanās lietotnes, kuras lietotāji apzināti instalēja, mazāk nekā 0, 15 procenti programmu, kas instalētas no Google Play ārpus ASV angļu ierīcēm, tika klasificētas kā potenciāli kaitīgas lietojumprogrammas. Ņemot vērā iebūvēto aizsardzību, ko nodrošina Verify Apps, un PHA instalēšanas biežumu, papildu drošības risinājuma potenciālais ieguvums drošībai ir ļoti mazs.

Pielāgoti ROM

J: Vai kāds no Google drošības elementiem attiecas uz lietotājiem, kuri ir instalējuši trešo pušu Android versijas (lasīt: kopienas veidoti ROM)?

Ludvigs: Jā, trešo pušu ROM parasti tiek veidoti uz AOSP, tāpēc tie atbalsta Android smilšu kasti, un daudzi no viņiem izmanto Google lietojumprogrammas, ieskaitot mūsu drošības pakalpojumus.

Un tur jums tas ir. Google veic neticami daudz darba, lai saglabātu Android drošību, un milzīga daļa no tā tiek sagatavota visam, kas notiks tālāk. Bet tā vienmēr būs nedaudz kaķu un peļu spēle. Kā vienmēr, ierīces drošībā ir jāapzinās, kur pieskaraties, ko instalējat, un jābūt pēc iespējas informētākai.

Noteikti apskatiet pārējās mūsu drošības sērijas, ja vēlaties uzzināt vairāk.

Programmatūra

Izvēle redaktors