Android беше описван като „токсична пекла“ от уязвимости, но това вече не е така.
iPhone 14 Pro Max, Google Pixel 7 Pro, Xiaomi 13 Ultra и Galaxy S23 Ultra
В днешно време Android е една от най-използваните и сигурни операционни системи на планетата, но не винаги е било така. Всъщност още през 2014 г. ZDNet известен като Android "токсична пекла" от уязвимости, която след това беше цитирана от Тим Кук при представянето на iPhone същата година. Кук отбеляза, че Android е толкова фрагментиран и актуализациите пристигат толкова бавно, че няма начин да ги има бедните хора, които „купиха телефон с Android по погрешка“, можеха да се насладят навсякъде близо до сигурността на притежаването на своя iPhone по-добри.
Това обаче не е цялата история и със сигурност не е точна в наши дни.
Скромно начало
Спомняйки си за първия iPhone, той се свързваше през 2G, имаше някъде около 14 приложения и правеше снимки с огромно количество шум и зърнистост. Ползата за Apple обаче беше, че компанията направи хардуера и софтуера, включително всичките 14 от тези приложения, които преди App Store бяха всичко, което можете да използвате. Apple управляваше цялото изживяване, което също означаваше, че те могат да изпращат актуализации по всяко време.
За разлика от това, най-ранните дни на Android бяха малко по-различни, с много повече готвачи в пословичната кухня. Първо, Google ще пусне нова версия на Android, която след това е адаптирана от производителите на чипове, за да работи на който и да е процесор, който телефонът ви използва. След това производителят трябваше да направи своя път с Android, да добави нови функции или приложения и обикновено промени куп неща за това как изглежда - често към по-лошо. След това трябваше да отиде при вашия оператор, ако беше телефон с мрежова марка, и те щяха да се уверят, че работи в тяхната мрежа, като същевременно ровят Повече ▼ bloatware само за дяволите.
След това, ако сте имали късмет, може би шест месеца след стартирането на новата версия на Android, вие, като редовен човек, всъщност ще го получи на телефона си - заедно с няколко екстри, които може да имате или да нямате издирва се. За 99% от екосистемата на Android актуализациите работеха по този начин и това беше голяма болка. Нещо като да поръчате изискан хамбургер в ресторант и след това да трябва да чакате, докато собственикът на франчайза и сървърът добавят куп странни, груби гарнитури, които не сте поискали.
Единствените хора, на които техните смартфони с Android не отнемат цяла вечност, за да получат актуализации, които често включват и допълнителен софтуер, бяха собствениците на Google Nexus. Тези телефони работеха с ванилен Android и получаваха актуализации направо от Google, без нищо добавено към него. Проблемът беше, че те представляваха само малка част от парчето от непрекъснато разрастващия се Android пай.
Фрагментирането създава проблеми със сигурността
Цялата тази ситуация беше доста лоша поради куп причини и една голяма беше сигурността. Очевидно не е страхотно, ако Google или Qualcomm трябва да коригират грешка в сигурността по-нагоре по хранителната верига и след това трябва да изчакате допълнителни месеци, за да стигне до повечето устройства.
Това се влоши от естеството на Android по това време и отношението на производителите на телефони към актуализации. Софтуерните актуализации за съществуващи телефони често се възприемат като скучна работа — почти като че ли сте се прецакали, ако трябваше да направя такъв, защото каквото и да поправяте или добавяте, трябваше да е в оригиналния ROM. В резултат на това рекордът на актуализацията на почти всички в света на Android тогава беше основно ниво на контейнер за боклук според днешните стандарти. Водещите кораби биха получили една голяма актуализация на операционната система месеци по-късно, ако имаха късмет. Още по-лошото е, че корекциите за сигурност все още не са били нещо.
Сякаш не можеше да стане по-лошо, почти всички важни основни приложения за Android все още бяха запечени във фърмуера на този етап. Актуализациите на уеб браузъра, например, ще трябва да бъдат пакетирани в OTA и да изчакат да бъдат сертифицирани от производителя и оператора. Така че, ако се появи уязвимост в кода на двигателя на браузъра от, да речем, Google, нямаше начин корекциите да бъдат разпространени широко или бързо. Това означаваше, че различни хора ще останат на различни версии с различни персонализации и различни нива на уязвимост към зловреден софтуер и други неприятности. Следователно: фрагментация на Android.
Струва си да се каже, че iOS *в никакъв случай* не беше лишена от проблеми със сигурността, особено през първите няколко поколения на iPhone. Липсата на официален магазин за приложения беше голям стимул за script kiddies и белите хакери да разбият iPhone и да го накарат да прави нови и вълнуващи неща. Поне един основен начин за джейлбрейк на iPhone тогава включваше използване на грешка в браузъра. По принцип една уеб страница може да наруши сигурността на оригиналния iPhone.
Разликата беше, че Apple можеше да запуши тези дупки в сигурността много по-бързо, когато се появят, и да го направи през a много по-голяма част от потребителската база. Не е така от страна на Android.
Google беше лош, но Android сега е много по-добър
Всичко това беше „токсичната пекла“, която Google уж сервираше в дните на Android версии 4 и 5. Поглеждайки назад със задна дата, лесно е да се каже, че Google трябваше да направи повече, за да запази контрола над Android... или поставете системи от самото начало, за да помогнете на актуализациите да протичат по-свободно и често.
Струва си да си припомним обаче, че когато Android беше разработен за първи път през 2007 г., светът беше различно място. Смартфоните, които съществуваха, бяха предимно примитивни измишльотини за имейли за бизнесмени. Мобилните плащания далеч не бяха реалност. Uber нямаше да бъде основана още две години. Скромният ретуит дори не съществуваше.
Въпросът е, че тогава не беше ясно как през следващото десетилетие толкова много важни ежедневни задачи ще бъде свързано с вашия телефон, нито как ще се превърне в такава съкровищница от ценни, подлежащи на хакване лични данни. За заслуга на Google, през последните няколко години се промениха много неща, за да направят Android значително по-сигурен и да предоставят корекциите за сигурност по-бързо на повече хора. Причините за това са редица.
Например услугите на Google Play са нещо, което може да сте виждали да се актуализира на телефона ви и на което може би не сте обърнали много внимание. Въпреки това, това всъщност е изключително важна част от това как Google поддържа сигурността на Android и помага за въвеждането на нови функции от Android 13 в стария Galaxy S7 на вашата баба, който не е получавал нов фърмуер от години.
В случая с Play Services това е системно приложение, така че има привилегирован достъп от ниво A+ Platinum от най-високо ниво до всичко на вашия телефон. То може да направи много повече от обикновено приложение, което бихте изтеглили от Play Store, като например да инсталира или изтрие други приложения или дори дистанционно да изтрие вашето устройство, ако е изгубено или откраднато.
Системните приложения като Play Services трябва да бъдат заредени на телефона ви от производителя, но след като са там, могат да се актуализират автоматично във фонов режим. Това означава, че новите версии могат безопасно да добавят нови функции и функционалност. А Play Services има пипала из цялата операционна система, поради което например функцията за избор на защитени снимки на Android 13 може да се разпространи на телефони, работещи с много по-стари версии на операционната система, без да е необходимо да се инсталира нов фърмуер.
Play Services също така включва Google Play Protect, възможност за антизловреден софтуер на ниво операционна система Android, която може да спре злонамерени приложения, преди да бъдат инсталирани, или да ги премахне, ако вече са там. Другото важно нещо за Play Services е, че поддържа абсолютно стари версии на Android. Google обикновено спира само поддръжката на Play Services във версии на Android, които са на около десет години. В момента е лято 2023 г. и текущата версия на Play Services се поддържа чак до Android 4.4 KitKat от 2013 г. Тази привидно произволна част от любопитни факти е важна, защото ви помага да останете разумно защитени дори на много по-стари версии на Android. Това само по себе си е голяма част от стратегията за сигурност на Android.
Интересното е, че услугите на Play изиграха интересна роля в отговора на COVID-19 на много страни по света. Актуализация, разпространена чрез Play Services, беше начинът, по който Google успя да пусне системата за уведомяване за експозиция, която беше разработила с Apple, по същество за цялата потребителска база на Android с един замах. Без Play Services, този вид начинание щеше да отнеме месеци и нямаше да достигне толкова много хора.
Всъщност е доста лудо да се мисли, че усилията на Google да коригира фрагментацията на Android почти десетилетие по-рано вероятно косвено в крайна сметка спасиха доста животи по време на пандемията.
Сценична треска
Приложенията за злонамерен софтуер са едно нещо, но има и други начини, по които лошите участници могат да се опитат да поемат контрола над телефона ви или да откраднат данните ви. Браузър експлойтите бяха доста голяма част от това и сега браузърът Chrome и WebView кодът за уеб съдържание в други приложения се актуализират през Play Store. Всъщност това се отнася за цял куп различни части на Android, които някога изискваха актуализация на фърмуера. Други включват Google Phone dialer, Android Messages и безброй задкулисни приложения.
И така, да речем, че днес през 2023 г. е открит злонамерен браузър, при който злонамерена уеб страница може да срине телефона ви или да открадне паролите ви, или да накара приложението Starbucks да обърка поръчката ви. Няма значение коя версия на Android използвате, Google може да изтласка актуализации чрез Play Store, обхващащи както самия Chrome, така и всяко друго приложение, което показва уеб съдържание. В дните на така наречения токсичен hellstew, внедряването на същата корекция щеше да изисква пълна актуализация на фърмуера, за да излезе към всеки телефон с Android: много повече работа за много повече хора и вместо това щеше да отнеме месеци или дори години дни.
Друг вид експлойт беше голяма новина в света на сигурността на Android през 2015 г. Грешката „Stagefright“ засегна частта от Android, която обработваше изобразяването на изображения и видео: снимка, която е била подправена по правилния начин, може да причини лоши неща на телефона ви. Това беше голям проблем, защото тогава този компонент на Stagefright не можеше да бъде актуализиран без пълна актуализация на фърмуера. Отново: много допълнителна работа, сертифициране и чакане, докато потенциално цифровият еквивалент на обитавана от духове картина може да разбие телефона ви широко отворен по всяко време.
Последиците от този призрачен страх за сигурността на Stagefright бяха двойни: Първо, Google започна да пуска месечни корекции за сигурност за Android, обвързвайки вашето ниво на сигурност с конкретна дата. Не само това, но накара Google да се заеме много по-сериозно с превръщането на Android в модулен модул, така че части от операционната система като Stagefright да могат да се актуализират чрез Play Store, без да е необходима пълна актуализация на фърмуера.
Нови корекции за сигурност на Android все още излизат всеки месец до ден днешен. И те покриват и по-стари версии на операционната система, а не само най-новите, така че дори ако телефонът все още е с Android 11 или 12, той все още може да бъде защитен. В общи линии, Google Pixel и флагманите на Samsung получават първи корекции за сигурност, а други като Motorola тичат потно зад останалата част от екосистемата, пускайки договорния минимум от една корекция на тримесечие.
Това е другата страна на това уравнение: Google сега законно изисква от производителите на телефони да се ангажират с минимално ниво на поддръжка, ако искат Android с услуги на Google на своите устройства. Още през 2018 г. На ръба докладвани че Google изисква две години корекции за сигурност, които излизат поне веднъж на всеки 90 дни
В наши дни популярни марки като Samsung и OnePlus обещават четири години актуализации на операционната система и пет години пачове за сигурност, вероятно с известно насърчение от Google зад кулисите.
Въпреки че актуализациите излизат много по-често в днешно време, те все още изискват много инженерна работа, особено когато е голяма актуализация, като изцяло нова версия на операционната система. Android не изглежда като One UI на Samsung или ColorOS на Oppo, когато напусне фабриката за шоколад Mountain View на Google, нали? И в ранните дни вие, като Samsung или Oppo, ще трябва да включите тази изцяло нова версия на Android във вашия персонализиран форк на предишната версия. Това е нещо като да се опитвате да размените някои от съставките, след като едно ястие е вече приготвено - в крайна сметка трябва да започнете почти от нулата.
Решението на Google? По принцип, телевизионна чиния за вечеря: сервирате ястието в две различни секции. Вие отделяте персонализациите на производителя – всички неща от One UI или ColorOS – от основната операционна система. А това означава, че можете по-лесно да актуализирате едното, без да се забърквате с другото. Цялото това начинание се нарича Project Treble и въпреки че не можете да го видите на телефона си, може би сте забелязали как устройството с Android, което притежавате днес, получава актуализации доста по-бързо от това, което сте използвали седем или осем години преди.
Освен това Google започна да споделя бъдещи версии на Android с OEM производители на много по-ранен етап. Така че по времето, когато първите визуализации на разработчика на Android 14 бяха публични, хора като Samsung вероятно са го надничали зад кулисите от няколко месеца. Що се отнася до корекциите за сигурност, те се споделят частно месец по-рано, за да дадат преднина на производителите.
Така че, въпреки че всичко това е добре, хората често държат телефоните си за по-дълго от няколко години. Пускането на нов фърмуер все още е нетривиално количество работа и тези инженери не работят безплатно. Основна линия на проекта през 2019 г. направи самия Android по-модулен, със софтуерни модули за неща като WiFi, Bluetooth, обработка на медии и много други. След това тези модули могат да бъдат директно актуализирани от Google или производителя поотделно, без да се налага да преминавате през целия процес на актуализиране на фърмуера.
Ако някога сте виждали системна актуализация на Google Play на телефона си, това е. Помислете за това по следния начин: Ако в дома ви гръмне крушка, сега можете просто да смените крушката... докато преди излизахте навън, изгаряхте къщата си до основи и построявахте нова върху нея.
Сега защитата е много по-добра
Страховете за сигурността на Android все още се случват дори през 2023 г. Но разликата днес, в сравнение с токсичните времена на hellstew, е, че има много инструменти за неутрализирането им. Вземете например уязвимостта на Stagefright от 2015 г. Частта от Android, засегната от този бъг, днес е модул Project Mainline и той лесно се актуализира обратно до Android 10 без пълна актуализация на фърмуера.
Като друг пример, през 2014 г. грешката „Fake ID“ може да позволи на злонамерено приложение да се представя за такова със специални разрешения, което потенциално излага вашите данни на нападател. Ако нещо подобно се случи днес, Play Protect ще го спре на място и основният бъг може бързо да бъде премахнат в основна актуализация на модула за изпълнение на Android. На всичкото отгоре Google също направи много под капака около криптирането и управлението на паметта, за да направи по-трудно да се направи нещо полезно с бъдещи уязвимости на Android, ако и когато се появят.
Нито един софтуер никога не е напълно защитен. 0-дневни експлойти — тоест: тайни, непоправени уязвимости — съществуват за всички операционни системи и се използват от националните държави и се продават за огромни суми на черния пазар. Има много скорошни примери за високопоставени личности, атакувани от ужасяващо сложен зловреден софтуер, базиран на 0 дни: хора като Джеф Безос, Еманюел Макрон и Лиз Тръс. Съобщава се, че през 2022 г. бившият министър-председател на Обединеното кралство е трябвало да продължи да променя телефонните си номера, след като е бил хакнат, предполагаемо от руски агенти. В крайна сметка нейното устройство беше счетено за толкова напълно компрометирано, че беше заключено в общо взето еквивалента на смартфона на саркофага в Чернобил.
Ако се чудите защо е променила телефонния си номер, възможно е телефонът й да е бил атакуван от нещо подобно Pegasus, шпионският софтуер, произведен в Израел, за който се твърди, че може да превземе устройства с Android или iOS само като притежава техния телефон номер. Твърди се, че Русия не използва чуждестранен шпионски софтуер, но е вероятно те да имат свой собствен еквивалент, базиран на подобни експлойти от 0 дни.
Всичко това показва, че 100% сигурност е илюзия — тя е недостижима, независимо от устройството или операционната система, която използвате. Независимо от това, Android далеч не е „токсична пекла от уязвимости“ по същия начин, както бихте могли да твърдите, че е било преди десетилетие. Той е в много по-добра позиция да се справи със заплахите от сортовете в градината, които могат да бъдат изправени за онези от нас, които не са правителствени ръководители или изпълнителни директори на компания за трилиони долари.
Нещо повече, обикновеният човек е много по-вероятно да стане жертва на социално инженерство или някаква друга измама, вместо да бъде ужилен от базиран на телефон зловреден софтуер. Този вид измами нарастват в много страни, а в Обединеното кралство, той се е увеличил с 25% между 2020 г. и 2022 г, като повечето случаи включват злоупотреба с компютър. Тъй като сигурността на смартфоните се подобри, може да се каже, че много лоши момчета осъзнават, че всъщност е по-лесно да експлоатират мекия, месест компонент, прикрепен към екрана: вие.