Androidi kirjeldati haavatavuste "mürgiseks põrguks", kuid see pole enam nii.
iPhone 14 Pro Max, Google Pixel 7 Pro, Xiaomi 13 Ultra ja Galaxy S23 Ultra
Tänapäeval on Android üks enim kasutatud ja turvalisemaid operatsioonisüsteeme planeedil, kuid see ei olnud alati nii. Tegelikult, juba 2014. ZDNet Android on tuntud kui "mürgine haavatavus", mida Tim Cook tsiteeris sel aastal iPhone'i turuletoomisel. Cook rõhutas, et Android oli nii killustatud ja värskenduste saabumine oli nii aeglane, et need ei olnud kuidagi võimalikud vaesed inimesed, kes "ostsid kogemata Android-telefoni", võisid nautida peaaegu oma iPhone'i omamise turvalisust paremad.
See pole aga kogu lugu ja kindlasti pole see tänapäeval täpne.
Alandlik algus
Mõeldes tagasi kõige esimesele iPhone'ile, ühendas see 2G kaudu, sisaldas kuskil 14 rakendust ja tegi fotosid tohutu müra ja teradega. Apple'i eeliseks oli aga see, et ettevõte valmistas riist- ja tarkvara, sealhulgas kõik 14 rakendust, mida enne App Store'i saite kasutada. Apple juhtis kogu kogemust, mis tähendas ka seda, et nad said värskendusi igal ajal välja saata.
Seevastu Androidi esimesed päevad olid veidi teistsugused, vanasõnaköögis oli palju rohkem kokkasid. Esiteks annaks Google välja Androidi uue versiooni, mille seejärel kohandasid kiibitootjad töötama teie telefoni kasutatava protsessoriga. Seejärel pidi tootja Androidiga hakkama saama, lisama uusi funktsioone või rakendusi ja tavaliselt muutma palju asju selle välimuse osas – sageli halvemaks. Siis pidi see pöörduma teie operaatori poole, kui see oli võrgu kaubamärgiga telefon, ja nad tagavad, et see töötab nende võrgus, samal ajal rohkem bloatware lihtsalt kuradi jaoks.
Kui teil oli õnne, siis võib-olla kuus kuud pärast uue Androidi versiooni käivitamist, kui tavaline kasutaja inimene, saaks selle tegelikult teie telefoni – koos mõne lisaga, mis teil võib olla või mitte tahtis. 99% Androidi ökosüsteemist töötasid värskendused nii ja see oli suur valupunkt. Umbes nagu tellida restoranis uhke hamburger ja siis oodata, kuni frantsiisiomanik ja server lisavad hunniku veidraid ja jämedaid lisandeid, mida te pole palunud.
Ainsad inimesed, kes ei lasknud oma Android-nutitelefonidel igavesti aega saada värskendusi, mis sageli sisaldasid ka lisatarkvara, olid Google Nexuse omanikud. Need telefonid töötasid vanilje Androidiga ja said värskendusi otse Google'ilt, millele pole lisatud midagi. Probleem oli selles, et need kujutasid endast vaid pisikest killukest aina laienevast Androidi pirukast.
Killustumine tekitab turvaprobleeme
Kogu see olukord oli mitmel põhjusel üsna halb ja üks suur oli turvalisus. Ilmselgelt pole hea, kui Google või Qualcomm peavad parandama turbevea toiduahelas kõrgemal, ja siis peate ootama veel mitu kuud, kuni see enamikesse seadmetesse jõuab.
Selle tegi hullemaks tolleaegne Androidi olemus ja telefonitootjate suhtumine poole uuendused. Olemasolevate telefonide tarkvaravärskendusi peeti sageli tüütuks tööks – peaaegu nagu oleksite oma käest ära läinud pidin selle tegema, sest kõik, mida parandate või lisate, oleks pidanud olema algses ROM-is. Selle tulemusel oli peaaegu kõigi tollase Androidi maailmas värskenduste rekord tänapäevaste standardite järgi põhimõtteliselt prügikasti tasemel. Lipulaevad saaksid õnne korral ühe suurema OS-i värskenduse kuud hiljem. Veelgi hullem on see, et turvapaigad ei olnud veel asjaks.
Justkui hullemaks minna ei saaks, olid peaaegu kõik olulised põhilised Androidi rakendused endiselt püsivarasse sisse küpsetatud. Näiteks veebibrauseri värskendused tuleks pakendada OTA-sse ja oodata, kuni tootja ja operaator neid sertifitseerivad. Nii et kui näiteks Google'i brauseri mootorikoodis ilmnes haavatavus, ei olnud võimalik parandusi laialdaselt või kiiresti välja lükata. See tähendas, et erinevad inimesed jääksid kinni erinevatele versioonidele, millel on erinevad kohandused ja erineva haavatavuse tase pahavara ja muude õelate vastu. Seega: Androidi killustatus.
Tasub öelda, et iOS ei olnud * mingil juhul* turvaprobleemidest vaba, eriti iPhone'i paari esimese põlvkonna jooksul. Ametliku rakenduste poe puudumine ajendas skriptilapsi ja valge mütsi häkkereid iPhone'i lahti murdma ja uusi ja põnevaid asju tegema. Vähemalt üks peamisi viise iPhone'ide vangistamiseks hõlmas tollal brauseri vea ärakasutamist. Põhimõtteliselt võib veebileht rikkuda esialgse iPhone'i turvalisuse.
Erinevus seisnes selles, et Apple suutis need turvaaugud palju kiiremini sulgeda, kui need ilmusid, ja teha seda kogu a palju suurem osa kasutajabaasist. Androidi poolel mitte.
Google oli halb, kuid Android on nüüd palju parem
Kõik see oli "mürgine põrguhautis", mida Google väidetavalt teenis Androidi versioonide 4 ja 5 päevil. Tagantjärele mõeldes on lihtne öelda, et Google oleks pidanud Androidi üle kontrolli säilitamiseks rohkem tegema... või seadke süsteemid algusest peale paika, et aidata värskendustel vabamalt ja sagedamini voolata.
Tasub siiski meeles pidada, et kui Androidi 2007. aastal esimest korda arendati, oli maailm hoopis teine koht. Olemasolevad nutitelefonid olid peamiselt äriinimeste primitiivsed e-kirjade segamise vahendid. Mobiilimaksed polnud reaalsuse lähedal. Uberit ei asutataks veel kahe aasta pärast. Alandlikku retweet’i polnud isegi olemas.
Asi on selles, et tol ajal ei olnud selge, kuidas järgmisel kümnendil nii palju olulisi igapäevaseid ülesandeid täitsid oleks seotud teie telefoniga ega ka seda, kuidas sellest saaks väärtuslik, häkitav isiklik aard andmeid. Google'i kiituseks tuleb öelda, et viimastel aastatel on palju muutunud, et muuta Android oluliselt turvalisemaks ja saada turvaparandused kiiremini suuremale hulgale inimestele kättesaadavaks. Sellel on mitu põhjust.
Näiteks Google Play teenused on midagi, mida olete võib-olla näinud oma telefonis värskendamas ja millele te võib-olla pole palju tähelepanu pööranud. Tegelikult on see aga väga oluline osa sellest, kuidas Google hoiab Androidi turvalisena ja aitab tuua Android 13-st uusi funktsioone teie vanaema vanasse Galaxy S7-sse, mis pole aastaid saanud uut püsivara.
Play teenuste puhul on see süsteemirakendus, nii et sellel on tipptasemel A+ plaatinataseme privilegeeritud juurdepääs kõigele, mis teie telefonis on. See võib teha palju enamat kui tavaline rakendus, mille Play poest alla laadite, näiteks installida või kustutada muid rakendusi või isegi seadme kaugtühkimist, kui see kaob või varastatakse.
Süsteemirakendused, nagu Play teenused, peab tootja teie telefoni laadima, kuid kui need on olemas, saab neid taustal automaatselt värskendada. See tähendab, et uued versioonid võivad turvaliselt lisada uusi funktsioone ja funktsioone. Ja Play teenustel on kombitsad üle kogu OS-i, mistõttu on näiteks Android 13 turvaline fotovalija funktsioon saab kasutusele võtta telefonides, mis kasutavad palju vanemaid OS-i versioone, ilma et oleks vaja installida uut püsivara.
Play teenused hõlmavad ka Google Play Protecti, Androidi OS-i tasemel pahavaratõrjet, mis suudab peatada pahatahtlikud rakendused enne nende installimist või eemaldada need, kui need on juba olemas. Teine oluline asi Play teenuste juures on see, et see toetab Androidi absoluutselt iidseid versioone. Tavaliselt loobub Google Play teenuste toetamisest Androidi versioonidel, mis on umbes kümme aastat vanad. Praegu on 2023. aasta suvi ja Play teenuste praegust versiooni toetatakse kuni 2013. aasta Android 4.4 KitKatini. See pealtnäha juhuslik väike nohiklik tühiasi on oluline, sest see aitab teil isegi palju vanemates Androidi versioonides olla mõistlikult turvaline. See on iseenesest suur osa Androidi turvastrateegiast.
Huvitav on see, et Play teenused mängisid paljudes maailma riikides COVID-19 vastuses huvitavat rolli. Play teenuste kaudu levitatud värskendus oli see, kuidas Google suutis Apple'iga koos välja töötatud kokkupuute teavitussüsteemi ühe hoobiga levitada sisuliselt kogu Androidi kasutajabaasi. Ilma Play teenusteta oleks selline ettevõtmine kestnud kuid ega jõudnud nii paljude inimesteni.
Tegelikult on üsna hull arvata, et Google'i jõupingutused Androidi killustatuse parandamiseks peaaegu kümme aastat varem on tõenäolised kaudselt päästis pandeemia ajal üsna palju elusid.
Rambipalavik
Pahavararakendused on üks asi, kuid on ka teisi viise, kuidas halvad näitlejad võivad proovida teie telefoni kontrolli alla võtta või teie andmeid varastada. Brauseri ärakasutamine oli selles üsna suur osa ja nüüd värskendatakse Play poe kaudu nii Chrome'i brauserit kui ka teiste rakenduste veebisisu jaoks mõeldud WebView koodi. Tegelikult kehtib see terve hulga Androidi erinevate osade kohta, mis kunagi nõudsid püsivara värskendust. Teiste hulka kuuluvad Google Phone'i helistaja, Android Messages ja lugematu arv telgitaguseid rakendusi.
Oletame, et täna avastatakse 2023. aastal vastik brauseri ärakasutamine, kus pahatahtlik veebileht võib teie telefoni krahhi teha või paroolid varastada või panna Starbucksi rakenduse teie tellimuse sassi ajama. Pole tähtis, millist Androidi versiooni te kasutate, Google võib Play poe kaudu väljastada värskendusi, mis hõlmavad nii Chrome'i ennast kui ka muid veebisisu kuvavaid rakendusi. Nn mürgise põrgupiina ajal vajas sama paranduse juurutamine täielikku püsivara värskendust. igale Android-telefonile: rohkemate inimeste jaoks on palju rohkem tööd ja selle asemel oleks kulunud kuid või isegi aastaid päevadel.
Teine ärakasutamine oli 2015. aasta suur uudis Androidi turvamaailmas. Viga "Stagefright" mõjutas seda Androidi osa, mis tegeles piltide ja videote renderdamisega: õigel viisil rikutud foto võib teie telefonile halba teha. See oli suur probleem, sest sel ajal ei saanud seda Stagefrighti komponenti värskendada ilma täieliku püsivara värskenduseta. Jällegi: palju lisatööd, sertifikaate ja ootamist, kuni kummitusliku maali digitaalne vaste võib teie telefoni igal ajal pärani lahti murda.
Selle õudse Stagefrighti turvahirmu tagajärjed olid kahesugused: esiteks hakkas Google Androidi jaoks igakuiseid turvapaiku välja andma, sidudes teie turvataseme kindla kuupäevaga. Mitte ainult see, vaid see pani Google'i võtma Androidi modulaarseks muutmist palju tõsisemalt, nii et OS-i, näiteks Stagefrighti, sai värskendada Play poe kaudu, ilma et oleks vaja täielikku püsivara värskendust.
Uued Androidi turvapaigad väljastatakse siiani iga kuu. Ja need hõlmavad ka OS-i vanemaid versioone, mitte ainult uusimaid, nii et isegi kui telefonis on endiselt Android 11 või 12, saab seda kaitsta. Üldiselt Google Pixel ja Samsungi lipulaevad saavad esmalt turvapaigad, teised, nagu Motorola, jooksevad higiselt ülejäänud ökosüsteemi taga, vabastades lepingujärgse minimaalse plaastri – üks plaaster kvartalis.
See on selle võrrandi teine pool: Google nõuab nüüd seaduslikult telefonitootjatelt minimaalse toe pakkumist, kui nad soovivad, et nende seadmetes oleks Android koos Google'i teenustega. Tagasi aastal 2018, The Verge teatatud et Google nõuab kaks aastat turvapaikasid, mis lähevad välja vähemalt kord 90 päeva jooksul
Tänapäeval lubavad populaarsed kaubamärgid, nagu Samsung ja OnePlus, neli aastat OS-i värskendusi ja viis aastat turvapaikasid, võib-olla Google'i kulisside taga julgustatuna.
Vaatamata sellele, et uuendused ilmuvad tänapäeval palju sagedamini, nõuavad need siiski palju inseneritööd, eriti kui tegemist on suure värskendusega, näiteks täiesti uue operatsioonisüsteemi versiooniga. Android ei näe Google'i Mountain View šokolaaditehasest lahkudes välja nagu Samsungi One UI või Oppo ColorOS, eks? Ja esimestel päevadel peaksite Samsungi või Oppona lisama selle Androidi täiesti uue versiooni eelmise versiooni kohandatud kahvlisse. See on umbes sama, nagu prooviksite mõnda koostisosa välja vahetada, kui söök on juba valmistatud – lõpuks peate peaaegu nullist alustama.
Google'i lahendus? Põhimõtteliselt televiisori õhtusöök: serveerite seda sööki kahes erinevas osas. Eraldate tootjapoolsed kohandused – kõik One UI või ColorOS asjad – põhi-OS-ist. See tähendab, et saate üht hõlpsamini värskendada ilma teisega segamata. Kogu seda ettevõtmist nimetatakse projektiks Treble ja kuigi te seda oma telefonis ei näe, olete võib-olla märganud kuidas teie praegune Android-seade saab värskendusi pisut kiiremini kui see, mida kasutasite seitse või kaheksa aastat tagasi.
Lisaks alustas Google Androidi tulevaste versioonide jagamist originaalseadmete tootjatega palju varem. Nii et selleks ajaks, kui esimene arendaja eelvaates Android 14 olid avalikud, olid Samsungi taolised seda ilmselt paar kuud kulisside taga piilunud. Mis puutub turvapaikadesse, siis neid jagatakse privaatselt kuu aega varem, et anda tootjatele edumaa.
Ehkki kõik on hea, hoiavad inimesed telefone sageli kauem kui paar aastat. Uue püsivara väljasurumine on endiselt tühine töö ja need insenerid ei tööta tasuta. Projekti põhiliin 2019. aastal muutis Android ise modulaarsemaks, sisaldades tarkvaramooduleid WiFi, Bluetoothi, meediakäsitluse ja palju muu jaoks. Neid mooduleid saab seejärel otse värskendada Google või tootja eraldi, ilma et peaksite kogu püsivara värskendamise protsessi läbima.
Kui olete oma telefonis kunagi näinud Google Play süsteemivärskendust, siis see on just see. Mõelge sellele järgmiselt: kui teie kodus põleb pirn, saate nüüd lihtsalt pirni vahetada... samas kui varem läksite välja, põletasite oma maja maani ja ehitasite selle kohale uue.
Turvakaitse on nüüd palju parem
Androidi turvahirmud juhtuvad endiselt, isegi 2023. aastal. Kuid tänane erinevus mürgiste põrguhautiste aegadest seisneb selles, et nende neutraliseerimiseks on palju tööriistu. Võtke näiteks 2015. aasta Stagefrighti haavatavus. Androidi osa, mida see viga mõjutab, on täna Project Mainline moodul ja seda saab hõlpsasti värskendada kuni Android 10-ni ilma täieliku püsivara värskenduseta.
Teise näitena võib 2014. aastal võlts-ID viga lubada pahatahtlikul rakendusel esineda erilubadega rakendusena, mis võib teie andmed ründajale avaldada. Kui midagi sellist juhtuks täna, peataks Play Protect selle ja selle aluseks oleva vea saaks kiiresti kõrvaldada Androidi käitusmooduli põhivõrgu värskendusega. Lisaks on Google teinud palju ka krüptimise ja mäluhalduse alal, et muuta Androidi tulevaste haavatavustega midagi kasulikku keerulisemaks, kui ja kui need ilmnevad.
Ükski tarkvara pole kunagi täiesti turvaline. 0-päevased ärakasutused – see tähendab: salajased, parandamata haavatavused – on olemas kõigi operatsioonisüsteemide jaoks ja neid kasutavad rahvusriigid ning müüakse mustal turul suurte summade eest. Viimasel ajal on palju näiteid kõrgetasemeliste isikute kohta, kes on sihitud hirmutavalt keeruka pahavaraga, mis põhineb 0-päeval: sellised inimesed nagu Jeff Bezos, Emmanuel Macron ja Liz Truss. 2022. aastal pidi Ühendkuningriigi endine peaminister väidetavalt Venemaa agentide poolt häkkimise järel oma telefoninumbreid muutma. Lõpuks leiti, et tema seade on nii täielikult ohustatud, et see lukustati põhimõtteliselt Tšernobõli sarkofaagi nutitelefoni ekvivalenti.
Kui te ei tea, miks ta oma telefoninumbrit muutis, on võimalik, et tema telefoni sihtmärgiks oli midagi sellist Pegasus, Iisraeli toodetud nuhkvara, mis väidetavalt võib Androidi või iOS-i seadmeid üle võtta lihtsalt telefoni olemasolul number. Väidetavalt ei kasuta Venemaa välismaal toodetud nuhkvara, kuid tõenäoliselt on neil oma kodumaise vaste, mis põhineb sarnastel 0-päevastel rünnakutel.
Kõik see näitab, et 100% turvalisus on illusioon – see on kättesaamatu, olenemata sellest, millist seadet või operatsioonisüsteemi te kasutate. Sellegipoolest ei ole Android "mürgine haavatavuste põrgustik" samamoodi, nagu oleks võinud väita, et see oli kümme aastat tagasi. See on palju paremas positsioonis, et võidelda aiasordi ohtudega, millega võivad kokku puutuda need meist, kes ei ole triljoni dollari suuruse ettevõtte valitsusjuhid ega tegevjuhid.
Veelgi enam, keskmine inimene langeb palju tõenäolisemalt sotsiaalse manipuleerimise või mõne muu pettuse ohvriks, mitte telefonipõhise pahavara tõttu. Seda tüüpi pettused sageneb paljudes riikides ja Ühendkuningriigis, see kasvas aastatel 2020–2022 25%., kusjuures enamikul juhtudel on tegemist arvuti väärkasutusega. Kuna nutitelefonide turvalisus on paranenud, võib öelda, et paljud pahalased mõistavad, et tegelikult on lihtsam ära kasutada ekraani külge kinnitatud prisket ja lihavat komponenti: sind.