Androidin tietoturva on parantunut huimasti viimeisen 10 vuoden aikana: Näin

Nykyään Android on yksi planeetan käytetyimmistä ja turvallisimmista käyttöjärjestelmistä, mutta se ei aina ollut sellaista. Itse asiassa jo vuonna 2014 ZDNet Androidia tunnetaan tunnetusti haavoittuvuuksien "myrkyllisenä helvettinä", jota Tim Cook sittemmin lainasi saman vuoden iPhonen julkaisussa. Cook huomautti, että Android oli niin hajanainen ja päivitykset saapuivat niin hitaasti, ettei niitä ollut mahdollista köyhät ihmiset, jotka "ostivat Android-puhelimen vahingossa", voivat nauttia läheskään iPhone-omistuksensa turvallisuudesta parempia.

Se ei kuitenkaan ole koko tarina, eikä se todellakaan pidä paikkaansa nykyään.

Nöyrä alku

Ajatellen aivan ensimmäistä iPhonea, se yhdisti 2G: n, sillä oli jossain 14 sovelluksen joukossa ja se otti valokuvia valtavalla määrällä melua ja rakeita. Applelle hyötyi kuitenkin se, että yritys valmisti laitteiston ja ohjelmiston, mukaan lukien kaikki 14 sovellusta, jotka olivat kaikki, mitä voit käyttää ennen App Storea. Apple hallitsi koko kokemusta, mikä tarkoitti myös, että he saattoivat julkaista päivityksiä milloin vain halusivat.

Sitä vastoin Androidin varhaisimmat ajat olivat hieman erilaisia, ja sananlaskun keittiössä oli paljon enemmän kokkeja. Ensin Google julkaisi uuden version Androidista, jonka siruvalmistajat sitten mukauttivat toimimaan puhelimesi käyttämän prosessorin kanssa. Sitten valmistajan täytyi käyttää Androidia, lisätä uusia ominaisuuksia tai sovelluksia ja yleensä muuttaa monia asioita sen ulkonäössä - usein huonompaan suuntaan. Sitten sen täytyi mennä operaattorillesi, jos se oli verkkobrändätty puhelin, ja he varmistavat, että se toimii heidän verkossaan ja lapioi samalla lisää bloatware vain helvetin vuoksi.

Sitten, jos olet onnekas, ehkä kuusi kuukautta uuden Android-version julkaisun jälkeen, sinä tavallisena henkilö, saisi sen itse asiassa puhelimeesi – sekä muutamia lisäominaisuuksia, joita sinulla saattaa olla tai ei halusi. 99 %:lla Android-ekosysteemistä päivitykset toimivat näin, ja se oli suuri kipukohta. Vähän kuin tilaaisi hienon hampurilaisen ravintolasta ja joutuisi sitten odottamaan, kun franchising-omistaja ja palvelin lisäsivät joukon outoja, törkeitä täytteitä, joita et pyytänyt.

Ainoat ihmiset, joilla Android-älypuhelimensa eivät kestäneet ikuisesti saada päivityksiä, jotka usein pakkasivat myös lisäohjelmistoja, olivat Google Nexusin omistajat. Näissä puhelimissa oli vanilja Android, ja ne saivat päivitykset suoraan Googlelta ilman mitään lisäystä. Ongelmana oli, että ne edustivat vain pientä siivua jatkuvasti laajenevasta Android-piirakasta.

Hajanaisuus aiheuttaa turvallisuusongelmia

Tämä koko tilanne oli melko huono useista syistä, ja yksi suuri syy oli turvallisuus. Ei tietenkään ole hienoa, jos Googlen tai Qualcommin on korjattava tietoturvavirhe edelleen ravintoketjussa, ja sitten sinun on odotettava lisää kuukausia, jotta se todella pääsee useimpiin laitteisiin.

Sitä pahensi Androidin silloinen luonne ja puhelinvalmistajien asenne kohti päivitykset. Ohjelmistopäivityksiä olemassa oleviin puhelimiin pidettiin usein urakkana – melkein kuin olisit mennyt pilalle piti tehdä sellainen, koska no, mitä tahansa korjaat tai lisäät, olisi pitänyt vain olla alkuperäisessä ROMissa. Tämän seurauksena lähes kaikkien Android-maailmassa tuolloin päivityshistoria oli pohjimmiltaan roskakoritasoa nykystandardien mukaan. Lippulaivat saisivat yhden suuren käyttöjärjestelmäpäivityksen kuukausia myöhemmin, jos he olisivat onnekkaita. Vielä pahempaa on, että tietoturvakorjaukset eivät vain olleet vielä asia.

Ikään kuin se ei voisi mennä huonommaksi, melkein kaikki tärkeät Android-ydinsovellukset olivat vielä tässä vaiheessa leivotut laiteohjelmistoon. Esimerkiksi verkkoselainpäivitykset on pakattava OTA: han ja odotettava valmistajan ja operaattorin varmentamista. Joten jos haavoittuvuus ilmaantui selaimen moottorikoodiin esimerkiksi Googlelta, korjauksia ei voitu saada laajalti tai nopeasti. Tämä tarkoitti, että eri ihmiset jäisivät kiinni eri versioihin, joissa oli erilaisia ​​mukautuksia ja erilaisia ​​haavoittuvuustasoja haittaohjelmia ja muita ilkeitä vastaan. Siksi: Androidin pirstoutuminen.

On syytä sanoa, että iOS ei ollut *millään* vapaa tietoturvaongelmista, etenkään iPhonen muutaman ensimmäisen sukupolven aikana. Virallisen sovelluskaupan puute oli suuri kannustin käsikirjoituslapsille ja valkohattuisille hakkereille murtaa iPhone auki ja saada se tekemään uusia ja jännittäviä asioita. Ainakin yksi tärkeä tapa murtaa iPhonet tuolloin oli selaimen virheen hyödyntäminen. Pohjimmiltaan web-sivu voi rikkoa alkuperäisen iPhonen suojauksen.

Erona oli, että Apple pystyi sulkemaan nämä tietoturva-aukot paljon nopeammin, kun ne ilmestyivät, ja tehdä niin koko a paljon suurempi osa käyttäjäkannasta. Ei niin Android-puolella.

Google oli huono, mutta Android on nyt paljon parempi

Kaikki tämä oli "myrkyllistä helvettiä", jota Googlen väitettiin tarjottavan Android-versioiden 4 ja 5 päivinä. Jälkeenpäin katsottuna on helppo sanoa, että Googlen olisi pitänyt tehdä enemmän säilyttääkseen Androidin hallinnan... tai ota käyttöön järjestelmät alusta alkaen, jotta päivitykset kulkevat vapaammin ja useammin.

On kuitenkin syytä muistaa, että kun Android aloitettiin ensimmäisen kerran vuonna 2007, maailma oli erilainen paikka. Älypuhelimet, jotka olivat olemassa, olivat pääosin primitiivisiä sähköpostinmuokkauskeinoja liikemiehille. Mobiilimaksaminen ei ollut lähelläkään todellisuutta. Uberia perustettaisiin vasta kahteen vuoteen. Nöyrä uudelleentwiitti ei edes ollut olemassa.

Asia on siinä, että silloin ei ollut selvää, kuinka seuraavan vuosikymmenen aikana niin monet välttämättömät päivittäiset tehtävät olisi sidottu puhelimeesi, eikä miten siitä tulisi niin kallisarvoisten, hakkeroitavien henkilökohtaisten aarreaitta tiedot. Googlen ansioksi on sanottava, että hirveän paljon on muuttunut viime vuosina, jotta Androidista on tehty huomattavasti turvallisempi ja tietoturvakorjaukset saataisiin nopeammin useammille ihmisille. Tähän on useita syitä.

Esimerkiksi Google Play Palvelut on jotain, jonka olet ehkä nähnyt päivittyvän puhelimessasi ja johon et ehkä ole kiinnittänyt paljon huomiota. Se on kuitenkin todella tärkeä osa sitä, kuinka Google pitää Androidin suojattuna ja auttaa tuomaan uusia ominaisuuksia Android 13:sta isoäitisi vanhaan Galaxy S7:ään, joka ei ole saanut uutta laiteohjelmistoa vuosiin.

Play-palvelujen tapauksessa se on järjestelmäsovellus, joten sillä on huipputason A+ Platinum-tason etuoikeutettu käyttöoikeus kaikkeen puhelimeesi. Se voi tehdä paljon enemmän kuin tavallinen Play Kaupasta lataamasi sovellus, kuten asentaa tai poistaa muita sovelluksia tai jopa etäpyyhkiä laitteesi, jos se katoaa tai varastetaan.

Valmistajan on ladattava järjestelmäsovellukset, kuten Play Palvelut, puhelimeesi, mutta kun ne ovat siellä, ne voidaan päivittää automaattisesti taustalla. Tämä tarkoittaa, että uudet versiot voivat turvallisesti lisätä uusia ominaisuuksia ja toimintoja. Ja Play Palveluissa on lonkeroita kaikkialla käyttöjärjestelmässä, minkä vuoksi esimerkiksi Android 13:n suojattu valokuvavalitsin voidaan ottaa käyttöön puhelimissa, joissa on paljon vanhempi käyttöjärjestelmäversio ilman, että uutta laiteohjelmistoa tarvitsee asentaa.

Play Palvelut sisältävät myös Google Play Protectin, Androidin käyttöjärjestelmätason haittaohjelmien torjuntatoiminnon, joka voi pysäyttää haitalliset sovellukset ennen niiden asentamista tai poistaa ne, jos ne ovat jo olemassa. Toinen tärkeä asia Play-palveluissa on se, että se tukee täysin vanhoja Android-versioita. Google luopuu Play-palveluiden tuesta yleensä vain noin kymmenen vuotta vanhoissa Android-versioissa. Tällä hetkellä on kesä 2023, ja Play-palvelujen nykyistä versiota tuetaan aina vuoden 2013 Android 4.4 KitKatiin asti. Tämä näennäisesti satunnainen nörtti trivia on tärkeä, koska se auttaa sinua pysymään kohtuullisen turvassa jopa paljon vanhemmissa Android-versioissa. Se on sinänsä iso osa Android-tietoturvastrategiaa.

Mielenkiintoista on, että Play-palveluilla oli mielenkiintoinen osa COVID-19-vastauksessa monissa maissa ympäri maailmaa. Play-palvelujen kautta jaettu päivitys oli se, kuinka Google pystyi ottamaan käyttöön Applen kanssa kehittämänsä altistumisilmoitusjärjestelmän käytännössä koko Android-käyttäjäkannalle yhdellä iskulla. Ilman Play-palveluita tällainen yritys olisi kestänyt kuukausia, eikä se olisi saavuttanut läheskään yhtä monia ihmisiä.

Itse asiassa on melko hullua ajatella, että Googlen pyrkimykset korjata Androidin pirstoutuminen lähes vuosikymmen sitten ovat todennäköisiä välillisesti pelasti useita ihmishenkiä pandemian aikana.

Ramppikuume

Haittaohjelmasovellukset ovat yksi asia, mutta on myös muita tapoja, joilla huonot toimijat voivat yrittää ottaa puhelimesi hallintaansa tai varastaa tietosi. Selaimen hyväksikäytöt olivat melko suuri osa sitä, ja nyt sekä Chrome-selain että WebView-koodi muiden sovellusten verkkosisällölle päivitetään Play Kaupan kautta. Itse asiassa tämä koskee monia Androidin eri osia, jotka vaativat kerran laiteohjelmiston päivityksen. Muita ovat Google Phone Dialer, Android Messages ja lukemattomat kulissien takana olevat sovellukset.

Oletetaan, että tänään vuonna 2023 löydetään ilkeä selaimen hyväksikäyttö, jossa haitallinen verkkosivu voi kaataa puhelimesi tai varastaa salasanasi tai saada Starbucks-sovelluksen sotkemaan tilauksesi. Sillä ei ole väliä, mitä Android-versiota käytät, Google voisi julkaista Play Kaupan kautta päivityksiä, jotka kattavat sekä itse Chromen että minkä tahansa muun verkkosisältöä näyttävän sovelluksen. Niin sanotun myrkyllisen helvetin aikoina saman korjauksen käyttöönotto vaatisi täydellisen laiteohjelmistopäivityksen. jokaiseen Android-puhelimeen: paljon enemmän työtä useammalle ihmiselle, ja se olisi kestänyt kuukausia tai jopa vuosia sen sijaan päivää.

Toinen hyväksikäyttö oli suuri uutinen Android-tietoturvamaailmassa vuonna 2015. "Stagefright" -virhe vaikutti siihen Androidin osaan, joka hoiti kuvien ja videoiden renderöinnin: oikealla tavalla peukaloitu valokuva voi tehdä huonoja asioita puhelimellesi. Tämä oli suuri ongelma, koska tuohon aikaan Stagefright-komponenttia ei voitu päivittää ilman täydellistä laiteohjelmistopäivitystä. Jälleen: paljon ylimääräistä työtä, sertifiointia ja odottamista, kun potentiaalisesti kummittelevan maalauksen digitaalinen vastine voi repiä puhelimesi auki milloin tahansa.

Tämän pelottavan Stagefright-tietoturvapelon seuraukset olivat kaksijakoiset: Ensinnäkin Google alkoi julkaista kuukausittaisia ​​tietoturvakorjauksia Androidille, mikä sitoi tietoturvatasosi tiettyyn päivämäärään. Ei vain sitä, vaan se sai Googlen ottamaan Androidin modulaarisen tekemisen paljon vakavammin, joten osa käyttöjärjestelmästä, kuten Stagefright, voitiin päivittää Play Kaupan kautta ilman täydellistä laiteohjelmistopäivitystä.

Uusia Android-tietoturvakorjauksia julkaistaan ​​edelleen joka kuukausi tähän päivään asti. Ja ne kattavat myös käyttöjärjestelmän vanhemmat versiot, eivät vain uusimmat, joten vaikka puhelimessa olisi edelleen Android 11 tai 12, se voidaan silti suojata. Yleisesti, Google Pixel ja Samsungin lippulaivat saavat tietoturvakorjaukset ensin, ja muut, kuten Motorola, lenkkeilevät hikoilevasti muun ekosysteemin takana ja julkaisevat sopimuksen mukaisen vähimmäiskorjauksen neljännesvuosittain.

Se on tämän yhtälön toinen puoli: Google vaatii nyt laillisesti puhelinvalmistajia sitoutumaan vähimmäistukeen, jos he haluavat Androidin Google-palveluineen laitteilleen. Vuonna 2018, The Verge raportoitu että Google vaatii kahden vuoden tietoturvakorjauksia, jotka poistuvat vähintään kerran 90 päivässä

Nykyään suositut tuotemerkit, kuten Samsung ja OnePlus, lupaavat neljän vuoden käyttöjärjestelmän päivityksiä ja viiden vuoden tietoturvakorjauksia, mahdollisesti Googlen kulissien takana olevan rohkaisun avulla.

Huolimatta päivityksistä, joita julkaistaan ​​nykyään paljon useammin, ne vaativat silti paljon suunnittelutyötä, varsinkin kun kyseessä on suuri päivitys, kuten kokonaan uusi käyttöjärjestelmäversio. Android ei näytä Samsungin One-käyttöliittymältä tai Oppon ColorOS: ltä, kun se lähtee Googlen Mountain Viewin suklaatehtaasta, eikö niin? Ja alkuaikoina sinun, Samsungin tai Oppon, olisi sisällytettävä tämä kokonaan uusi Android-versio edellisen version mukautettuun haarukkaan. Se on vähän kuin yrittäisi vaihtaa joitakin ainesosia, kun ateria on jo kypsennetty – joudut lopulta melkein aloittamaan alusta.

Googlen ratkaisu? Periaatteessa TV-ruokalautanen: tarjoilet aterian kahdessa eri osassa. Erottelet valmistajan mukautukset – kaikki One UI- tai ColorOS-jutut – ydinkäyttöjärjestelmästä. Ja tämä tarkoittaa, että voit helpommin päivittää yhden ilman, että joudut sotkemaan toista. Koko tätä yritystä kutsutaan nimellä Project Treble, ja vaikka et näe sitä puhelimessasi, olet ehkä huomannut kuinka nykyinen Android-laite saa päivitykset hieman nopeammin kuin se, jota käytit seitsemän tai kahdeksan vuotta sitten.

Tämän lisäksi Google aloitti Androidin tulevien versioiden jakamisen OEM-valmistajien kanssa paljon aikaisemmassa vaiheessa. Joten siihen mennessä, kun ensimmäinen kehittäjä esikatselu Android 14 olivat julkisia, Samsungin kaltaiset olivat luultavasti kurkistaneet sitä kulissien takaa muutaman kuukauden ajan. Mitä tulee tietoturvakorjauksiin, ne jaetaan yksityisesti kuukautta aikaisemmin, jotta valmistajat pääsevät etumatkaan.

Joten vaikka kaikki on hyvää, ihmiset pitävät puhelimia usein pidempään kuin vain muutaman vuoden. Uuden laiteohjelmiston julkaiseminen on edelleen ei-triviaalia työtä, eivätkä nämä insinöörit työskentele ilmaiseksi. Projektin päälinja Vuonna 2019 Androidista tehtiin modulaarisempi ohjelmistomoduuleilla, kuten WiFi, Bluetooth, mediankäsittely ja paljon muuta. Google tai valmistaja voi sitten päivittää nämä moduulit suoraan erikseen ilman koko laiteohjelmiston päivitysprosessin läpikäymistä.

Jos olet joskus nähnyt Google Play -järjestelmäpäivityksen puhelimessasi, se on juuri sitä. Ajattele asiaa näin: Jos kodissasi palaa hehkulamppu, voit nyt vain vaihtaa lampun... kun taas ennen menit ulos, poltit talosi maan tasalle ja rakensit sen päälle uuden.

Suojaus on nyt paljon parempi

Android-tietoturvapelkoja tapahtuu edelleen, jopa vuonna 2023. Mutta ero nykyään verrattuna myrkyllisiin helvetinmuhentamiseen on se, että on olemassa runsaasti työkaluja niiden neutraloimiseksi. Otetaan esimerkiksi vuoden 2015 Stagefright-haavoittuvuus. Androidin osa, johon tämä virhe vaikuttaa, on tänään Project Mainline -moduuli, ja se päivitettiin helposti aina takaisin Android 10:een ilman täydellistä laiteohjelmistopäivitystä.

Toisena esimerkkinä vuonna 2014 "Fake ID" -vika saattoi sallia haitallisen sovelluksen esiintyä sellaiseksi henkilöksi, jolla on erityisluvat, mikä saattaa paljastaa tietosi hyökkääjälle. Jos jotain tällaista tapahtuisi tänään, Play Protect pysäyttäisi sen raiteillaan, ja taustalla oleva virhe voitaisiin nopeasti poistaa Android-ajonaikaisen moduulin Mainline-päivityksessä. Tämän lisäksi Google on myös tehnyt paljon salauksen ja muistinhallinnan parissa, jotta tulevien Android-haavoittuvuuksien kanssa on vaikeampaa tehdä mitään hyödyllistä, jos ja kun niitä ilmaantuu.

Mikään ohjelmisto ei ole koskaan täysin turvallinen. 0-päivän hyväksikäytöt eli salaiset, korjaamattomat haavoittuvuudet ovat olemassa kaikille käyttöjärjestelmille, ja niitä käyttävät kansallisvaltiot ja myydään valtavilla summilla mustilla markkinoilla. Viime aikoina on monia esimerkkejä korkean profiilin henkilöistä, jotka ovat joutuneet pelottavan kehittyneiden haittaohjelmien kohteena 0-päivien perusteella: Jeff Bezosin, Emmanuel Macronin ja Liz Truss. Vuonna 2022 Ison-Britannian entisen pääministerin kerrottiin vaihtavan puhelinnumeroita sen jälkeen, kun hänet oli hakkeroitu, oletettavasti venäläisten agenttien toimesta. Lopulta hänen laitteensa katsottiin olevan niin täysin vaarantunut, että se lukittiin pohjimmiltaan Tšernobylin sarkofagin älypuhelinvastaavaan.

Jos ihmettelet, miksi hän vaihtoi puhelinnumeroaan, on mahdollista, että hänen puhelimeensa on kohdistettu johonkin sellaiseen Pegasus, Israelin valmistama vakoiluohjelma, jonka kerrotaan voivan vallata Android- tai iOS-laitteet pelkällä puhelimella määrä. Venäjä ei tiettävästi käytä ulkomailla valmistettuja vakoiluohjelmia, mutta on todennäköistä, että heillä on oma kotimainen vastine, joka perustuu samankaltaisiin 0-päivän hyökkäyksiin.

Kaikki tämä osoittaa, että 100-prosenttinen tietoturva on illuusio – se on saavuttamaton riippumatta siitä, mitä laitetta tai käyttöjärjestelmää käytät. Siitä huolimatta Android on ohittanut "myrkyllisen haavoittuvuuksien helvetin" samalla tavalla kuin olisi voinut väittää, että se oli vuosikymmen sitten. Se on paljon paremmat mahdollisuudet torjua puutarhalajikkeiden uhkia, joita me, jotka eivät ole hallituksen päämiehiä tai biljoonan dollarin yrityksen toimitusjohtaja, saattavat kohdata.

Lisäksi keskivertoihminen joutuu paljon todennäköisemmin sosiaalisen manipuloinnin tai muun huijauksen uhriksi kuin puhelinpohjaisten haittaohjelmien pistoksi. Tämäntyyppiset petokset ovat yleistymässä monissa maissa ja Isossa-Britanniassa, se kasvoi 25 prosenttia vuosina 2020–2022, joissa useimmissa tapauksissa on kyse tietokoneen väärinkäytöstä. Kun älypuhelimen tietoturva on parantunut, voidaan sanoa, että monet pahikset ymmärtävät, että on itse asiassa helpompi hyödyntää näyttöön kiinnitettyä löysää, lihavaa osaa: sinua.