Az Androidot a sebezhetőségek "mérgező pokolpatakának" nevezték, de ez már nem így van.
Az iPhone 14 Pro Max, a Google Pixel 7 Pro, a Xiaomi 13 Ultra és a Galaxy S23 Ultra
Manapság az Android az egyik leggyakrabban használt és legbiztonságosabb operációs rendszer a bolygón, de nem volt mindig ilyen. Valójában még 2014-ben ZDNet Az Androidot híresen a sebezhetőségek "mérgező pokolcsírájának" nevezték, amit Tim Cook idézett az iPhone abban az évben történő bemutatásakor. Cook kiemelte, hogy az Android annyira töredezett, és a frissítések olyan lassan érkeztek meg, hogy ezekre semmi lehetőség szegény emberek, akik "tévedésből vettek egy Android telefont", szinte bárhol élvezhetik iPhone-juk biztonságát jobbak.
Ez azonban nem a teljes történet, és ez manapság biztosan nem pontos.
Szerény kezdetek
Visszagondolva a legelső iPhone-ra, 2G-n keresztül csatlakozott, valahol a 14 alkalmazás között volt, és hatalmas mennyiségű zajjal és szemcsékkel készített fényképeket. Az Apple számára azonban az volt az előnye, hogy a vállalat elkészítette a hardvert és a szoftvert, beleértve mind a 14 alkalmazást, ami az App Store előtt volt minden, amit használni tudott. Az Apple irányította a teljes élményt, ami azt is jelentette, hogy bármikor kiküldhették a frissítéseket.
Ezzel szemben az Android korai napjai egy kicsit mások voltak, sokkal több szakács volt a közmondásos konyhában. Először is a Google kiadja az Android új verzióját, amelyet aztán a chipgyártók úgy alakítottak át, hogy a telefon által használt CPU-n működjön. Ezután a gyártónak meg kellett tennie a módját az Androidnak, új funkciókat vagy alkalmazásokat kell hozzáadnia, és általában egy csomó dolgot megváltoztatott a kinézetén – gyakran rosszabbra. Ezután el kellett mennie a szolgáltatóhoz, ha hálózati márkájú telefonról van szó, és megbizonyosodtak arról, hogy működik a hálózatukon, miközben belelapátolnak. több bloatware csak a fenéért.
Aztán, ha szerencséd van, talán hat hónappal az új Android-verzió megjelenése után te, mint rendszeres személy, valóban megkapná a telefonján – néhány extrával együtt, amelyekkel rendelkezhet, vagy nem akarta. Az Android-ökoszisztéma 99%-ánál így működtek a frissítések, és ez nagy fájdalommal járt. Olyasmi, mintha egy díszes hamburgert rendelnél egy étteremben, majd várnod kellene, míg a franchise tulajdonosa és a felszolgáló hozzáad egy csomó furcsa, durva feltétet, amit nem kértél.
Csak a Google Nexus tulajdonosai voltak, akiknek nem kellett örökké androidos okostelefonjuknak olyan frissítéseket kapniuk, amelyek gyakran további szoftvereket is tartalmaztak. Ezeken a telefonokon vanília Android futott, és közvetlenül a Google-tól kapták a frissítéseket anélkül, hogy hozzáadtak volna semmit. A probléma az volt, hogy csak egy apró szeletet képviseltek az egyre bővülő Android tortából.
A töredezettség biztonsági problémákat okoz
Ez az egész helyzet nagyon rossz volt több okból is, és az egyik legfontosabb a biztonság volt. Nyilvánvalóan nem jó, ha a Google-nak vagy a Qualcommnak ki kell javítania egy biztonsági hibát a táplálékláncban, és akkor további hónapokat kell várnia, hogy a legtöbb eszközre valóban megjelenjen.
Ezt rontotta az Android akkori természete és a telefongyártók hozzáállása felé frissítéseket. A meglévő telefonok szoftverfrissítését gyakran házimunkaként tekintették – majdnem úgy, mintha elrontotta volna muszáj volt készíteni egyet, mert bármit is javítasz vagy adsz hozzá, annak az eredeti ROM-ban kellett volna lennie. Ennek eredményeként az Android világában akkoriban szinte mindenki frissítési múltja alapvetően szemétdombos volt a mai szabványok szerint. A zászlóshajók hónapokkal később kapnának egy jelentős operációs rendszer-frissítést, ha szerencséjük van. Még ennél is rosszabb, hogy a biztonsági javítások még nem jelentek meg.
Mintha nem is lehetne rosszabb, nagyjából az összes fontos alapvető Android-alkalmazás még mindig a firmware-ben volt. A webböngésző frissítéseit például OTA-ba kell csomagolni, és meg kell várni, amíg a gyártó és a szolgáltató tanúsítja őket. Tehát ha egy sebezhetőség bukkant fel a böngészőmotor kódjában, mondjuk a Google-tól, nem volt mód arra, hogy a javításokat széles körben vagy gyorsan kiterjesszék. Ez azt jelentette, hogy a különböző emberek különböző verziókon ragadtak, eltérő testreszabással és különböző szintű sebezhetőségükkel a rosszindulatú programokkal és más kellemetlenekkel szemben. Ezért: Android töredezettség.
Érdemes elmondani, hogy az iOS *semmiképpen sem volt mentes a biztonsági problémáktól, különösen az iPhone első néhány generációjában. A hivatalos alkalmazásbolt hiánya nagy ösztönzést jelentett a forgatókönyvíró gyerekeknek és a fehérkalapos hackereknek, hogy feltörjék az iPhone-t, és új és izgalmas dolgokat csináljanak belőle. Az iPhone-ok feltörésének legalább egyik fő módja akkoriban a böngésző hibájának kihasználása volt. Alapvetően egy weboldal feltörheti az eredeti iPhone biztonságát.
A különbség az volt, hogy az Apple sokkal gyorsabban be tudta tömni ezeket a biztonsági réseket, amikor megjelentek, és ezt megteszi a sokkal a felhasználói bázis nagyobb része. Nem így az Android oldalon.
A Google rossz volt, de az Android már sokkal jobb
Mindez az a "mérgező pokolpörkölt" volt, amelyet a Google állítólag az Android 4-es és 5-ös verziójának idejében szolgált fel. Utólag visszatekintve könnyű azt mondani, hogy a Google-nak többet kellett volna tennie az Android feletti irányítás megőrzése érdekében... vagy a kezdetektől fogva rendszereket állíthat be a frissítések szabadabb és gyakoribb áramlásának elősegítése érdekében.
Érdemes azonban emlékezni arra, hogy amikor 2007-ben az Androidot először fejlesztették, a világ más hely volt. A létező okostelefonok főként primitív e-mail-masszírozási eszközök voltak üzletemberek számára. A mobilfizetés közel sem volt valóság. Az Ubert még két évig nem alapítanák meg. A szerény retweet nem is létezett.
A lényeg az, hogy akkoriban még nem volt világos, hogy a következő évtizedben hogyan lehet annyi alapvető mindennapi feladatot elvégezni a telefonjához kötve lenne, sem pedig az, hogy hogyan válna az értékes, feltörhető személyes kincsesbányává adat. A Google érdemére legyen mondva, hogy az elmúlt néhány évben rettenetesen sok minden változott annak érdekében, hogy az Androidot jelentősen biztonságosabbá tegyük, és a biztonsági javításokat gyorsabban eljuttassuk több emberhez. Ennek számos oka van.
Például előfordulhat, hogy a Google Play-szolgáltatások olyan frissítéseket látnak a telefonján, amelyekre talán nem is figyelt túl sokat. Valójában azonban ez rendkívül fontos része annak, hogy a Google hogyan tartja biztonságban az Androidot, és hogyan segít új funkciókat hozni az Android 13-ból a nagymama régi Galaxy S7-ébe, amely évek óta nem kapott új firmware-t.
A Play Services esetében ez egy rendszeralkalmazás, így a telefonodon található mindenhez felső szintű A+ Platina szintű kiváltságos hozzáféréssel rendelkezik. Sokkal többet tud, mint egy hagyományos alkalmazás, amelyet a Play Áruházból tölt le, például telepíthet vagy törölhet más alkalmazásokat, vagy akár távolról is törölheti eszközét, ha elveszik vagy ellopják.
Az olyan rendszeralkalmazásokat, mint a Play Services, a gyártónak be kell töltenie a telefonjára, de amint ott vannak, automatikusan frissíthetők a háttérben. Ez azt jelenti, hogy az új verziók biztonságosan hozzáadhatnak új funkciókat és funkciókat. A Play Services pedig az egész operációs rendszeren csápokkal rendelkezik, ezért például az Android 13 biztonságos fotóválasztó funkciója az operációs rendszer jóval régebbi verzióit futtató telefonokra is kihelyezhető anélkül, hogy új firmware-t kellene telepíteni.
A Play-szolgáltatások közé tartozik a Google Play Protect is, az Android operációs rendszer szintű kártevőirtó képessége, amely képes megállítani a rosszindulatú alkalmazásokat, mielőtt azok telepítésre kerülnek, vagy eltávolíthatja azokat, ha már ott vannak. A másik fontos dolog a Play Services-ben, hogy támogatja az Android abszolút ősi verzióit. A Google általában csak a tíz év körüli Android-verziókon szünteti meg a Play-szolgáltatások támogatását. Jelenleg 2023 nyara van, és a Play Services jelenlegi verziója egészen a 2013-as Android 4.4 KitKatig támogatott. Ez a látszólag véletlenszerű apróság azért fontos, mert segít megőrizni a megfelelő biztonságot még az Android sokkal régebbi verzióiban is. Ez önmagában az Android biztonsági stratégiájának nagy része.
Érdekes módon a Play-szolgáltatások érdekes szerepet játszottak a világ számos országában a COVID-19-re adott válaszadásban. A Play Services szolgáltatáson keresztül terjesztett frissítés révén a Google egy csapásra be tudta vezetni az Apple-lel közösen kifejlesztett kitettségértesítési rendszert lényegében a teljes Android felhasználói bázisra. A Play Services nélkül ez a fajta törekvés hónapokig tartott volna, és közel sem jutott volna el annyi emberhez.
Valójában elég őrült azt gondolni, hogy a Google közel egy évtizeddel korábbi erőfeszítései az Android töredezettségének kijavítására valószínű közvetve jó néhány életet megmentettek a járvány során.
Lámpaláz
A rosszindulatú programok egy dolog, de vannak más módok is, amelyek segítségével a rossz szereplők megpróbálhatják átvenni az irányítást a telefon felett, vagy ellophatják az adataidat. A böngészők kizsákmányolása ennek meglehetősen nagy részét képezte, és most a Chrome böngésző és a WebView kódja a webes tartalmakhoz más alkalmazásokban is frissül a Play Áruházban. Valójában ez az Android egy csomó különböző részére vonatkozik, amelyek egykor firmware-frissítést igényeltek. Mások közé tartozik a Google Phone tárcsázó, az Android Messages és számtalan kulisszák mögötti alkalmazás.
Tegyük fel, hogy ma 2023-ban felfedeztek egy csúnya böngészési kizsákmányolást, ahol egy rosszindulatú weboldal összeomolhatja telefonját, ellophatja jelszavait, vagy a Starbucks alkalmazást megzavarhatja a rendelésben. Nem számít, melyik Android-verziót használja, a Google frissítéseket küldhet ki a Play Áruházon keresztül magára a Chrome-ra és bármely más, webes tartalmat megjelenítő alkalmazásra. Az úgynevezett mérgező pokolbab idején ugyanazon javítás telepítéséhez teljes firmware-frissítésre volt szükség ahhoz, hogy megszűnjön. minden Android telefonra: sokkal több munka sokkal több embernek, és ahelyett, hogy hónapokba vagy akár évekbe telt volna napok.
Egy másik kizsákmányolás nagy hír volt 2015-ben az Android biztonsági világában. A "Stagefright" hiba az Android azon részét érintette, amely a képek és videók megjelenítését kezelte: a megfelelő módon manipulált fotó rossz dolgokat tehet a telefonjával. Ez nagy probléma volt, mert akkoriban a Stagefright összetevőt nem lehetett teljes firmware-frissítés nélkül frissíteni. Még egyszer: rengeteg extra munka, tanúsítás és várakozás, miközben potenciálisan egy kísértetjárta festmény digitális megfelelője bármikor szétnyithatja a telefonját.
Ennek a kísérteties Stagefright biztonsági rémnek a következménye kettős volt: Először is, a Google elkezdte havi biztonsági javítások kiadását az Androidhoz, és a biztonsági szintet egy adott dátumhoz kötötte. Nem csak ez, hanem a Google is komolyabban vette az Android moduláris kialakítását, így az operációs rendszer egyes részei, például a Stagefright frissíthetők a Play Áruházban anélkül, hogy teljes firmware-frissítésre lenne szükség.
Az új Android biztonsági javítások a mai napig minden hónapban megjelennek. És lefedik az operációs rendszer régebbi verzióit is, nem csak a legújabbakat, így még ha a telefon még mindig Android 11-es vagy 12-es verziót használ, akkor is védhető. Általában, Google Pixel A Samsung zászlóshajói pedig először kapnak biztonsági javításokat, míg mások, például a Motorola izzadtan kocognak az ökoszisztéma többi része mögött, és kiadják a szerződéses minimumot, negyedévente egy javítást.
Ez az egyenlet másik oldala: a Google immár jogilag megköveteli a telefongyártóktól, hogy kötelezzék el magukat egy minimális támogatási szint mellett, ha Androidot szeretnének Google-szolgáltatásokkal az eszközeiken. Még 2018-ban, A perem jelentették hogy a Google két évre ír elő biztonsági javításokat, amelyek 90 naponta legalább egyszer megszűnnek
Napjainkban az olyan népszerű márkák, mint a Samsung és a OnePlus, négy év operációs rendszer-frissítést és öt év biztonsági javításokat ígérnek, esetleg a Google némi biztatásával a színfalak mögött.
Annak ellenére, hogy a frissítések manapság sokkal gyakrabban jelennek meg, még mindig sok mérnöki munkát igényelnek, különösen, ha nagy frissítésről van szó, például egy teljesen új operációs rendszer verzióról. Az Android nem úgy néz ki, mint a Samsung One UI vagy az Oppo ColorOS, amikor elhagyja a Google Mountain View csokoládégyárát, igaz? És a kezdeti időkben Önnek, mint Samsungnak vagy Opponak, be kellett építenie az Android teljesen új verzióját az előző verzió testreszabott elemébe. Ez olyan, mintha megpróbálnánk kicserélni néhány összetevőt, miután az étel már elkészült – a végén szinte a nulláról kell kezdenie.
A Google megoldása? Alapvetően egy tévés vacsoratányér: ezt az ételt két különböző részben szolgálják fel. Elválasztja a gyártó testreszabásait – az összes One UI vagy ColorOS cuccot – az alap operációs rendszertől. Ez azt jelenti, hogy könnyebben frissítheti az egyiket anélkül, hogy a másikkal bajlódna. Ezt az egész próbálkozást Project Treble-nek hívják, és bár nem látja a telefonján, talán észrevette hogyan kap frissítéseket a ma birtokolt Android-eszköz, mint egy hét vagy nyolc éve használt eszköz ezelőtt.
Ráadásul a Google már sokkal korábban elkezdte megosztani az Android jövőbeli verzióit az OEM-ekkel. Így mire az első fejlesztői előnézetek Android 14 nyilvánosak voltak, a Samsunghoz hasonlók valószínűleg már pár hónapja lesték a színfalak mögé. Ami a biztonsági javításokat illeti, azokat egy hónappal korábban megosztják privátban, hogy a gyártók előnyt szerezzenek.
Tehát bár ez jó és jó, az emberek gyakran hosszabb ideig tartják a telefonokat, mint néhány év. Az új firmware kihelyezése még mindig nem triviális munka, és ezek a mérnökök nem dolgoznak ingyen. Projekt fővonal 2019-ben magát az Androidot modulárisabbá tette, olyan szoftvermodulokkal, mint a WiFi, Bluetooth, médiakezelés és még sok más. Ezeket a modulokat ezután közvetlenül a Google vagy a gyártó külön-külön frissítheti, anélkül, hogy a teljes firmware-frissítési folyamaton keresztül kellene mennie.
Ha valaha is látott Google Play rendszerfrissítést a telefonján, akkor ez az. Képzelje el ezt a következőképpen: Ha otthonában kigyullad egy villanykörte, most már csak cserélheti az izzót... míg azelőtt kiment a szabadba, porig égette a házát, és a tetejére épített egy újat.
A biztonsági védelem most sokkal jobb
Az Android biztonsági félelmei még 2023-ban is előfordulnak. De a mai különbség a mérgező pokolpörkölt időkhöz képest az, hogy rengeteg eszköz áll rendelkezésre ezek semlegesítésére. Vegyük például a 2015-ös Stagefright sebezhetőséget. Az Androidnak az a része, amelyet ez a hiba érint, ma egy Project Mainline modul, amely könnyedén frissíthető egészen az Android 10-re, teljes firmware-frissítés nélkül.
Egy másik példaként 2014-ben a „hamis azonosító” hiba lehetővé teheti egy rosszindulatú alkalmazás számára, hogy különleges engedélyekkel rendelkező alkalmazást adjanak ki, és ezzel potenciálisan felfedje adatait egy támadónak. Ha valami ilyesmi történne ma, a Play Protect leállítaná, és a mögöttes hiba gyorsan elpusztítható lenne az Android futásidejű moduljának Mainline frissítésében. Ráadásul a Google a titkosítás és a memóriakezelés terén is sokat tett annak érdekében, hogy megnehezítsen bármi hasznosat az Android jövőbeli sebezhetőségeivel, ha és amikor felbukkannak.
Egyetlen szoftver sem teljesen biztonságos. A 0 napos exploitok – azaz: titkos, foltozatlan sebezhetőségek – minden operációs rendszerhez léteznek, és a nemzetállamok használják, és hatalmas összegekért adják el a feketepiacon. A közelmúltban számos példa van arra, hogy nagy horderejű személyeket céloznak meg ijesztően kifinomult rosszindulatú programok a 0 nap alapján: olyan emberek, mint Jeff Bezos, Emmanuel Macron és Liz Truss. 2022-ben a volt brit miniszterelnöknek állítólag folyamatosan változtatnia kellett a telefonszámait, miután feltehetően orosz ügynökök feltörték. Végül a készülékét annyira kompromittáltnak ítélték, hogy lényegében a csernobili szarkofág okostelefonjának megfelelőjébe zárták.
Ha kíváncsi arra, hogy miért változtatta meg a telefonszámát, lehetséges, hogy a telefonját valami ilyesmi célozta A Pegasus, az izraeli gyártmányú kémprogram, amely állítólag képes átvenni az Android vagy iOS eszközök feletti uralmat pusztán a telefonjuk birtokában szám. Oroszország állítólag nem használ külföldön gyártott kémprogramokat, de valószínűleg megvan a saját hazai megfelelőjük a hasonló 0 napos kihasználások alapján.
Mindez azt mutatja, hogy a 100%-os biztonság csak illúzió – elérhetetlen, bármilyen eszközt vagy operációs rendszert is használ. Mindazonáltal az Android már túl van a "sérülékenységek mérgező poklának", ugyanúgy, ahogyan azt egy évtizeddel ezelőtt is vitathattad volna. Sokkal jobb helyzetben van ahhoz, hogy megbirkózzon a kertfajták fenyegetésével, amellyel azok találkozhatnak, akik nem kormányfők vagy egy billió dolláros cég vezérigazgatói.
Ráadásul az átlagember sokkal nagyobb valószínűséggel válik szociális manipuláció vagy más átverés áldozatává, nem pedig a telefon alapú rosszindulatú programok által. Ez a fajta csalás sok országban egyre terjed, és az Egyesült Királyságban, 2020 és 2022 között 25%-kal nőtt, a legtöbb esetben számítógépes visszaélésről van szó. Ahogy javult az okostelefonok biztonsága, azt mondhatjuk, hogy sok rosszfiú ráébred, hogy valójában könnyebb kihasználni a képernyőhöz kötött, nyurga, húsos összetevőt: téged.