Keamanan Android telah meningkat pesat selama 10 tahun terakhir: Begini caranya

Saat ini, Android adalah salah satu sistem operasi yang paling banyak digunakan dan aman di dunia, namun tidak selalu seperti itu. Faktanya, pada tahun 2014 lalu, ZDNet terkenal menyebut Android sebagai kerentanan yang sangat beracun, yang kemudian dikutip oleh Tim Cook pada peluncuran iPhone tahun itu. Cook menegaskan bahwa Android sangat terfragmentasi dan pembaruannya sangat lambat sehingga tidak mungkin terjadi orang-orang miskin yang "membeli ponsel Android secara tidak sengaja" dapat menikmati keamanan yang hampir sama dengan kepemilikan iPhone mereka lebih baik.

Namun, itu bukanlah cerita lengkapnya, dan tentu saja hal tersebut tidak akurat saat ini.

Awal yang sederhana

Mengingat kembali iPhone pertama, iPhone terhubung melalui 2G, memiliki sekitar 14 aplikasi, dan mengambil foto dengan banyak noise dan grain. Namun, keuntungannya bagi Apple adalah perusahaan tersebut membuat perangkat keras dan perangkat lunak, termasuk 14 aplikasi tersebut, yang, sebelum adanya App Store, adalah satu-satunya aplikasi yang dapat Anda gunakan. Apple mengatur seluruh pengalaman, yang juga berarti bahwa mereka dapat meluncurkan pembaruan kapan pun mereka mau.

Sebaliknya, masa-masa awal Android sedikit berbeda, dengan lebih banyak juru masak di dapur. Pertama, Google akan merilis versi baru Android, yang kemudian diadaptasi oleh pembuat chip untuk bekerja pada CPU apa pun yang digunakan ponsel Anda. Kemudian pabrikan harus melakukan yang terbaik dengan Android, menambahkan fitur atau aplikasi baru, dan biasanya mengubah banyak hal tentang tampilannya — sering kali menjadi lebih buruk. Kemudian telepon tersebut perlu dikirimkan ke operator Anda jika itu adalah telepon bermerek jaringan, dan mereka akan memastikan telepon itu berfungsi di jaringan mereka sambil juga menyekopnya. lagi bloatware hanya untuk itu.

Lalu, jika Anda beruntung, mungkin enam bulan setelah versi Android baru diluncurkan, Anda akan seperti orang biasa orang, sebenarnya akan mendapatkannya di ponsel Anda — bersama dengan beberapa tambahan yang mungkin Anda miliki atau mungkin tidak miliki diinginkan. Bagi 99% ekosistem Android, ini adalah cara kerja pembaruan, dan ini merupakan masalah besar. Seperti memesan hamburger mewah di restoran dan kemudian harus menunggu sementara pemilik waralaba dan server menambahkan banyak topping aneh dan kotor yang tidak Anda minta.

Satu-satunya orang yang tidak membutuhkan waktu lama untuk mendapatkan pembaruan yang sering kali menyertakan perangkat lunak tambahan juga adalah pemilik Google Nexus. Ponsel ini menjalankan Android vanilla dan mendapat pembaruan langsung dari Google tanpa tambahan apa pun. Masalahnya adalah mereka hanya mewakili sepotong kecil dari kue Android yang terus berkembang.

Fragmentasi menciptakan masalah keamanan

Seluruh situasi ini sangat buruk karena berbagai alasan, dan salah satu alasan utamanya adalah keamanan. Tentu saja, tidak bagus jika Google atau Qualcomm perlu memperbaiki bug keamanan di rantai makanan, dan kemudian Anda harus menunggu beberapa bulan lagi agar bug tersebut benar-benar dapat diterapkan ke sebagian besar perangkat.

Hal ini diperburuk oleh sifat Android pada saat itu dan sikap para pembuat ponsel terhadap pembaruan. Pembaruan perangkat lunak untuk ponsel yang ada sering kali dipandang sebagai sebuah tugas — hampir seperti Anda akan gagal jika melakukannya harus membuatnya karena, apa pun yang Anda perbaiki atau tambahkan seharusnya ada di ROM asli. Akibatnya, rekam jejak pembaruan hampir semua orang di dunia Android saat itu pada dasarnya berada pada tingkatan sampah menurut standar saat ini. Unggulan akan mendapatkan satu pembaruan OS besar beberapa bulan kemudian jika mereka beruntung. Yang lebih buruk lagi adalah patch keamanan belum menjadi sesuatu yang penting.

Seolah-olah keadaannya tidak bisa lebih buruk lagi, hampir semua aplikasi inti Android yang penting masih dimasukkan ke dalam firmware pada saat ini. Pembaruan browser web, misalnya, perlu dikemas ke dalam OTA dan menunggu untuk disertifikasi oleh produsen dan operator. Jadi, jika kerentanan muncul di kode mesin browser, katakanlah, Google, tidak ada cara untuk melakukan perbaikan secara luas atau cepat. Artinya, orang yang berbeda akan terjebak pada versi berbeda dengan penyesuaian berbeda dan tingkat kerentanan berbeda terhadap malware dan malware lainnya. Oleh karena itu: fragmentasi Android.

Patut dikatakan bahwa iOS *tidak berarti* bebas dari masalah keamanan, terutama selama beberapa generasi pertama iPhone. Kurangnya toko aplikasi resmi merupakan insentif besar bagi para script kiddies dan peretas topi putih untuk membuka iPhone dan membuatnya melakukan hal-hal baru dan menarik. Setidaknya satu cara utama untuk melakukan jailbreak pada iPhone saat itu adalah dengan mengeksploitasi bug di browser. Pada dasarnya, halaman web dapat merusak keamanan iPhone asli.

Perbedaannya adalah Apple dapat mengatasi lubang keamanan tersebut lebih cepat ketika lubang tersebut muncul dan melakukannya di seluruh a banyak bagian yang lebih besar dari basis pengguna. Tidak demikian halnya di sisi Android.

Google buruk, tapi Android jauh lebih baik sekarang

Semua itu adalah "racun neraka" yang diduga disajikan Google pada zaman Android versi 4 dan 5. Melihat ke belakang, dengan melihat ke belakang, mudah untuk mengatakan bahwa Google seharusnya berbuat lebih banyak untuk mempertahankan kendali atas Android... atau menerapkan sistem sejak awal untuk membantu pembaruan mengalir lebih bebas dan sering.

Namun perlu diingat bahwa ketika Android pertama kali dikembangkan pada tahun 2007, dunia berada di tempat yang berbeda. Ponsel pintar yang ada sebagian besar merupakan alat penghancur email primitif untuk para pebisnis. Pembayaran seluler masih jauh dari kenyataan. Uber baru akan didirikan dalam dua tahun ke depan. Retweet sederhana itu bahkan tidak ada.

Intinya adalah, pada saat itu, tidak jelas bagaimana, pada dekade berikutnya, begitu banyak tugas penting sehari-hari akan terikat pada ponsel Anda, atau bagaimana ponsel tersebut akan menjadi harta karun pribadi yang berharga dan dapat diretas data. Terima kasih kepada Google, banyak hal telah berubah selama beberapa tahun terakhir yang membuat Android lebih aman dan memberikan perbaikan keamanan lebih cepat kepada lebih banyak orang. Ada beberapa alasan untuk hal ini.

Misalnya, Layanan Google Play adalah sesuatu yang mungkin pernah Anda lihat diperbarui di ponsel Anda dan mungkin belum terlalu Anda perhatikan. Namun, ini sebenarnya adalah bagian yang sangat penting dari cara Google menjaga keamanan Android dan membantu menghadirkan fitur-fitur baru dari Android 13 ke Galaxy S7 lama milik Nenek Anda yang sudah bertahun-tahun tidak mendapatkan firmware baru.

Dalam kasus Layanan Play, ini adalah aplikasi sistem, sehingga memiliki akses istimewa tingkat A+ Platinum tingkat atas ke semua yang ada di ponsel Anda. Ini dapat melakukan lebih dari sekadar aplikasi biasa yang Anda unduh dari Play Store, seperti memasang atau menghapus aplikasi lain atau bahkan menghapus perangkat Anda dari jarak jauh jika hilang atau dicuri.

Aplikasi sistem seperti Layanan Play perlu dimuat ke ponsel Anda oleh produsennya, namun begitu aplikasi tersebut ada, aplikasi tersebut dapat diperbarui secara otomatis di latar belakang. Artinya, versi baru dapat menambahkan fitur dan fungsi baru dengan aman. Dan Layanan Play memiliki tentakel di seluruh OS, itulah sebabnya, misalnya, fitur pemilih foto aman di Android 13 dapat diluncurkan ke ponsel yang menjalankan versi OS yang jauh lebih lama tanpa perlu menginstal firmware baru.

Layanan Play juga mencakup Google Play Protect, kemampuan antimalware tingkat OS Android yang dapat menghentikan aplikasi berbahaya sebelum diinstal atau menghapusnya jika sudah ada. Hal penting lainnya tentang Layanan Play adalah mendukung versi Android yang sangat kuno. Google biasanya hanya menghentikan dukungan untuk Layanan Play pada versi Android yang berusia sekitar sepuluh tahun. Saat ini, musim panas 2023, dan versi Layanan Play saat ini didukung hingga Android 4.4 KitKat tahun 2013. Hal-hal sepele aneh yang tampaknya acak ini penting karena membantu Anda tetap aman bahkan pada versi Android yang jauh lebih lama. Hal ini sendiri merupakan bagian besar dari strategi keamanan Android.

Menariknya, Layanan Play memainkan peran menarik dalam respons COVID-19 di banyak negara di dunia. Pembaruan yang didistribusikan melalui Layanan Play adalah bagaimana Google dapat meluncurkan Sistem Pemberitahuan Paparan yang telah dikembangkannya bersama Apple ke seluruh basis pengguna Android dalam satu gerakan. Tanpa Layanan Play, upaya semacam itu akan memakan waktu berbulan-bulan dan tidak menjangkau banyak orang.

Faktanya, cukup gila untuk berpikir bahwa upaya Google untuk memperbaiki fragmentasi Android hampir satu dekade sebelumnya mungkin terjadi secara tidak langsung akhirnya menyelamatkan banyak nyawa selama pandemi.

Demam panggung

Aplikasi malware adalah satu hal, tetapi ada cara lain yang dapat dicoba oleh pelaku jahat untuk mengambil kendali ponsel Anda atau mencuri data Anda. Eksploitasi browser adalah bagian utama dari hal tersebut, dan sekarang browser Chrome dan kode WebView untuk konten web dalam aplikasi lain diperbarui melalui Play Store. Faktanya, ini berlaku untuk sejumlah bagian Android berbeda yang pernah memerlukan pembaruan firmware. Lainnya termasuk Google Phone dialer, Android Message, dan aplikasi di belakang layar yang tak terhitung jumlahnya.

Jadi, katakanlah eksploitasi browser yang buruk ditemukan hari ini pada tahun 2023 di mana halaman web berbahaya dapat merusak ponsel Anda atau mencuri kata sandi Anda atau membuat aplikasi Starbucks mengacaukan pesanan Anda. Apa pun versi Android yang Anda gunakan, Google dapat meluncurkan pembaruan melalui Play Store yang mencakup Chrome itu sendiri dan aplikasi lain yang menampilkan konten web. Kembali pada masa-masa yang disebut sebagai penyakit yang sangat beracun, menerapkan perbaikan yang sama memerlukan pembaruan firmware lengkap agar dapat digunakan. untuk setiap ponsel Android: lebih banyak pekerjaan untuk lebih banyak orang, dan itu akan memakan waktu berbulan-bulan atau bahkan bertahun-tahun hari.

Jenis eksploitasi lainnya menjadi berita besar di dunia keamanan Android pada tahun 2015. Bug "Demam Panggung" memengaruhi bagian Android yang menangani rendering gambar dan video: foto yang diubah dengan cara yang benar dapat berdampak buruk pada ponsel Anda. Ini adalah masalah besar karena saat itu, komponen Stagefright tidak dapat diperbarui tanpa pembaruan firmware lengkap. Sekali lagi: banyak kerja ekstra, sertifikasi, dan menunggu, sementara lukisan digital yang setara dengan lukisan berhantu berpotensi membuat ponsel Anda terbuka lebar kapan saja.

Dampak dari ketakutan akan keamanan Stagefright ada dua: Pertama, Google mulai merilis patch keamanan bulanan untuk Android, yang mengikat tingkat keamanan Anda pada tanggal tertentu. Tidak hanya itu, hal ini membuat Google lebih serius dalam membuat Android modular, sehingga sebagian besar OS seperti Stagefright dapat diperbarui melalui Play Store tanpa memerlukan pembaruan firmware penuh.

Patch Keamanan Android baru masih dirilis setiap bulan hingga hari ini. Dan mereka juga mencakup versi OS yang lebih lama, bukan hanya yang terbaru, jadi meskipun ponsel masih menggunakan Android 11 atau 12, ponsel tetap dapat terlindungi. Umumnya, Google Piksel dan produk unggulan Samsung mendapatkan patch keamanan terlebih dahulu, sementara perusahaan lain seperti Motorola bekerja keras di belakang ekosistem lainnya, merilis kontrak minimal satu patch per kuartal.

Ini adalah sisi lain dari persamaan ini: Google sekarang secara hukum mewajibkan pembuat ponsel untuk berkomitmen terhadap tingkat dukungan minimum jika mereka menginginkan Android dengan layanan Google di perangkat mereka. Kembali pada tahun 2018, Tepi dilaporkan bahwa Google mengamanatkan patch keamanan selama dua tahun, yang dilakukan setidaknya sekali setiap 90 hari

Saat ini, merek-merek populer seperti Samsung dan OnePlus menjanjikan pembaruan OS selama empat tahun dan patch keamanan selama lima tahun, mungkin dengan dorongan dari Google di belakang layar.

Meskipun pembaruan lebih sering dilakukan saat ini, pembaruan tersebut masih memerlukan banyak kerja keras teknis, terutama jika pembaruannya besar, seperti versi OS yang benar-benar baru. Android tidak terlihat seperti One UI milik Samsung atau ColorOS milik Oppo saat keluar dari pabrik coklat Google Mountain View, bukan? Dan di masa-masa awal, Anda, sebagai Samsung atau Oppo, perlu memasukkan versi Android yang benar-benar baru ke dalam fork khusus Anda dari versi sebelumnya. Ini seperti mencoba menukar beberapa bahan setelah makanan sudah matang — Anda akhirnya harus memulai dari awal.

solusi Google? Pada dasarnya, piring makan TV: Anda menyajikan makanan itu dalam dua bagian berbeda. Anda memisahkan penyesuaian pabrikan -- semua hal One UI atau ColorOS -- dari OS inti. Dan itu berarti Anda dapat lebih mudah memperbarui satu tanpa mengacaukan yang lain. Seluruh upaya ini disebut Project Treble, dan meskipun Anda tidak dapat melihatnya di ponsel, Anda mungkin menyadarinya bagaimana perangkat Android yang Anda miliki saat ini mendapatkan pembaruan sedikit lebih cepat dibandingkan perangkat yang Anda gunakan selama tujuh atau delapan tahun yang lalu.

Selain itu, Google mulai membagikan versi Android masa depan dengan OEM pada tahap yang jauh lebih awal. Jadi pada saat pratinjau pengembang pertama Android 14 bersifat publik, perusahaan seperti Samsung mungkin telah mengintipnya di balik layar selama beberapa bulan atau lebih. Sedangkan untuk patch keamanan, patch tersebut dibagikan secara pribadi sebulan lebih awal agar produsen dapat mengambil langkah awal.

Jadi meskipun semuanya baik-baik saja, orang sering kali menyimpan ponsel lebih lama dari beberapa tahun saja. Mengeluarkan firmware baru masih merupakan pekerjaan yang tidak sepele, dan para insinyur tersebut tidak bekerja secara gratis. Jalur Utama Proyek pada tahun 2019 menjadikan Android sendiri lebih modular, dengan modul perangkat lunak untuk hal-hal seperti WiFi, Bluetooth, penanganan media, dan banyak lagi. Modul-modul ini kemudian dapat langsung diperbarui oleh Google atau pabrikan secara terpisah, tanpa harus melalui seluruh proses pembaruan firmware.

Jika Anda pernah melihat Pembaruan Sistem Google Play di ponsel Anda, itulah yang terjadi. Anggap saja seperti ini: Jika bola lampu meledak di rumah Anda, kini Anda cukup mengganti bohlamnya... padahal sebelumnya, Anda akan keluar, membakar rumah Anda hingga rata dengan tanah, dan membangun yang baru di atasnya.

Perlindungan keamanan jauh lebih baik sekarang

Kekhawatiran terhadap keamanan Android masih terjadi, bahkan pada tahun 2023. Namun perbedaannya saat ini, dibandingkan dengan masa-masa yang sangat beracun, terdapat banyak alat untuk menetralisirnya. Ambil contoh kerentanan Stagefright tahun 2015. Bagian Android yang terpengaruh oleh bug tersebut adalah modul Project Mainline saat ini, dan dengan mudah diperbarui hingga Android 10 tanpa pembaruan firmware penuh.

Contoh lainnya, pada tahun 2014, bug “ID Palsu” dapat memungkinkan aplikasi jahat menyamar sebagai aplikasi yang memiliki izin khusus, sehingga berpotensi memaparkan data Anda kepada penyerang. Jika hal seperti itu terjadi hari ini, Play Protect akan menghentikannya, dan bug yang mendasarinya dapat dengan cepat diatasi dalam pembaruan Mainline pada modul runtime Android. Selain itu, Google juga telah melakukan banyak hal dalam enkripsi dan manajemen memori untuk mempersulit tindakan yang berguna terhadap kerentanan Android di masa depan jika dan ketika kerentanan tersebut muncul.

Tidak ada perangkat lunak yang benar-benar aman. Eksploitasi 0 hari — yaitu: kerentanan rahasia yang belum ditambal — ada pada semua sistem operasi dan digunakan oleh negara-negara dan dijual dalam jumlah besar di pasar gelap. Ada banyak contoh baru-baru ini tentang individu terkenal yang menjadi sasaran malware yang sangat canggih berdasarkan 0-hari: orang-orang seperti Jeff Bezos, Emmanuel Macron, dan Liz Trus. Pada tahun 2022, mantan perdana menteri Inggris dilaporkan harus terus mengganti nomor telepon setelah diretas, yang diduga dilakukan oleh agen Rusia. Akhirnya, perangkatnya dianggap telah disusupi sepenuhnya sehingga terkunci di dalam ponsel pintar yang setara dengan sarkofagus Chernobyl.

Jika Anda bertanya-tanya mengapa dia mengubah nomor teleponnya, mungkin teleponnya menjadi sasaran sesuatu seperti Pegasus, spyware buatan Israel yang kabarnya bisa mengambil alih perangkat Android atau iOS hanya dengan memiliki ponselnya nomor. Rusia dilaporkan tidak menggunakan spyware buatan luar negeri, namun kemungkinan besar mereka memiliki spyware buatan dalam negeri berdasarkan eksploitasi 0 hari yang serupa.

Semua ini menunjukkan bahwa keamanan 100% hanyalah ilusi — hal ini tidak mungkin tercapai, apa pun perangkat atau OS yang Anda gunakan. Namun demikian, Android sudah tidak lagi menjadi “kerentanan yang sangat beracun” seperti yang Anda katakan satu dekade yang lalu. Jauh lebih baik jika kita mengatasi berbagai ancaman yang mungkin dihadapi oleh kita yang bukan kepala pemerintahan atau CEO perusahaan bernilai triliunan dolar.

Terlebih lagi, rata-rata orang jauh lebih mungkin menjadi korban rekayasa sosial atau penipuan lainnya dibandingkan tersengat malware berbasis ponsel. Penipuan semacam ini sedang meningkat di banyak negara, dan di Inggris, itu meningkat sebesar 25% antara tahun 2020 dan 2022, dengan sebagian besar kasus melibatkan penyalahgunaan komputer. Seiring dengan meningkatnya keamanan ponsel cerdas, bisa dibilang banyak pelaku kejahatan menyadari bahwa sebenarnya lebih mudah untuk mengeksploitasi komponen licin dan gemuk yang melekat pada layar: Anda.