Android는 취약점의 "독성 지옥"으로 묘사되었지만 더 이상 그렇지 않습니다.
iPhone 14 Pro Max, Google Pixel 7 Pro, Xiaomi 13 Ultra 및 Galaxy S23 Ultra
오늘날 Android는 지구상에서 가장 많이 사용되고 안전한 운영 체제 중 하나이지만 항상 그랬던 것은 아닙니다. 실제로 지난 2014년, ZDNet Android는 취약점이 가득한 "독성 지옥"이라고 불렸던 것으로 유명하며, 그해 iPhone 출시 당시 Tim Cook은 이를 인용했습니다. Cook은 Android가 너무 단편화되어 있고 업데이트가 너무 느려서 업데이트가 불가능하다고 지적했습니다. "실수로 안드로이드 폰을 구입한" 가난한 사람들은 아이폰 소유의 보안 근처 어디에서나 즐길 수 있습니다. 더 나은.
그러나 그것은 전체 이야기가 아니며 오늘날에는 확실히 정확하지 않습니다.
겸손한 시작
최초의 iPhone을 생각해 보면 2G를 통해 연결되었고 14개의 앱이 대략적으로 존재했으며 엄청난 양의 노이즈와 그레인이 있는 사진을 찍었습니다. 그러나 Apple이 얻을 수 있는 이점은 App Store 이전에는 사용자가 사용할 수 있었던 모든 14개 앱을 포함하여 회사가 하드웨어와 소프트웨어를 만들었다는 것입니다. Apple은 전체 경험을 관리했으며 이는 원할 때마다 업데이트를 푸시할 수 있음을 의미했습니다.
대조적으로, 안드로이드의 초창기는 조금 달랐습니다. 주방에는 요리사가 훨씬 더 많았습니다. 먼저 Google은 Android의 새 버전을 출시한 후 칩 제조업체에서 휴대전화가 사용하는 CPU에서 작동하도록 조정했습니다. 그런 다음 제조업체는 Android를 사용하여 새로운 기능이나 앱을 추가하고 일반적으로 외관에 대해 여러 가지를 변경해야 하며 종종 더 나쁘게 됩니다. 그런 다음 네트워크 브랜드 휴대폰인 경우 이동통신사에 문의해야 하며, 이동 중에도 네트워크에서 작동하는지 확인해야 합니다. 더 그냥 블로트웨어를 사용하는 거죠.
그러다가 운이 좋다면 새 Android 버전이 출시된 지 6개월이 지나서 일반 사용자로서 사람은 실제로 귀하의 휴대전화로 이를 얻을 수 있으며 귀하가 가질 수도 있고 없을 수도 있는 몇 가지 추가 기능도 함께 제공됩니다. 원했다. Android 생태계의 99%에서는 이것이 업데이트가 작동하는 방식이었으며 이는 큰 문제점이었습니다. 레스토랑에서 멋진 햄버거를 주문한 다음 프랜차이즈 소유자와 서버가 요청하지 않은 이상하고 역겨운 토핑을 추가하는 동안 기다려야 하는 것과 같습니다.
Android 스마트폰을 갖고 있지 않은 유일한 사람들은 종종 추가 소프트웨어도 포함된 업데이트를 받는 데 오랜 시간이 걸렸습니다. Google Nexus 소유자였습니다. 이 휴대폰은 기본 Android를 실행했으며 그 위에 아무것도 추가하지 않고 Google에서 직접 업데이트를 받았습니다. 문제는 그것이 끊임없이 확장되는 안드로이드 파이의 아주 작은 조각에 불과하다는 것이었습니다.
조각화로 인해 보안 문제가 발생함
이 전체 상황은 여러 가지 이유로 매우 나빴으며 그 중 하나는 보안이었습니다. 분명히 Google이나 Qualcomm이 먹이 사슬의 보안 버그를 수정해야 하고 실제로 대부분의 기기에 적용되기까지 추가로 몇 달을 기다려야 한다면 좋지 않습니다.
이는 당시 안드로이드의 성격과 휴대폰 제조사의 태도로 인해 더욱 악화됐다. ...쪽으로 업데이트. 기존 휴대폰의 소프트웨어 업데이트는 종종 귀찮은 일로 간주되었습니다. 무엇을 수정하거나 추가하든 원래 ROM에 있어야 했기 때문에 하나를 만들어야 했습니다. 결과적으로 당시 Android 세계의 거의 모든 사람들의 업데이트 기록은 기본적으로 오늘날 표준에 따르면 쓰레기 수거통 수준이었습니다. 운이 좋다면 플래그십은 몇 달 후에 주요 OS 업데이트를 받게 될 것입니다. 더 나쁜 점은 보안 패치가 아직까지 상용화되지 않았다는 점입니다.
상황이 더 나빠질 수 없다는 듯 이 시점에서는 거의 모든 중요한 핵심 Android 앱이 여전히 펌웨어에 포함되어 있습니다. 예를 들어 웹 브라우저 업데이트는 OTA로 패키징되어 제조업체와 통신업체의 인증을 기다려야 합니다. 따라서 Google 등의 브라우저 엔진 코드에서 취약점이 발견되면 광범위하고 신속하게 수정 사항을 적용할 수 있는 방법이 없습니다. 즉, 사용자마다 맞춤 설정이 다르고 맬웨어 및 기타 악성 코드에 대한 취약성 수준이 다른 다양한 버전을 사용해야 한다는 의미입니다. 따라서 Android 조각화입니다.
특히 iPhone의 첫 몇 세대 동안 iOS는 보안 문제에서 *결코* 자유롭지 못했다고 말할 가치가 있습니다. 공식 앱 스토어가 없다는 점은 스크립트 키디와 화이트 해커가 iPhone을 열어 새롭고 흥미로운 일을 하도록 만드는 큰 동기가 되었습니다. 당시 아이폰을 탈옥하는 주요 방법 중 하나는 브라우저의 버그를 이용하는 것이었습니다. 기본적으로 웹페이지는 원래 iPhone의 보안을 깨뜨릴 수 있습니다.
차이점은 Apple이 이러한 보안 구멍이 나타날 때 훨씬 더 빨리 이를 막을 수 있다는 것입니다. 많이 사용자 기반의 더 큰 덩어리. 안드로이드 쪽에서는 그렇지 않습니다.
Google은 나빴지만 지금은 Android가 훨씬 나아졌습니다.
이 모든 것은 구글이 안드로이드 버전 4와 5 시대에 제공했다고 알려진 "독성 지옥 스튜"였습니다. 돌이켜보면 Google이 Android에 대한 통제권을 유지하기 위해 더 많은 조치를 취했어야 했다고 말하기 쉽습니다. 또는 처음부터 시스템을 배치하여 업데이트가 더 자유롭고 자주 이루어질 수 있도록 하세요.
하지만 2007년 Android가 처음 개발되었을 당시에는 세상이 달랐다는 점을 기억해 둘 필요가 있습니다. 존재했던 스마트폰은 주로 사업가들을 위한 원시적인 이메일 매싱 장치였습니다. 모바일 결제는 현실에 전혀 가깝지 않았습니다. Uber는 앞으로 2년 동안 설립되지 않을 것입니다. 겸손한 리트윗은 존재하지도 않았습니다.
요점은 그 당시에는 다음 10년 동안 얼마나 많은 필수 일상 업무가 어떻게 이루어졌는지 명확하지 않았다는 것입니다. 휴대전화에 연결되어 있을 수도 있고, 어떻게 그렇게 소중하고 해킹 가능한 개인 정보의 보고가 될 수도 있나요? 데이터. Google의 공로로 지난 몇 년 동안 Android를 더욱 안전하게 만들고 보안 수정 사항을 더 많은 사람들에게 더 빨리 제공하기 위해 엄청난 변화가 있었습니다. 여기에는 여러 가지 이유가 있습니다.
예를 들어, Google Play 서비스는 휴대전화에서 업데이트되는 것을 본 적이 있지만 그다지 주의를 기울이지 않았을 수도 있습니다. 그러나 이는 실제로 Google이 Android 보안을 유지하고 몇 년 동안 새 펌웨어를 얻지 못한 할머니의 오래된 Galaxy S7에 Android 13의 새로운 기능을 가져오는 데 도움을 주는 방법에서 매우 중요한 부분입니다.
Play 서비스의 경우 시스템 앱이므로 휴대폰의 모든 항목에 대해 최상위 A+ Platinum 등급 권한 있는 액세스 권한을 갖습니다. 다른 앱을 설치 또는 삭제하거나 기기를 분실하거나 도난당한 경우 원격으로 기기를 지우는 등 Play 스토어에서 다운로드하는 일반 앱보다 훨씬 더 많은 일을 할 수 있습니다.
Play 서비스와 같은 시스템 앱은 제조업체에서 휴대전화에 로드해야 하지만 일단 로드되면 백그라운드에서 자동으로 업데이트될 수 있습니다. 이는 새 버전이 새로운 특징과 기능을 안전하게 추가할 수 있음을 의미합니다. 그리고 Play 서비스는 OS 전반에 걸쳐 촉수를 갖고 있습니다. 예를 들어 Android 13의 보안 사진 선택 기능이 그런 이유입니다. 새로운 펌웨어를 설치할 필요 없이 훨씬 이전 버전의 OS를 실행하는 휴대폰에 출시될 수 있습니다.
Play 서비스에는 악성 앱을 설치하기 전에 중지하거나 이미 설치된 경우 제거할 수 있는 Android의 OS 수준 맬웨어 방지 기능인 Google Play Protect도 포함되어 있습니다. Play 서비스의 또 다른 중요한 점은 완전히 오래된 Android 버전을 지원한다는 것입니다. Google은 일반적으로 약 10년이 지난 Android 버전에서만 Play 서비스에 대한 지원을 중단합니다. 지금은 2023년 여름이며 현재 버전의 Play 서비스는 2013년 Android 4.4 KitKat까지 지원됩니다. 겉으로 보기에 무작위로 보이는 괴상한 퀴즈는 훨씬 오래된 버전의 Android에서도 합리적으로 보안을 유지하는 데 도움이 되기 때문에 중요합니다. 이는 그 자체로 Android 보안 전략의 큰 부분입니다.
흥미롭게도 Play 서비스는 전 세계 여러 국가의 코로나19 대응에서 흥미로운 역할을 했습니다. Play 서비스를 통해 배포된 업데이트는 Google이 Apple과 함께 개발한 노출 알림 시스템을 본질적으로 전체 Android 사용자 기반에 단번에 출시할 수 있었던 방법이었습니다. Play 서비스가 없었다면 이러한 노력은 몇 달이 걸렸을 것이며 거의 많은 사람들에게 도달하지 못했을 것입니다.
사실, 안드로이드 조각화를 해결하려는 구글의 노력이 거의 10년 전에 이뤄졌을 것이라고 생각하는 것은 정말 말도 안되는 일입니다. 간접적으로 대유행 중에 꽤 많은 생명을 구했습니다.
무대 공포증
악성 코드 앱도 있지만, 악의적인 행위자가 휴대폰을 제어하거나 데이터를 훔치려고 시도할 수 있는 다른 방법도 있습니다. 브라우저 익스플로잇은 그 중 매우 중요한 부분이었으며 이제 다른 앱 내의 웹 콘텐츠에 대한 Chrome 브라우저와 WebView 코드가 모두 Play 스토어를 통해 업데이트됩니다. 실제로 이는 한때 펌웨어 업데이트가 필요했던 Android의 다양한 부분에 적용됩니다. 기타 기능으로는 Google 전화 다이얼러, Android 메시지 및 수많은 비하인드 앱이 있습니다.
따라서 2023년 오늘 악성 웹 페이지로 인해 휴대폰이 다운되거나 비밀번호가 도용되거나 스타벅스 앱이 주문을 엉망으로 만들 수 있는 불쾌한 브라우저 익스플로잇이 발견되었다고 가정해 보겠습니다. 현재 사용 중인 Android 버전이 무엇이든 상관없이 Google은 Play 스토어를 통해 Chrome 자체와 웹 콘텐츠를 표시하는 다른 앱 모두에 대한 업데이트를 푸시할 수 있습니다. 소위 유독한 지옥 스튜 시대로 돌아가서 동일한 수정 사항을 배포하려면 전체 펌웨어 업데이트가 필요했습니다. 모든 Android 휴대전화에 적용하려면 훨씬 더 많은 사람들이 해야 할 일이 훨씬 더 많습니다. 날.
또 다른 종류의 익스플로잇은 2015년 안드로이드 보안 세계에 큰 뉴스였습니다. "Stagefright" 버그는 이미지와 비디오 렌더링을 처리하는 Android 부분에 영향을 미쳤습니다. 올바른 방식으로 변조된 사진은 휴대폰에 나쁜 영향을 미칠 수 있습니다. 당시에는 전체 펌웨어 업데이트 없이는 Stagefright 구성 요소를 업데이트할 수 없었기 때문에 이는 큰 문제였습니다. 다시 말하지만, 수많은 추가 작업, 인증 및 대기가 필요할 수 있지만 잠재적으로 유령이 나오는 그림과 같은 디지털 버전은 언제든지 휴대폰을 활짝 열어 놓을 수 있습니다.
그 으스스한 Stagefright 보안 공포로 인한 결과는 두 가지였습니다. 첫째, Google은 보안 수준을 특정 날짜에 연결하여 매월 Android용 보안 패치를 출시하기 시작했습니다. 뿐만 아니라 Google은 Android 모듈화를 훨씬 더 진지하게 받아들이게 되었고 Stagefright와 같은 OS의 일부는 전체 펌웨어 업데이트 없이 Play 스토어를 통해 업데이트될 수 있었습니다.
새로운 Android 보안 패치는 현재까지도 매달 출시되고 있습니다. 그리고 최신 버전뿐만 아니라 이전 버전의 OS도 포함하므로 휴대폰이 아직 Android 11 또는 12를 사용하더라도 계속 보호할 수 있습니다. 일반적으로, 구글 픽셀 삼성의 주력 제품은 보안 패치를 먼저 받고, Motorola와 같은 다른 제품은 나머지 생태계 뒤에서 땀을 흘리며 분기당 최소한 하나의 패치를 계약에 따라 출시합니다.
이는 이 방정식의 반대 측면입니다. 이제 Google은 휴대전화 제조업체가 기기에서 Google 서비스와 함께 Android를 원하는 경우 최소한의 지원을 약속하도록 법적으로 요구합니다. 2018년으로 돌아가, 더 버지 보고됨 Google은 2년간의 보안 패치를 의무화하며, 최소 90일에 한 번씩 배포합니다.
요즘 Samsung 및 OnePlus와 같은 인기 브랜드는 4년의 OS 업데이트와 5년의 보안 패치를 약속하며 아마도 Google의 배후에서 격려를 받을 수도 있습니다.
요즘에는 업데이트가 훨씬 더 자주 나오음에도 불구하고 여전히 엔지니어링 작업이 많이 필요합니다. 특히 완전히 새로운 OS 버전과 같은 대규모 업데이트인 경우에는 더욱 그렇습니다. 안드로이드는 구글 마운틴뷰 초콜릿 공장을 떠날 때 삼성의 One UI나 오포의 ColorOS처럼 보이지 않습니다. 그렇죠? 그리고 초기에는 Samsung이나 Oppo로서 완전히 새로운 버전의 Android를 이전 버전의 맞춤형 포크에 통합해야 했습니다. 이는 식사가 이미 조리된 후 일부 재료를 교체하려는 것과 비슷합니다. 결국 거의 처음부터 다시 시작해야 합니다.
구글의 솔루션? 기본적으로 TV 디너 플레이트는 두 가지 섹션으로 나누어 식사를 제공합니다. 제조업체의 사용자 정의(모든 One UI 또는 ColorOS 관련 항목)를 핵심 OS에서 분리합니다. 즉, 다른 하나를 건드리지 않고도 하나를 더 쉽게 업데이트할 수 있다는 의미입니다. 이 모든 노력을 프로젝트 트레블(Project Treble)이라고 하며, 휴대폰에서는 볼 수 없지만 눈치채셨을 수도 있습니다. 현재 소유하고 있는 Android 기기가 7~8년 동안 사용한 Android 기기보다 훨씬 더 빠르게 업데이트되는 방법 전에.
게다가 Google은 훨씬 초기 단계에서 OEM과 향후 버전의 Android를 공유하기 시작했습니다. 그래서 첫 번째 개발자가 안드로이드 14 공개된 경우 삼성 같은 회사는 아마도 몇 달 정도 뒤에서 이를 엿보고 있었을 것입니다. 보안 패치의 경우 제조업체가 먼저 시작할 수 있도록 한 달 일찍 비공개로 공유됩니다.
그래서 모든 것이 좋고 좋은 반면, 사람들은 종종 2년 이상 휴대폰을 사용합니다. 새로운 펌웨어를 출시하는 것은 여전히 적지 않은 작업이며 해당 엔지니어는 무료로 일하지 않습니다. 프로젝트 메인라인 2019년에는 WiFi, Bluetooth, 미디어 처리 등을 위한 소프트웨어 모듈을 통해 Android 자체가 더욱 모듈화되었습니다. 그러면 이러한 모듈은 전체 펌웨어 업데이트 프로세스를 거치는 복잡한 절차 없이 Google이나 제조업체에서 별도로 직접 업데이트할 수 있습니다.
휴대전화에서 Google Play 시스템 업데이트를 본 적이 있다면 바로 그 것입니다. 이렇게 생각해보세요. 집에 전구가 터지면 이제 전구만 교체하면 됩니다... 이전에는 밖으로 나가서 집을 불태우고 그 위에 새 집을 지었습니다.
보안 보호가 훨씬 좋아졌습니다.
안드로이드 보안에 대한 우려는 2023년에도 여전히 발생합니다. 그러나 오늘날 유독한 지옥의 시대와 다른 점은 이를 무력화할 수 있는 도구가 많다는 것입니다. 2015년의 Stagefright 취약점을 예로 들어 보겠습니다. 해당 버그의 영향을 받는 Android 부분은 현재 프로젝트 메인라인 모듈이며, 전체 펌웨어 업데이트 없이 Android 10으로 쉽게 업데이트되었습니다.
또 다른 예로, 2014년에 발생한 "Fake ID" 버그로 인해 악성 앱이 특별한 권한을 가진 앱으로 가장하여 데이터가 공격자에게 노출될 가능성이 있었습니다. 오늘 그런 일이 발생하면 Play Protect가 이를 중지하고 Android 런타임 모듈에 대한 메인라인 업데이트를 통해 기본 버그를 신속하게 처리할 수 있습니다. 게다가 Google은 향후 Android 취약점이 발생할 경우 유용한 작업을 수행하기 어렵게 만들기 위해 암호화 및 메모리 관리와 관련하여 내부적으로 많은 작업을 수행했습니다.
어떤 소프트웨어도 완전히 안전할 수는 없습니다. 제로데이 익스플로잇(즉, 패치되지 않은 비밀 취약점)은 모든 운영 체제에 존재하며 국가에서 사용되며 암시장에서 막대한 금액에 판매됩니다. 최근에는 Jeff Bezos, Emmanuel Macron, 리즈 트러스. 2022년에 전 영국 총리는 러시아 요원에 의해 해킹당한 것으로 추정되는 해킹을 당한 후 계속 전화번호를 변경해야 했던 것으로 알려졌습니다. 결국, 그녀의 장치는 완전히 손상되어 기본적으로 체르노빌 석관에 해당하는 스마트폰에 잠겨 있는 것으로 간주되었습니다.
그녀가 왜 전화번호를 바꾸었는지 궁금하다면, 그녀의 전화번호가 다음과 같은 공격 대상이 되었을 가능성이 있습니다. 휴대폰만 있으면 안드로이드나 iOS 기기를 장악할 수 있는 것으로 알려진 이스라엘산 스파이웨어인 페가수스(Pegasus) 숫자. 러시아는 외국산 스파이웨어를 사용하지 않는 것으로 알려졌지만 유사한 제로데이 공격을 기반으로 자체 개발한 스파이웨어가 있을 가능성이 높습니다.
이 모든 것은 100% 보안이 환상임을 보여줍니다. 어떤 장치나 OS를 사용하든 달성할 수 없습니다. 그럼에도 불구하고 안드로이드는 10년 전에 주장했던 것과 같은 방식으로 "유독한 취약점의 지옥"이 되는 것을 훨씬 넘어섰습니다. 정부 수반이나 1조 달러 규모 기업의 CEO가 아닌 사람들이 직면할 수 있는 다양한 위협을 해결하는 데 훨씬 더 나은 위치에 있습니다.
더욱이 일반 사람은 전화 기반 악성 코드에 감염되기보다는 사회 공학이나 기타 사기의 피해자가 될 가능성이 훨씬 더 높습니다. 이런 종류의 사기는 많은 국가에서 증가하고 있으며, 영국에서는 2020년부터 2022년 사이에 25% 증가했습니다., 대부분의 경우 컴퓨터 오용과 관련이 있습니다. 스마트폰 보안이 향상됨에 따라 많은 악당들이 화면에 부착된 질퍽하고 육중한 구성 요소인 당신을 악용하는 것이 실제로 더 쉽다는 것을 깨닫고 있다고 말할 수 있습니다.