„Android“ sauga per pastaruosius 10 metų labai pagerėjo: štai kaip

Šiais laikais „Android“ yra viena iš labiausiai naudojamų ir saugiausių operacinių sistemų planetoje, tačiau ne visada taip buvo. Tiesą sakant, dar 2014 m. ZDNet „Android“ garsiai vadino pažeidžiamumų „toksišku pragaru“, kurį tuomet citavo Timas Cookas tų metų „iPhone“ pristatymo metu. Cookas atkreipė dėmesį į tai, kad „Android“ buvo tokia suskaidyta, o atnaujinimai buvo gaunami taip lėtai, kad jų nebuvo įmanoma vargšai žmonės, kurie „per klaidą nusipirko Android telefoną“, galėjo mėgautis savo iPhone turimu saugumu geriau.

Tačiau tai nėra visa istorija ir šiais laikais ji tikrai nėra tiksli.

Nuolanki pradžia

Prisimenant patį pirmąjį „iPhone“, jis prisijungė per 2G, turėjo kažkur 14 programų ir fotografavo su didžiuliu triukšmo ir grūdų kiekiu. Tačiau „Apple“ nauda buvo ta, kad bendrovė sukūrė aparatinę ir programinę įrangą, įskaitant visas 14 tų programų, o tai buvo viskas, ką galėjote naudoti dar prieš „App Store“. „Apple“ valdė visą patirtį, o tai taip pat reiškė, kad jie galėjo bet kada pateikti atnaujinimus.

Priešingai, ankstyvosios „Android“ dienos buvo šiek tiek kitokios – patarlių virtuvėje buvo daug daugiau virėjų. Pirmiausia „Google“ išleis naują „Android“ versiją, kurią vėliau pritaikė lustų gamintojai, kad veiktų su bet kuriuo jūsų telefono naudojamu procesoriumi. Tada gamintojas turėjo susitaikyti su „Android“, pridėti naujų funkcijų ar programų ir paprastai pakeisti daugybę dalykų, susijusių su išvaizda – dažnai į blogąją pusę. Tada jis turėjo kreiptis į jūsų operatorių, jei tai buvo tinklo prekės ženklo telefonas, ir jie įsitikins, kad jis veikia jų tinkle, o taip pat daugiau „bloatware“ tik už velnių.

Tada, jei jums pasiseks, praėjus šešiems mėnesiams po naujos „Android“ versijos paleidimo, jūs, kaip įprastas asmuo, iš tikrųjų gautų jį į jūsų telefoną – kartu su keliais priedais, kurių galite turėti arba neturėti norėjo. 99 % „Android“ ekosistemos naujinimai veikė taip, ir tai buvo didelis skausmo taškas. Panašu, kad restorane užsisakytumėte prabangų mėsainį, o tada tektų laukti, kol franšizės savininkas ir serveris pridės daugybę keistų, šiurkščių priedų, kurių jūs neprašėte.

Vieninteliai žmonės, kuriems neturėdavo „Android“ išmaniųjų telefonų amžinai gauti naujinimų, kuriuose dažnai būdavo ir papildomos programinės įrangos, buvo „Google Nexus“ savininkai. Šiuose telefonuose buvo įdiegta „vanilla Android“ sistema, o naujinimai buvo gauti tiesiai iš „Google“, nieko nepridėta. Problema ta, kad jie sudarė tik mažą vis besiplečiančio „Android“ pyrago gabalėlį.

Suskaidymas sukuria saugumo problemų

Visa ši situacija buvo gana bloga dėl daugelio priežasčių, o viena iš pagrindinių buvo saugumas. Akivaizdu, kad nėra puiku, jei „Google“ ar „Qualcomm“ reikia ištaisyti saugos klaidą toliau maisto grandinėje, o tada turėsite palaukti dar kelis mėnesius, kol ji iš tikrųjų pasieks daugumą įrenginių.

Tai dar labiau pablogino to meto „Android“ prigimtis ir telefonų gamintojų požiūris link atnaujinimus. Esamų telefonų programinės įrangos naujinimai dažnai buvo laikomi rūpesčiu – beveik taip, lyg būtumėte sugedę turėjo jį sukurti, nes viskas, ką taisytumėte ar pridėtumėte, turėjo būti originaliame ROM. Todėl tuo metu beveik visų „Android“ pasaulio naudotojų atnaujinimai iš esmės buvo šiukšliadėžės lygio pagal šiandienos standartus. Jei pasisektų, flagmanai po kelių mėnesių gaus vieną svarbų OS atnaujinimą. Dar blogiau, kad saugos pataisos dar nebuvo reikalas.

Lyg ir negali būti blogiau, beveik visos svarbios pagrindinės „Android“ programos šiuo metu vis dar buvo įtrauktos į programinę-aparatinę įrangą. Pavyzdžiui, žiniatinklio naršyklės naujinimai turi būti supakuoti į OTA ir palaukti, kol juos patvirtins gamintojas ir operatorius. Taigi, jei naršyklės variklio kode atsirado, tarkime, „Google“ pažeidžiamumas, nebuvo jokio būdo, kad pataisymai būtų išstumti plačiai ar greitai. Tai reiškė, kad skirtingi žmonės bus įstrigę prie skirtingų versijų su skirtingais tinkinimais ir skirtingu pažeidžiamumu dėl kenkėjiškų programų ir kitų bėdų. Taigi: „Android“ susiskaidymas.

Verta pasakyti, kad „iOS“ *jokiu būdu* nebuvo be saugumo problemų, ypač per pirmąsias „iPhone“ kartas. Oficialios programų parduotuvės nebuvimas buvo didelė paskata scenarijų vaikams ir baltaskrybėles turintiems įsilaužėliams išlaužti „iPhone“ ir priversti jį daryti naujus ir įdomius dalykus. Bent vienas iš pagrindinių „iPhone“ nulaužimo būdų buvo naršyklės klaidos išnaudojimas. Iš esmės tinklalapis gali pažeisti originalų „iPhone“ saugumą.

Skirtumas buvo tas, kad „Apple“ galėjo daug greičiau užtaisyti šias saugumo spragas, kai jos atsirado, ir tai padaryti per a daug didesnė vartotojų bazės dalis. Ne taip „Android“ pusėje.

„Google“ buvo bloga, bet „Android“ dabar yra daug geresnė

Visa tai buvo „toksiškas pragaro troškinys“, kurį „Google“ tariamai naudojo 4 ir 5 „Android“ versijų laikais. Žvelgiant atgal, nesunku pasakyti, kad „Google“ turėjo padaryti daugiau, kad išlaikytų „Android“ kontrolę... arba įdiegti sistemas nuo pat pradžių, kad naujinimai būtų siunčiami laisviau ir dažniau.

Tačiau verta prisiminti, kad tada, kai 2007 m. pirmą kartą buvo sukurta „Android“, pasaulis buvo kitokia vieta. Išmanieji telefonai, kurie egzistavo, daugiausia buvo primityvūs el. pašto maišymo būdai, skirti verslo žmonėms. Mokėjimai mobiliuoju telefonu niekur nebuvo realūs. „Uber“ nebus įkurta dar dvejus metus. Kuklus retweetas net neegzistavo.

Esmė ta, kad tada nebuvo aišku, kaip per ateinantį dešimtmetį buvo atlikta tiek daug esminių kasdienių užduočių būtų pririštas prie jūsų telefono ir kaip jis taptų tokiu brangių, nulaužiamų asmeninių daiktų lobiu duomenis. „Google“ nuopelnas yra tai, kad per pastaruosius kelerius metus labai daug kas pasikeitė, kad „Android“ būtų saugesnis ir daugiau žmonių greičiau gautų saugos pataisymus. Tam yra keletas priežasčių.

Pvz., „Google Play“ paslaugos yra kažkas, ką galbūt matėte atnaujinant savo telefoną, į ką galbūt nekreipėte daug dėmesio. Tačiau tai iš tikrųjų yra labai svarbi dalis, kaip „Google“ saugo „Android“ ir padeda įdiegti naujas „Android 13“ funkcijas į seną močiutės „Galaxy S7“, kuri daugelį metų negavo naujos programinės įrangos.

„Play Services“ atveju tai yra sistemos programa, todėl ji turi aukščiausio lygio A+ platinos lygio privilegijuotą prieigą prie visko, kas yra jūsų telefone. Tai gali padaryti daug daugiau nei įprasta programa, kurią atsisiunčiate iš „Play“ parduotuvės, pvz., įdiegti arba ištrinti kitas programas arba net nuotoliniu būdu išvalyti įrenginį, jei jis pamestas ar pavogtas.

Sistemos programas, pvz., „Play Services“, gamintojas turi įkelti į telefoną, tačiau kai tik jos yra, jos gali būti automatiškai atnaujinamos fone. Tai reiškia, kad naujos versijos gali saugiai pridėti naujų funkcijų ir funkcijų. „Play Services“ turi čiuptuvus visoje OS, todėl, pavyzdžiui, „Android 13“ saugaus nuotraukų rinkiklio funkcija gali būti įdiegta telefonuose, kuriuose veikia daug senesnės OS versijos, nereikalaujant jokios naujos programinės įrangos.

„Play“ paslaugose taip pat yra „Google Play Protect“, „Android“ OS lygio kovos su kenkėjiškomis programomis galimybė, galinti sustabdyti kenkėjiškas programas prieš jas įdiegiant arba pašalinti jas, jei jos jau yra. Kitas svarbus „Play Services“ dalykas yra tai, kad jos palaiko visiškai senas „Android“ versijas. „Google“ paprastai atsisako „Play“ paslaugų palaikymo tik maždaug dešimties metų senumo „Android“ versijose. Šiuo metu 2023 m. vasara, o dabartinė „Play“ paslaugų versija palaikoma iki 2013 m. „Android 4.4 KitKat“. Ši, atrodytų, atsitiktinė smulkmena yra svarbi, nes padeda išlikti pakankamai saugiai net naudojant daug senesnes „Android“ versijas. Tai savaime yra didelė „Android“ saugos strategijos dalis.

Įdomu tai, kad „Play Services“ suvaidino įdomų vaidmenį reaguojant į COVID-19 daugelyje pasaulio šalių. Atnaujinimas, platinamas naudojant „Play Services“, buvo tai, kaip „Google“ vienu ypu išleido pranešimo apie galimą kontaktą su užsikrėtusiu asmeniu sistemą, kurią sukūrė kartu su „Apple“, iš esmės visai „Android“ naudotojų bazei. Be „Play“ paslaugų tokios pastangos būtų užtrukusios kelis mėnesius ir nepasiektų tiek daug žmonių.

Tiesą sakant, gana beprotiška manyti, kad „Google“ pastangos ištaisyti „Android“ susiskaidymą greičiausiai prieš dešimtmetį netiesiogiai per pandemiją išgelbėjo nemažai gyvybių.

Scenos baimė

Kenkėjiškų programų programos yra vienas dalykas, tačiau yra ir kitų būdų, kaip blogi veikėjai gali bandyti valdyti jūsų telefoną arba pavogti jūsų duomenis. Naršyklės išnaudojimai buvo gana didelė to dalis, o dabar „Chrome“ naršyklė ir „WebView“ kodas, skirtas žiniatinklio turiniui kitose programose, atnaujinami „Play“ parduotuvėje. Tiesą sakant, tai taikoma daugybei skirtingų „Android“ dalių, kurioms kažkada reikėjo atnaujinti programinę-aparatinę įrangą. Kiti apima „Google“ telefono rinkiklį, „Android Messages“ ir daugybę užkulisinių programų.

Taigi, tarkime, šiandien 2023 m. aptiktas bjaurus naršyklės išnaudojimas, kai kenkėjiškas tinklalapis gali sugadinti jūsų telefoną, pavogti slaptažodžius arba priversti „Starbucks“ programą sujaukti jūsų užsakymą. Nesvarbu, kurią „Android“ versiją naudojate, „Google“ gali iš „Play“ parduotuvės pateikti naujinimus, apimančius pačią „Chrome“ ir bet kurią kitą žiniatinklio turinį rodančią programą. Dar vadinamojo toksiškojo pragaro laikais, norint įdiegti tą patį pataisą, reikia visiškai atnaujinti programinę-aparatinę įrangą. kiekvienam „Android“ telefonui: daug daugiau darbo daug daugiau žmonių, o vietoj to būtų prireikę mėnesių ar net metų dienų.

Kitas išnaudojimo būdas buvo didelė naujiena „Android“ saugumo pasaulyje 2015 m. „Stagefright“ klaida paveikė „Android“ dalį, kuri tvarkė vaizdų ir vaizdo įrašų atvaizdavimą: tinkamai sugadinta nuotrauka gali pakenkti jūsų telefonui. Tai buvo didelė problema, nes tada to Stagefright komponento nebuvo galima atnaujinti be viso programinės įrangos atnaujinimo. Vėlgi: daug papildomo darbo, sertifikavimo ir laukimo, kol galbūt skaitmeninis paveikslo, kuriame yra persekiojamas paveikslas, atitikmuo gali bet kuriuo metu nulaužti jūsų telefoną.

To baisaus „Stagefright“ saugumo išgąsčio pasekmės buvo dvejopos: pirma, „Google“ pradėjo kas mėnesį leisti „Android“ saugos pataisas, susiejant jūsų saugos lygį su konkrečia data. Negana to, tai privertė „Google“ rimčiau pažvelgti į „Android“ modulinį kūrimą, todėl tokias OS dalis kaip „Stagefright“ buvo galima atnaujinti „Play“ parduotuvėje nereikalaujant viso programinės įrangos atnaujinimo.

Naujos „Android“ saugos pataisos vis dar išleidžiamos kiekvieną mėnesį iki šios dienos. Jie taip pat apima senesnes OS versijas, ne tik naujausias, todėl net jei telefone vis dar veikia 11 ar 12 versijos „Android“, jis vis tiek gali būti apsaugotas. Apskritai, Google Pixel „Samsung“ flagmanai pirmiausia gauna saugos pataisas, o kiti, pavyzdžiui, „Motorola“, prakaituoja už likusios ekosistemos, išleisdami sutartyje numatytą tik vieną pataisą per ketvirtį.

Tai yra kita šios lygties pusė: „Google“ dabar teisiškai reikalauja, kad telefonų gamintojai įsipareigotų užtikrinti minimalų palaikymo lygį, jei nori, kad jų įrenginiuose būtų „Android“ su „Google“ paslaugomis. Dar 2018 m. The Verge pranešė kad „Google“ reikalauja dvejų metų saugos pataisų, išleidžiamų bent kartą per 90 dienų

Šiomis dienomis populiarūs prekių ženklai, tokie kaip „Samsung“ ir „OnePlus“, žada ketverių metų OS atnaujinimus ir penkerių metų saugos pataisymus, galbūt su „Google“ užkulisiais.

Nepaisant to, kad šiais laikais naujinimai išleidžiami daug dažniau, jiems vis tiek reikia daug inžinerinio darbo, ypač kai tai didelis atnaujinimas, pavyzdžiui, visiškai nauja OS versija. „Android“ neatrodo kaip „Samsung One“ vartotojo sąsaja ar „Oppo“ „ColorOS“, kai ji palieka „Google“ Mountain View šokolado gamyklą, tiesa? Ir iš pradžių jums, kaip „Samsung“ ar „Oppo“, reikės įtraukti visą naują „Android“ versiją į pritaikytą ankstesnės versijos šakę. Tai panašu į bandymą pakeisti kai kuriuos ingredientus, kai patiekalas jau paruoštas – galiausiai turėsite beveik pradėti nuo nulio.

Google sprendimas? Iš esmės, TV vakarienės lėkštė: patiekiate tą patiekalą dviejose skirtingose ​​​​sekcijose. Atskiriate gamintojo pritaikymus – visus „One UI“ arba „ColorOS“ dalykus – nuo ​​pagrindinės OS. O tai reiškia, kad galite lengviau atnaujinti vieną, nesimaišydami su kitu. Visos šios pastangos vadinasi „Project Treble“ ir nors nematote jos savo telefone, galbūt pastebėjote kaip šiandien jums priklausantis „Android“ įrenginys atnaujinamas šiek tiek greičiau nei tas, kurį naudojote septynerius ar aštuonerius metus prieš.

Be to, „Google“ pradėjo dalytis būsimomis „Android“ versijomis su originalios įrangos gamintojais daug anksčiau. Taigi iki pirmosios kūrėjo peržiūros Android 14 buvo vieši, tokie kaip „Samsung“ tikriausiai žiūrėjo į jo užkulisius maždaug porą mėnesių. Kalbant apie saugos pataisas, jos dalijamos privačiai mėnesiu anksčiau, kad gamintojams būtų suteikta pažanga.

Taigi, nors viskas yra gerai, žmonės dažnai išlaiko telefonus ilgiau nei porą metų. Naujos programinės įrangos išstūmimas vis dar yra nereikšmingas darbas, o tie inžinieriai nedirba nemokamai. Pagrindinis projektas 2019 m. pati „Android“ tapo labiau modulinė, su programinės įrangos moduliais, skirtais tokiems dalykams kaip „WiFi“, „Bluetooth“, medijos tvarkymas ir daug daugiau. Tada „Google“ arba gamintojas gali tiesiogiai atnaujinti šiuos modulius atskirai, nereikalaujant viso programinės įrangos atnaujinimo proceso.

Jei kada nors savo telefone matėte „Google Play“ sistemos naujinį, tai yra būtent tai. Pagalvokite apie tai taip: jei jūsų namuose perdega lemputė, dabar galite tiesiog pakeisti lemputę... o anksčiau išeidavai į lauką, sudegindavai savo namą ir ant jo viršaus pastatydavai naują.

Saugumo apsauga dabar yra daug geresnė

„Android“ saugumo baimės vis dar pasitaiko, net 2023 m. Tačiau šiandieninis skirtumas nuo toksiškų pragaro troškimo laikų yra tas, kad yra daugybė priemonių jiems neutralizuoti. Pavyzdžiui, 2015 m. „Stagefright“ pažeidžiamumas. „Android“ dalis, kurią paveikė ši klaida, šiandien yra „Project Mainline“ modulis ir lengvai atnaujinamas iki „Android 10“ be viso programinės įrangos atnaujinimo.

Kitas pavyzdys: 2014 m. „netikras ID“ klaida gali leisti kenkėjiška programai apsimesti programa, turinčia specialius leidimus, o tai gali atskleisti jūsų duomenis užpuolikui. Jei kažkas panašaus atsitiktų šiandien, „Play Protect“ jį sustabdytų, o pagrindinė klaida galėtų būti greitai pašalinta naudojant „Android“ vykdymo modulio „Mainline“ naujinimą. Be to, „Google“ taip pat daug nuveikė šifruodama ir tvarkydama atmintį, kad būtų sunkiau padaryti ką nors naudingo su būsimais „Android“ pažeidžiamumu, jei jie atsiras.

Jokia programinė įranga niekada nėra visiškai saugi. 0 dienų išnaudojimai – tai yra: slapti, nepataisyti pažeidžiamumai – egzistuoja visose operacinėse sistemose, jais naudojasi nacionalinės valstybės ir juodojoje rinkoje parduodama už didžiules sumas. Neseniai yra daug pavyzdžių, kai į garsius asmenis nukreipta siaubingai sudėtinga kenkėjiška programa, pagrįsta 0 dienų: tokie žmonės kaip Jeffas Bezosas, Emmanuelis Macronas ir Liz Truss. Pranešama, kad 2022 metais buvęs JK ministras pirmininkas turėjo nuolat keisti telefono numerius po to, kai buvo įsilaužta, kaip manoma, Rusijos agentų. Galiausiai buvo manoma, kad jos įrenginys buvo taip visiškai pažeistas, kad iš esmės buvo užrakintas Černobylio sarkofago išmaniajame telefone.

Jei jums įdomu, kodėl ji pakeitė savo telefono numerį, gali būti, kad jos telefonas buvo nukreiptas į kažką panašaus „Pegasus“, Izraelio sukurta šnipinėjimo programa, kuri, kaip pranešama, gali perimti „Android“ ar „iOS“ įrenginius tik turėdama savo telefoną numerį. Pranešama, kad Rusija nenaudoja užsienyje pagamintų šnipinėjimo programų, tačiau tikėtina, kad jos turi savo atitikmenį, pagrįstą panašiais 0 dienų išnaudojimais.

Visa tai rodo, kad 100% saugumas yra iliuzija – jis nepasiekiamas, nesvarbu, kurį įrenginį ar OS naudojate. Nepaisant to, „Android“ jau seniai tapo „toksišku pažeidžiamumų pragaru“ taip pat, kaip galėjote teigti, kad tai buvo prieš dešimtmetį. Ji yra daug geresnė padėtis kovoti su sodų įvairovės grėsmėmis, su kuriomis gali susidurti tie iš mūsų, kurie nesame vyriausybės vadovai ar trilijonų dolerių vertės įmonės generaliniai direktoriai.

Be to, paprastas žmogus daug labiau linkęs tapti socialinės inžinerijos ar kitos aferos auka, o ne patekti į telefonais veikiančią kenkėjišką programą. Tokio pobūdžio sukčiavimo atvejų daugėja daugelyje šalių ir JK, 2020–2022 m. jis padidėjo 25 proc, dauguma atvejų susiję su netinkamu kompiuterio naudojimu. Išmaniųjų telefonų saugumui pagerėjus, galima sakyti, kad daugelis blogiukų supranta, kad iš tikrųjų lengviau išnaudoti ploną, mėsingą prie ekrano komponentą: jus.