Android tika aprakstīts kā ievainojamību "toksisks elles sautējums", taču tas vairs tā nav.
iPhone 14 Pro Max, Google Pixel 7 Pro, Xiaomi 13 Ultra un Galaxy S23 Ultra
Mūsdienās Android ir viena no visvairāk izmantotajām un drošākajām operētājsistēmām uz planētas, taču ne vienmēr tā bija. Faktiski tālajā 2014. ZDNet slavens sauc Android par "toksisku hellstew" ievainojamību, ko pēc tam citēja Tim Cook tajā gadā iPhone palaišanas. Kuks norādīja, ka Android ir tik sadrumstalota un atjauninājumi tika saņemti tik lēni, ka tiem nebija nekādu iespēju nabadzīgie cilvēki, kuri "kļūdas dēļ iegādājās Android tālruni", varēja baudīt savu iPhone drošību jebkur labākie.
Tomēr tas nav viss stāsts, un mūsdienās tas noteikti nav precīzs.
Pazemīgs sākums
Atskatoties uz pašu pirmo iPhone, tas savienojās, izmantojot 2G, tajā bija 14 lietotnes, un tas uzņēma fotoattēlus ar milzīgu troksni un graudiem. Tomēr Apple ieguvums bija tas, ka uzņēmums izgatavoja aparatūru un programmatūru, tostarp visas 14 no šīm lietotnēm, kuras pirms App Store bija viss, ko varējāt izmantot. Apple pārvaldīja visu pieredzi, kas arī nozīmēja, ka viņi varēja publicēt atjauninājumus jebkurā laikā.
Turpretim Android agrākās dienas bija nedaudz atšķirīgas, un sakāmvārdu virtuvē bija daudz vairāk pavāru. Pirmkārt, Google izlaidīs jaunu Android versiju, kuru pēc tam mikroshēmu ražotāji pielāgoja darbam ar jebkuru jūsu tālruņa izmantoto CPU. Pēc tam ražotājam bija jāstrādā ar Android, jāpievieno jaunas funkcijas vai lietotnes un parasti jāmaina vairākas lietas, kas saistītas ar tā izskatu — bieži vien uz slikto pusi. Pēc tam tas bija jāsazinās ar jūsu mobilo sakaru operatoru, ja tas bija tīkla zīmola tālrunis, un viņi pārliecinās, ka tas darbojas viņu tīklā, vienlaikus izmantojot lāpstu. vairāk bloatware tikai par elli.
Pēc tam, ja jums paveicas, varbūt sešus mēnešus pēc jaunas Android versijas palaišanas, jūs kā regulārs lietotājs persona, patiesībā to saņemtu jūsu tālrunī — kopā ar dažām papildu iespējām, kuras jums var būt vai nebūt gribēja. 99% Android ekosistēmas atjauninājumi darbojās šādi, un tas bija liels sāpju punkts. Līdzīgi kā pasūtīt greznu hamburgeru restorānā un pēc tam gaidīt, kamēr franšīzes īpašnieks un serveris pievienos virkni dīvainu, rupju piedevu, ko jūs neprasījāt.
Vienīgie cilvēki, kuriem Android viedtālruņos nebija vajadzīgs uz visiem laikiem saņemt atjauninājumus, kuros bieži tika iekļauta arī papildu programmatūra, bija Google Nexus īpašnieki. Šie tālruņi darbojās ar vaniļas Android operētājsistēmu, un tie saņēma atjauninājumus tieši no Google, un tiem nekas nebija pievienots. Problēma bija tā, ka tie pārstāvēja tikai niecīgu gabaliņu no arvien pieaugošā Android pīrāga.
Sadrumstalotība rada drošības problēmas
Visa šī situācija bija diezgan slikta vairāku iemeslu dēļ, un viens no tiem bija drošība. Acīmredzot nav lieliski, ja uzņēmumam Google vai Qualcomm ir jānovērš drošības kļūda, kas atrodas tālāk pārtikas ķēdē, un tad jums jāgaida papildu mēneši, līdz tā faktiski nonāks lielākajā daļā ierīču.
To pasliktināja tā laika Android būtība un tālruņu ražotāju attieksme virzienā atjauninājumus. Esošo tālruņu programmatūras atjauninājumi bieži tika uzskatīti par grūtu darbu — gandrīz tā, it kā jūs būtu sajukuši tas bija jāizveido, jo neatkarīgi no tā, ko labojat vai pievienojat, tam vajadzēja būt oriģinālajā ROM. Rezultātā gandrīz ikviena Android lietotāju toreizējā atjaunināšanas pieredze pēc mūsdienu standartiem būtībā bija atkritumu tvertne. Ja paveicas, vadošie uzņēmumi saņems vienu lielu OS atjauninājumu mēnešus vēlāk. Vēl ļaunāk ir tas, ka drošības ielāpi vienkārši vēl nebija nekas.
It kā sliktāk vairs nevarētu būt, gandrīz visas svarīgās Android galvenās lietotnes šajā brīdī joprojām bija iekļautas programmaparatūrā. Piemēram, tīmekļa pārlūkprogrammas atjauninājumi ir jāiepako OTA un jāgaida, līdz tos sertificēs ražotājs un mobilo sakaru operators. Tātad, ja, piemēram, Google, pārlūkprogrammas dzinēja kodā tika atklāta ievainojamība, nebija iespējas panākt, lai labojumi tiktu plaši vai ātri izspiesti. Tas nozīmēja, ka dažādi cilvēki būs iestrēguši dažādās versijās ar dažādiem pielāgojumiem un atšķirīgu ievainojamības līmeni pret ļaunprātīgu programmatūru un citām nepatīkamām programmām. Tādējādi: Android sadrumstalotība.
Ir vērts teikt, ka iOS *nekādā ziņā* nebija brīva no drošības problēmām, it īpaši pirmajās iPhone paaudzēs. Oficiālā lietotņu veikala trūkums bija liels pamudinājums skriptu bērniem un balto cepuru hakeriem uzlauzt iPhone un likt tam darīt jaunas un aizraujošas lietas. Vismaz viens galvenais veids, kā toreiz uzlauzt iPhone, bija pārlūkprogrammas kļūdas izmantošana. Būtībā tīmekļa lapa var sabojāt sākotnējā iPhone drošību.
Atšķirība bija tāda, ka Apple varēja aiztaisīt šos drošības caurumus daudz ātrāk, kad tie parādījās, un darīt to visā a daudz lielāka lietotāju bāzes daļa. Android pusē tā nav.
Google bija slikts, bet Android tagad ir daudz labāks
Tas viss bija "toksiskais elles sautējums", ko Google it kā darbojās Android 4. un 5. versijas dienās. Atskatoties pagātnē, ir viegli teikt, ka Google būtu jādara vairāk, lai saglabātu kontroli pār Android... vai ieviest sistēmas jau no paša sākuma, lai palīdzētu atjauninājumiem plūst brīvāk un biežāk.
Tomēr ir vērts atcerēties, ka 2007. gadā, kad Android tika izstrādāta pirmo reizi, pasaule bija citāda vieta. Viedtālruņi, kas pastāvēja, galvenokārt bija primitīvi e-pasta sajaukšanas rīki biznesa cilvēkiem. Mobilie maksājumi ne tuvu nebija realitāte. Uber netiktu dibināts vēl divus gadus. Pazemīgais retvīts pat neeksistēja.
Lieta ir tāda, ka toreiz nebija skaidrs, kā nākamajā desmitgadē tika veikti tik daudzi svarīgi ikdienas uzdevumi tiks piesaistīts jūsu tālrunim, ne arī kā tas kļūtu par tik dārgu, uzlaužamu personisku dārgumu krātuvi datus. Google nopelns, ka pēdējos gados ir notikušas ļoti daudzas izmaiņas, lai ievērojami padarītu Android drošāku un ātrāk saņemtu drošības labojumus lielākam skaitam cilvēku. Tam ir vairāki iemesli.
Piemēram, Google Play pakalpojumi ir kaut kas tāds, ko, iespējams, esat redzējis, ka tālrunī tiek atjaunināts, un, iespējams, neesat pievērsis tam lielu uzmanību. Tomēr patiesībā tā ir ļoti svarīga daļa no tā, kā Google nodrošina Android Android drošību un palīdz ieviest jaunas funkcijas no operētājsistēmas Android 13 jūsu vecmāmiņas vecajā Galaxy S7, kas gadiem ilgi nav ieguvis jaunu programmaparatūru.
Play pakalpojumu gadījumā tā ir sistēmas lietotne, tāpēc tai ir augstākā līmeņa A+ platīna līmeņa priviliģēta piekļuve visam jūsu tālrunī. Tas var paveikt daudz vairāk nekā parastā lietotne, ko lejupielādējat no Play veikala, piemēram, instalēt vai dzēst citas lietotnes vai pat attālināti notīrīt ierīci, ja tā tiek pazaudēta vai nozagta.
Sistēmas lietotnes, piemēram, Play pakalpojumi, ražotājam ir jāielādē tālrunī, taču, tiklīdz tās ir pieejamas, tās var automātiski atjaunināt fonā. Tas nozīmē, ka jaunās versijas var droši pievienot jaunas funkcijas un funkcionalitāti. Un Play pakalpojumiem ir taustekļi visā OS, tāpēc, piemēram, Android 13 drošā fotoattēlu atlasītāja funkcija var tikt ieviesta tālruņos, kuros darbojas daudz vecākas OS versijas, bez jaunas programmaparatūras instalēšanas.
Play pakalpojumos ir iekļauta arī Google Play Protect — Android OS līmeņa pretļaunatūras iespēja, kas var apturēt ļaunprātīgas lietotnes pirms to instalēšanas vai noņemt tās, ja tās jau ir pieejamas. Vēl viena svarīga lieta saistībā ar Play pakalpojumiem ir tā, ka tā atbalsta absolūti senās Android versijas. Google parasti pārtrauc atbalstu Play pakalpojumiem tikai Android versijās, kas ir aptuveni desmit gadus vecas. Pašlaik ir 2023. gada vasara, un pašreizējā Play pakalpojumu versija tiek atbalstīta līdz pat 2013. gada operētājsistēmai Android 4.4 KitKat. Šie šķietami nejaušie niecīgie sīkumi ir svarīgi, jo tie palīdz nodrošināt pietiekamu drošību pat daudz vecākās Android versijās. Tā pati par sevi ir liela daļa no Android drošības stratēģijas.
Interesanti, ka Play pakalpojumiem bija interesanta loma daudzu pasaules valstu atbildē uz Covid-19. Atjauninājums, kas tika izplatīts, izmantojot Play pakalpojumus, bija tas, kā Google vienā rāvienā varēja ieviest saskarsmes paziņojumu sistēmu, ko tā bija izstrādājusi kopā ar Apple, lai būtībā visa Android lietotāju bāze. Bez Play pakalpojumiem šāda veida centieni būtu prasījuši vairākus mēnešus un nesasniegtu gandrīz tik daudz cilvēku.
Patiesībā ir diezgan traki domāt, ka Google centieni novērst Android sadrumstalotību, iespējams, ir gandrīz desmit gadus agrāk netieši pandēmijas laikā izglāba vairākas dzīvības.
Skatuves bailes
Ļaunprātīgas programmatūras lietotnes ir viena lieta, taču ir arī citi veidi, kā ļaunie dalībnieki var mēģināt pārņemt kontroli pār jūsu tālruni vai nozagt jūsu datus. Pārlūkprogrammas izmantošana bija diezgan liela daļa no tā, un tagad gan pārlūkprogramma Chrome, gan WebView kods tīmekļa saturam citās lietotnēs tiek atjaunināti Play veikalā. Faktiski tas attiecas uz daudzām dažādām Android daļām, kurām kādreiz bija nepieciešams atjaunināt programmaparatūru. Citas ietver Google tālruņa numuru sastādītāju, Android ziņojumus un neskaitāmas aizkulišu lietotnes.
Tātad, pieņemsim, ka šodien 2023. gadā tiek atklāts šķebinošs pārlūkprogrammas izmantojums, kurā ļaunprātīga tīmekļa lapa var avarēt jūsu tālruni vai nozagt jūsu paroles, vai likt lietotnei Starbucks izjaukt jūsu pasūtījumu. Nav nozīmes tam, kuru Android versiju izmantojat, Google varētu izlikt atjauninājumus, izmantojot Play veikalu, aptverot gan pašu Chrome, gan jebkuru citu lietotni, kas parāda tīmekļa saturu. Tā sauktā toksiskā sliekšņa laikos, lai ieviestu to pašu labojumu, būtu nepieciešams pilns programmaparatūras atjauninājums. katram Android tālrunim: daudz vairāk darba daudz vairāk cilvēku, un tā vietā tas būtu prasījis mēnešus vai pat gadus dienas.
Vēl viens ļaunprātīgas izmantošanas veids bija lielas ziņas Android drošības pasaulē 2015. gadā. Kļūda "Stagefright" skāra to Android daļu, kas apstrādāja attēlu un video atveidošanu: fotoattēls, kas tika manipulēts pareizi, var kaitēt jūsu tālrunim. Tā bija liela problēma, jo toreiz šo Stagefright komponentu nevarēja atjaunināt bez pilnīgas programmaparatūras atjaunināšanas. Atkal: daudz papildu darba, sertifikācijas un gaidīšanas, kamēr, iespējams, spokainas gleznas digitālais ekvivalents jebkurā brīdī var pilnībā atvērt jūsu tālruni.
Šīs spokainās Stagefright drošības pārbaužu sekas bija divējādas: pirmkārt, Google sāka izlaist ikmēneša drošības ielāpus operētājsistēmai Android, sasaistot jūsu drošības līmeni ar noteiktu datumu. Ne tikai tas, bet arī lika Google daudz nopietnāk uztvert Android moduļu veidošanu, tāpēc tādas operētājsistēmas daļas kā Stagefright varēja atjaunināt, izmantojot Play veikalu, bez nepieciešamības pilnībā atjaunināt programmaparatūru.
Jauni Android drošības ielāpi joprojām tiek izvesti katru mēnesi līdz pat šai dienai. Tie aptver arī vecākas operētājsistēmas versijas, ne tikai jaunākās, tāpēc pat tad, ja tālrunī joprojām darbojas operētājsistēma Android 11 vai 12, to joprojām var aizsargāt. Kopumā Google Pixel un Samsung flagmaņi vispirms iegūst drošības ielāpus, un citi, piemēram, Motorola, svīstoši skrien aiz pārējās ekosistēmas, izlaižot līgumā paredzēto minimālo ielāpu — vienu ielāpu ceturksnī.
Tā ir šī vienādojuma otra puse: Google tagad juridiski pieprasa tālruņu ražotājiem apņemties nodrošināt minimālu atbalsta līmeni, ja viņi vēlas savās ierīcēs izmantot Android ar Google pakalpojumiem. Vēl 2018. gadā, The Verge ziņots ka Google nosaka divu gadu drošības ielāpus, kas tiek izvadīti vismaz reizi 90 dienās
Mūsdienās populāri zīmoli, piemēram, Samsung un OnePlus, sola četrus gadus ilgus OS atjauninājumus un piecus gadus ilgus drošības ielāpus, iespējams, ar kādu Google aizkulises mudinājumu.
Neraugoties uz to, ka mūsdienās atjauninājumi tiek izdoti daudz biežāk, tiem joprojām ir nepieciešams liels inženierijas darbs, it īpaši, ja tas ir liels atjauninājums, piemēram, pilnīgi jauna OS versija. Android neizskatās pēc Samsung One UI vai Oppo ColorOS, kad tā atstāj Google Mountain View šokolādes rūpnīcu, vai ne? Un pirmajās dienās jums kā Samsung vai Oppo bija jāiekļauj šī jaunā Android versija savā pielāgotajā iepriekšējās versijas dakšā. Tas ir līdzīgi kā mēģināt nomainīt dažas sastāvdaļas, kad maltīte jau ir pagatavota — galu galā jums gandrīz jāsāk no jauna.
Google risinājums? Būtībā TV vakariņu šķīvis: jūs pasniedzat šo maltīti divās dažādās sadaļās. Jūs nošķirat ražotāja veiktos pielāgojumus — visus One UI vai ColorOS elementus no pamata OS. Un tas nozīmē, ka varat vieglāk atjaunināt vienu, nejaucoties ar otru. Visa šī darbība tiek saukta par Project Treble, un, lai gan jūs to nevarat redzēt savā tālrunī, jūs, iespējams, pamanījāt kā Android ierīce, kas jums pieder šodien, tiek atjaunināta nedaudz ātrāk nekā ierīce, kuru izmantojāt septiņus vai astoņus gadus pirms.
Turklāt Google sāka kopīgot nākamās Android versijas ar oriģinālo iekārtu ražotājiem daudz agrāk. Tātad līdz brīdim, kad pirmo izstrādātāju priekšskatījumi Android 14 bija publiski, tādi kā Samsung droši vien bija skatījušies to aizkulisēs jau pāris mēnešus. Kas attiecas uz drošības ielāpiem, tie tiek kopīgoti privāti mēnesi iepriekš, lai ražotājiem būtu labāks starts.
Tātad, lai gan viss ir labi, cilvēki bieži glabā tālruņus ilgāk nekā tikai pāris gadus. Jaunas programmaparatūras izstumšana joprojām ir nenozīmīgs darba apjoms, un šie inženieri nestrādā bez maksas. Projekta galvenā līnija 2019. gadā pašu Android padarīja modulārāku ar programmatūras moduļiem, piemēram, WiFi, Bluetooth, multivides apstrādei un daudz ko citu. Pēc tam Google vai ražotājs var tieši atjaunināt šos moduļus atsevišķi, neveicot visu programmaparatūras atjaunināšanas procesu.
Ja kādreiz savā tālrunī esat redzējis Google Play sistēmas atjauninājumu, tas tā ir. Padomājiet par to šādi: ja jūsu mājā pārdeg spuldze, tagad varat vienkārši nomainīt spuldzi... turpretī agrāk tu izej ārā, nodedzināji savu māju līdz zemei un uzcēla tai virsū jaunu.
Drošības aizsardzība tagad ir daudz labāka
Android drošības bailes joprojām notiek pat 2023. gadā. Taču atšķirība mūsdienās salīdzinājumā ar toksiskajiem elles sautēšanas laikiem ir tāda, ka ir daudz rīku, lai tos neitralizētu. Piemēram, 2015. gada Stagefright ievainojamība. Šīs kļūdas skartā Android daļa šodien ir Project Mainline modulis, un to var viegli atjaunināt līdz pat operētājsistēmai Android 10 bez pilnīgas programmaparatūras atjaunināšanas.
Vēl viens piemērs: 2014. gadā kļūda “viltus ID” var ļaut ļaunprātīgai lietotnei uzdoties par kādu, kam ir īpašas atļaujas, tādējādi potenciāli pakļaujot jūsu datus uzbrucējam. Ja kaut kas līdzīgs notiktu šodien, Play Protect to apturētu, un pamatā esošo kļūdu varētu ātri novērst Android izpildlaika moduļa Mainline atjauninājumā. Turklāt Google ir arī daudz darījis saistībā ar šifrēšanu un atmiņas pārvaldību, lai apgrūtinātu jebkādu noderīgu darbību saistībā ar turpmākajām Android ievainojamībām, ja un kad tās parādās.
Neviena programmatūra nekad nav pilnībā droša. 0 dienu izlietojumi — tas ir: slepenas, nelāpotas ievainojamības — pastāv visām operētājsistēmām, un tos izmanto nacionālās valstis un pārdod par milzīgām summām melnajā tirgū. Ir daudzi neseni piemēri, kad ļoti sarežģītas ļaunprogrammatūras, kuru pamatā ir 0 dienu, mērķauditorija ir augsta profila personas: tādi cilvēki kā Džefs Bezoss, Emanuels Makrons un Liza Trusa. Tiek ziņots, ka 2022. gadā bijušajam Apvienotās Karalistes premjerministram bija jāturpina mainīt tālruņa numurus pēc tam, kad viņu uzlauza, domājams, Krievijas aģenti. Galu galā tika uzskatīts, ka viņas ierīce ir tik pilnībā apdraudēta, ka tā būtībā tika bloķēta Černobiļas sarkofāga viedtālruņa ekvivalentā.
Ja jums rodas jautājums, kāpēc viņa mainīja savu tālruņa numuru, iespējams, ka viņas tālruņa mērķauditorija bija kaut kas līdzīgs Pegasus, Izraēlā ražota spiegprogrammatūra, kas, kā ziņots, var pārņemt Android vai iOS ierīces, vienkārši izmantojot tālruni numuru. Tiek ziņots, ka Krievija neizmanto ārzemēs ražotu spiegprogrammatūru, taču, visticamāk, tai ir savs pašmāju ekvivalents, kas balstīts uz līdzīgiem 0 dienu varoņdarbiem.
Tas viss liecina, ka 100% drošība ir ilūzija — tā ir nesasniedzama neatkarīgi no izmantotās ierīces vai OS. Neskatoties uz to, Android vairs nav kļuvis par "toksisku ievainojamību dēlu" tādā pašā veidā, kā jūs varētu apgalvot, ka tas bija pirms desmit gadiem. Tā ir daudz labāk piemērota, lai cīnītos pret dārzu šķirņu apdraudējumiem, ar kuriem var saskarties tie no mums, kuri nav valdību vadītāji vai triljonu dolāru uzņēmuma izpilddirektori.
Turklāt vidusmēra cilvēks, visticamāk, kļūs par sociālās inženierijas vai citas krāpniecības upuri, nevis no tālruņa ļaunprātīgas programmatūras. Šāda veida krāpšana pieaug daudzās valstīs un Apvienotajā Karalistē, no 2020. līdz 2022. gadam tas palielinājās par 25%., un vairums gadījumu ir saistīti ar datora ļaunprātīgu izmantošanu. Tā kā viedtālruņa drošība ir uzlabojusies, varētu teikt, ka daudzi ļaundari saprot, ka patiesībā ir vieglāk izmantot ekrānam pievienoto smalko, gaļīgo komponentu: jūs.