Securitatea Android s-a îmbunătățit treptat în ultimii 10 ani: iată cum

Android a fost unul descris ca un „iad toxic” de vulnerabilități, dar nu mai este cazul.

iPhone 14 Pro Max, Google Pixel 7 Pro, Xiaomi 13 Ultra și Galaxy S23 Ultra

În zilele noastre, Android este unul dintre cele mai utilizate și mai sigure sisteme de operare de pe planetă, dar nu a fost întotdeauna așa. De fapt, în 2014, ZDNet celebru numit Android „un iad toxic” de vulnerabilități, care a fost apoi citat de Tim Cook la lansarea iPhone din acel an. Cook a spus că Android era atât de fragmentat, iar actualizările au ajuns atât de lent încât nu exista nicio cale oamenii săraci care „și-au cumpărat un telefon Android, din greșeală” s-ar putea bucura oriunde aproape de securitatea deținătorului lor de iPhone mai buni.

Cu toate acestea, aceasta nu este întreaga poveste și, cu siguranță, nu este exactă în zilele noastre.

Începuturi umile

Gândindu-ne la primul iPhone, s-a conectat prin 2G, a avut undeva în parcul celor 14 aplicații și a făcut fotografii cu o cantitate uriașă de zgomot și cereale. Cu toate acestea, avantajul pentru Apple a fost că compania a realizat hardware-ul și software-ul, inclusiv toate cele 14 aplicații, care, înainte de App Store, era tot ce puteai folosi. Apple a guvernat întreaga experiență, ceea ce a însemnat, de asemenea, că ar putea să lanseze actualizări oricând doresc.

În schimb, primele zile ale Androidului au fost puțin diferite, cu mult mai mulți bucătari în bucătăria proverbială. În primul rând, Google va lansa o nouă versiune de Android, care a fost apoi adaptată de producătorii de cipuri pentru a funcționa pe orice procesor folosit de telefonul dvs. Apoi, producătorul a trebuit să se descurce cu Android, să adauge noi funcții sau aplicații și, de obicei, să schimbe o grămadă de lucruri despre cum arăta - adesea în rău. Apoi, trebuia să meargă la operatorul dvs. dacă era un telefon cu marcă de rețea, iar ei s-ar asigura că funcționează în rețeaua lor, în timp ce ar fi folosit Mai mult bloatware doar pentru naiba.

Apoi, dacă ai avut noroc, poate la șase luni după lansarea unei noi versiuni Android, tu, ca un obișnuit persoană, l-ar primi de fapt pe telefonul dvs. - împreună cu câteva suplimente pe care le aveți sau nu dorit. Pentru 99% din ecosistemul Android, așa au funcționat actualizările și a fost un mare punct de durere. Cam ca și cum ai comanda un hamburger elegant la un restaurant și apoi trebuie să aștepți până când proprietarul francizei și serverul au adăugat o grămadă de toppinguri ciudate și groaznice pe care nu le-ai cerut.

Singurii oameni care nu aveau smartphone-uri Android au nevoie de o veșnicie pentru a obține actualizări care deseori includeau software suplimentar au fost proprietarii Google Nexus. Aceste telefoane rulau Android vanilla și au primit actualizări direct de la Google fără nimic adăugat pe deasupra. Problema a fost că reprezentau doar o mică parte dintr-o felie din plăcinta Android în continuă expansiune.

Fragmentarea creează probleme de securitate

Întreaga situație a fost destul de rea din mai multe motive, iar unul important a fost securitatea. Evident, nu este grozav dacă Google sau Qualcomm trebuie să remedieze o eroare de securitate mai departe în lanțul alimentar, iar apoi trebuie să așteptați luni suplimentare pentru ca acesta să ajungă efectiv pe majoritatea dispozitivelor.

Acest lucru a fost agravat de natura Android la acea vreme și de atitudinea producătorilor de telefoane către actualizări. Actualizările de software pentru telefoanele existente au fost adesea privite ca o corvoadă - aproape ca și cum ai fi dat greș dacă ai fi făcut-o a trebuit să fac unul pentru că, ei bine, orice ați repara sau adăugați ar fi trebuit să fie în ROM-ul original. Ca rezultat, istoricul de actualizare a aproape toți cei din lumea Android de atunci era practic la nivel de gunoi conform standardelor actuale. Flagship-urile ar primi o actualizare majoră a sistemului de operare luni mai târziu, dacă ar avea noroc. Și mai rău este că patch-urile de securitate nu erau încă un lucru.

De parcă nu ar putea deveni mai rău, aproape toate aplicațiile Android de bază importante au fost încă incluse în firmware în acest moment. Actualizările browserului web, de exemplu, ar trebui să fie împachetate într-o OTA și să aștepte să fie certificate de către producător și operator. Deci, dacă a apărut o vulnerabilitate în codul motorului browserului de la, să zicem, Google, nu a existat nicio modalitate de a obține remedieri expuse pe scară largă sau rapid. Asta însemna că diferiți oameni ar fi blocați pe versiuni diferite cu personalizări diferite și niveluri diferite de vulnerabilitate la malware și alte nenorociri. Prin urmare: fragmentarea Android.

Merită spus că iOS nu a fost *in nici un caz* lipsit de probleme de securitate, mai ales în timpul primelor două generații de iPhone. Lipsa unui magazin oficial de aplicații a fost un mare stimulent pentru copiii cu scenarii și hackerii cu pălărie albă să deschidă iPhone-ul și să-l facă să facă lucruri noi și interesante. Cel puțin o modalitate majoră de a face jailbreakul iPhone-urilor de atunci implica exploatarea unei erori în browser. Practic, o pagină web ar putea sparge securitatea iPhone-ului original.

Diferența era că Apple putea să astupe acele găuri de securitate mult mai rapid atunci când apăreau și să facă acest lucru prin a mult o bucată mai mare a bazei de utilizatori. Nu este așa pe partea Android.

Google a fost rău, dar Android este mult mai bun acum

Toate acestea au fost „tocana toxică” pe care se presupunea că Google a oferit-o în zilele versiunilor Android 4 și 5. Privind în urmă cu beneficiul retroviziunii, este ușor să spunem că Google ar fi trebuit să facă mai mult pentru a păstra controlul asupra Android... sau puneți în aplicare sisteme de la început pentru a ajuta actualizările să circule mai liber și mai frecvent.

Merită să ne amintim, totuși, că atunci când Android a fost dezvoltat pentru prima dată în 2007, lumea era un loc diferit. Telefoanele inteligente care au existat erau în principal instrumente primitive de zdrobire de e-mailuri pentru oamenii de afaceri. Plățile mobile nu erau nici pe departe o realitate. Uber nu va fi fondat încă doi ani. Retweetul umil nici nu a existat.

Ideea este că, pe atunci, nu era clar cum, în următorul deceniu, atâtea sarcini cotidiene esențiale ar fi legat de telefonul dvs. și nici cum ar deveni o astfel de comoară de personal prețios, hackabil date. Spre meritul lui Google, s-au schimbat foarte multe în ultimii ani pentru a face Android mai sigur și pentru a obține soluții de securitate mai rapid pentru mai mulți oameni. Există o serie de motive pentru aceasta.

De exemplu, Serviciile Google Play este ceva pe care poate l-ați văzut actualizându-vă pe telefon, căruia poate nu i-ați acordat prea multă atenție. Cu toate acestea, este de fapt o parte extrem de importantă a modului în care Google menține Android în siguranță și ajută la aducerea de noi funcții de la Android 13 pe vechiul Galaxy S7 al bunicii tale, care nu a primit firmware nou de ani de zile.

În cazul serviciilor Play, este o aplicație de sistem, deci are acces privilegiat de nivel superior A+ Platinum la tot ce este de pe telefonul tău. Poate face mai mult decât o aplicație obișnuită pe care ați descărca din Magazinul Play, cum ar fi instalarea sau ștergerea altor aplicații sau chiar ștergerea de la distanță a dispozitivului dacă este pierdut sau furat.

Aplicațiile de sistem precum Serviciile Play trebuie să fie încărcate pe telefon de către producător, dar odată ce sunt acolo, pot fi actualizate automat în fundal. Aceasta înseamnă că noile versiuni pot adăuga în siguranță noi caracteristici și funcționalități. Și Play Services are tentacule peste tot sistemul de operare, motiv pentru care, de exemplu, funcția de selecție securizată a fotografiilor Android 13 ar putea fi lansat pe telefoanele care rulează versiuni mult mai vechi ale sistemului de operare fără a fi necesar instalarea unui firmware nou.

Serviciile Play include și Google Play Protect, capacitatea antimalware la nivel de sistem de operare a Android, care poate opri aplicațiile rău intenționate înainte de a fi instalate sau le poate elimina dacă sunt deja acolo. Un alt lucru important despre Play Services este că acceptă versiuni absolut vechi de Android. De obicei, Google renunță la suportul pentru Serviciile Play doar pe versiunile Android care au aproximativ zece ani. În acest moment, este vara anului 2023, iar versiunea actuală a serviciilor Play este acceptată până la Android 4.4 KitKat din 2013. Acest fragment aparent aleatoriu de trivia tocilar este important pentru că vă ajută să rămâneți în siguranță în mod rezonabil chiar și pe versiuni mult mai vechi de Android. Aceasta în sine este o mare parte a strategiei de securitate Android.

În mod interesant, Play Services a jucat un rol interesant în răspunsul COVID-19 al multor țări din întreaga lume. O actualizare distribuită prin Play Services a fost modul în care Google a reușit să lanseze Sistemul de notificare a expunerii pe care l-a dezvoltat împreună cu Apple pentru, în esență, întreaga bază de utilizatori Android dintr-o singură lovitură. Fără Play Services, acest tip de efort ar fi durat luni de zile și nu ar fi ajuns la atât de mulți oameni.

De fapt, este destul de nebunesc să crezi că eforturile Google de a remedia fragmentarea Android cu aproape un deceniu mai devreme probabil indirect a ajuns să salveze destul de multe vieți în timpul pandemiei.

Emoții de scenă

Aplicațiile malware sunt un lucru, dar există și alte moduri prin care actorii răi pot încerca să preia controlul asupra telefonului dvs. sau să vă fure datele. Exploatările browserului au reprezentat o parte destul de importantă a acestui lucru, iar acum atât browserul Chrome, cât și codul WebView pentru conținutul web din alte aplicații sunt actualizate prin Magazinul Play. De fapt, acest lucru este valabil pentru o mulțime de părți diferite ale Android, care odată necesitau o actualizare de firmware. Altele includ Google Phone Dialer, Android Messages și nenumărate aplicații din culise.

Așadar, să presupunem că o exploatare neplăcută a browserului este descoperită astăzi, în 2023, în care o pagină web rău intenționată ar putea să vă blocheze telefonul sau să vă fure parolele sau să facă ca aplicația Starbucks să vă strice comanda. Nu contează pe ce versiune de Android folosiți, Google ar putea trimite actualizări prin Magazinul Play, care acoperă atât Chrome însuși, cât și orice altă aplicație care afișează conținut web. În vremurile așa-numitului tocan al iadului toxic, implementarea aceleiași remedieri ar avea nevoie de o actualizare completă a firmware-ului pentru a funcționa pentru fiecare telefon Android: mult mai mult lucru pentru mult mai mulți oameni și ar fi durat luni sau chiar ani în loc de zile.

Un alt tip de exploit a fost o veste mare în lumea securității Android în 2015. Bug-ul „Stagefright” a afectat partea din Android care se ocupa de redarea imaginilor și a videoclipurilor: o fotografie care a fost modificată în mod corect ar putea face lucruri rele telefonului tău. Aceasta a fost o mare problemă, deoarece pe atunci, acea componentă Stagefright nu putea fi actualizată fără o actualizare completă a firmware-ului. Din nou: o mulțime de muncă suplimentară, certificare și așteptare în timp ce, potențial, echivalentul digital al unui tablou bântuit îți poate deschide telefonul larg în orice moment.

Consecințele acelei înfricoșătoare înfricoșări de securitate Stagefright au fost duble: în primul rând, Google a început să lanseze corecții lunare de securitate pentru Android, legând nivelul de securitate la o anumită dată. Nu numai asta, dar Google a făcut ca Google să ia mult mai în serios modul de a face Android, astfel încât părți ale sistemului de operare precum Stagefright ar putea fi actualizate prin Magazin Play fără a fi nevoie de o actualizare completă a firmware-ului.

Noi corecții de securitate Android încă apar în fiecare lună până în ziua de azi. Și acoperă și versiuni mai vechi ale sistemului de operare, nu doar cele mai recente, așa că, chiar dacă un telefon este încă pe Android 11 sau 12, acesta poate fi în continuare protejat. În general, Google Pixel iar flagship-urile Samsung primesc mai întâi patch-uri de securitate, alții precum Motorola mergând transpirat în spatele restului ecosistemului, eliberând minimul contractual de un patch pe trimestru.

Aceasta este cealaltă parte a acestei ecuații: acum Google cere legal producătorilor de telefoane să se angajeze la un nivel minim de asistență dacă doresc Android cu servicii Google pe dispozitivele lor. În 2018, The Verge raportat că Google impune doi ani de corecții de securitate, care se lansează cel puțin o dată la 90 de zile

În zilele noastre, mărci populare precum Samsung și OnePlus promit patru ani de actualizări ale sistemului de operare și cinci ani de corecții de securitate, posibil cu unele încurajări din partea Google în culise.

În ciuda faptului că actualizările apar mult mai frecvent în zilele noastre, ele necesită încă multă muncă de inginerie, mai ales când este o actualizare mare, ca o versiune complet nouă a sistemului de operare. Android nu seamănă cu One UI de la Samsung sau cu ColorOS de la Oppo când părăsește fabrica de ciocolată Google Mountain View, nu? Și în primele zile, tu, ca Samsung sau Oppo, ar trebui să încorporezi acea versiune complet nouă de Android în furca personalizată a versiunii anterioare. Este ca și cum ai încerca să schimbi unele dintre ingrediente odată ce o masă este deja gătită - ajungi să fii aproape să o iei de la zero.

Soluția Google? Practic, o farfurie TV: serviți acea masă în două secțiuni diferite. Separați personalizările producătorului -- toate elementele One UI sau ColorOS -- de sistemul de operare de bază. Și asta înseamnă că o poți actualiza mai ușor pe una, fără a te încurca cu cealaltă. Întregul efort se numește Project Treble și, deși nu îl poți vedea pe telefon, s-ar putea să fi observat modul în care dispozitivul Android pe care îl dețineți astăzi primește actualizări destul de repede decât unul pe care l-ați folosit șapte sau opt ani în urmă.

În plus, Google a început să partajeze versiunile viitoare de Android cu OEM-uri într-o etapă mult mai devreme. Deci, până când primul dezvoltator previzualizează Android 14 au fost publice, oameni ca Samsung probabil că se uitaseră la el în culise de câteva luni sau cam asa ceva. În ceea ce privește corecțiile de securitate, acestea sunt partajate în mod privat cu o lună mai devreme pentru a oferi producătorilor un avans.

Deci, deși toate acestea sunt bune și bune, oamenii păstrează adesea telefoanele mai mult de câțiva ani. Impingerea unui firmware nou este încă o cantitate de muncă netrivială, iar acei ingineri nu lucrează gratuit. Linia principală a proiectului în 2019, a făcut Android în sine mai modular, cu module software pentru lucruri precum WiFi, Bluetooth, gestionarea media și multe altele. Aceste module pot fi apoi actualizate direct de către Google sau de către producător separat, fără a fi demersul de a parcurge întregul proces de actualizare a firmware-ului.

Dacă ați văzut vreodată o actualizare a sistemului Google Play pe telefonul dvs., asta este. Gândește-te așa: dacă un bec ard în casa ta, acum poți doar să schimbi becul... pe când înainte, ieșeai afară, ardeai casa până la pământ și construiai una nouă deasupra ei.

Protecțiile de securitate sunt mult mai bune acum

Securitatea Android încă mai apar, chiar și în 2023. Dar diferența astăzi, față de vremurile toxice ale iadului, este că există o mulțime de instrumente pentru a le neutraliza. Luați, de exemplu, vulnerabilitatea Stagefright din 2015. Partea Android afectată de această eroare este un modul Project Mainline astăzi și s-a actualizat cu ușurință până la Android 10 fără o actualizare completă a firmware-ului.

Ca un alt exemplu, în 2014, eroarea „ID fals” ar putea permite unei aplicații rău intenționate să uzurpare identitatea uneia cu permisiuni speciale, expunând potențial datele tale unui atacator. Dacă s-ar întâmpla așa ceva astăzi, Play Protect l-ar opri pe drum, iar bug-ul de bază ar putea fi eliminat rapid printr-o actualizare Mainline a modulului de rulare Android. În plus, Google a făcut, de asemenea, multe în privința criptării și a gestionării memoriei pentru a face mai greu să faci ceva util cu viitoarele vulnerabilități Android, dacă și când apar.

Niciun software nu este niciodată complet sigur. Exploaturile de tip 0-day – adică vulnerabilități secrete, nepattchizate – există pentru toate sistemele de operare și sunt folosite de statele naționale și vândute pentru sume mari pe piața neagră. Există multe exemple recente de indivizi de profil înalt vizați de programe malware înfricoșător de sofisticate bazate pe zile 0: oameni precum Jeff Bezos, Emmanuel Macron și Liz Truss. În 2022, fostul premier al Marii Britanii a trebuit să continue să schimbe numerele de telefon după ce a fost piratat, se presupune că de către agenți ruși. În cele din urmă, dispozitivul ei a fost considerat a fi atât de complet compromis încât a fost închis în, practic, echivalentul smartphone-ului al sarcofagului de la Cernobîl.

Dacă vă întrebați de ce își schimba numărul de telefon, este posibil ca telefonul ei să fi fost vizat de ceva de genul Pegasus, programul spion fabricat israelian care se pare că poate prelua dispozitivele Android sau iOS doar având telefonul lor număr. Se pare că Rusia nu folosește spyware de fabricație străină, dar este posibil să aibă propriul echivalent de origine, bazat pe exploit-uri similare de 0 zile.

Toate acestea arată că securitatea 100% este o iluzie - este de neatins, indiferent de dispozitiv sau de sistem de operare pe care îl utilizați. Cu toate acestea, Android a trecut cu mult de a fi „un iad toxic de vulnerabilități”, în același mod în care ați fi susținut că a fost acum un deceniu. Este mult mai bine plasat pentru a aborda amenințările legate de varietatea grădinii pe care le-ar putea întâlni aceia dintre noi care nu suntem șefi de guvern sau CEO-ul unei companii de un trilion de dolari.

În plus, o persoană obișnuită este mult mai probabil să cadă victima ingineriei sociale sau a unei alte înșelătorii decât să fie înțepată de malware-ul pe telefon. Acest tip de fraudă este în creștere în multe țări, iar în Marea Britanie, a crescut cu 25% între 2020 și 2022, majoritatea cazurilor implicând utilizarea greșită a computerului. Pe măsură ce securitatea smartphone-ului s-a îmbunătățit, ați putea spune că mulți băieți răi își dau seama că este de fapt mai ușor să exploateze componenta moale și plină de carne atașată la ecran: tu.