Android bol opísaný ako „toxický pekelný guláš“ zraniteľností, ale už to tak nie je.
iPhone 14 Pro Max, Google Pixel 7 Pro, Xiaomi 13 Ultra a Galaxy S23 Ultra
V súčasnosti je Android jedným z najpoužívanejších a najbezpečnejších operačných systémov na planéte, no nebolo tomu tak vždy. V skutočnosti ešte v roku 2014 ZDNet slávne nazval Android „toxickou pekelnou zmesou“ zraniteľností, čo potom citoval Tim Cook pri uvedení iPhonu v tom roku. Cook povedal, že Android bol taký roztrieštený a aktualizácie prichádzali tak pomaly, že to nebolo možné chudobní ľudia, ktorí si „omylom kúpili telefón s Androidom“, sa mohli tešiť z bezpečia svojho iPhonu lepších.
To však nie je celý príbeh a v dnešnej dobe to rozhodne nie je presné.
Skromné začiatky
Keď si spomeniem na úplne prvý iPhone, pripájal sa cez 2G, mal niekde v poli 14 aplikácií a fotografoval s obrovským množstvom šumu a zrna. Výhodou pre Apple však bolo, že spoločnosť vyrobila hardvér a softvér vrátane všetkých 14 týchto aplikácií, čo bolo pred App Store jediné, čo ste mohli použiť. Apple ovládal celý zážitok, čo tiež znamenalo, že mohli vydávať aktualizácie kedykoľvek chceli.
Na rozdiel od toho, prvé dni Androidu boli trochu iné, s oveľa viac kuchármi v povestnej kuchyni. Po prvé, Google by vydal novú verziu Androidu, ktorú potom výrobcovia čipov prispôsobili tak, aby fungovala na akomkoľvek procesore, ktorý váš telefón používal. Potom sa výrobca popasoval s Androidom, pridal nové funkcie alebo aplikácie a zvyčajne zmenil veľa vecí na tom, ako to vyzeralo – často k horšiemu. Potom to muselo ísť k vášmu operátorovi, ak to bol telefón so sieťovou značkou, a ten by sa uistil, že funguje v ich sieti a zároveň viac bloatware len tak do pekla.
Potom, ak ste mali šťastie, možno šesť mesiacov po spustení novej verzie Androidu vy, ako bežný osoba, by ju skutočne dostal do vášho telefónu – spolu s niekoľkými doplnkami, ktoré môžete alebo nemusíte mať chcel. Pre 99 % ekosystému Androidu takto fungovali aktualizácie a bol to veľký problém. Niečo ako keby ste si objednali luxusný hamburger v reštaurácii a potom museli čakať, kým majiteľ franšízy a server pridali kopu podivných, hrubých prísad, o ktoré ste nežiadali.
Jediným ľuďom, ktorým netrvalo dlho, kým ich smartfóny s Androidom dostali aktualizácie, ktoré často obsahovali aj ďalší softvér, boli majitelia zariadení Google Nexus. Tieto telefóny používali vanilkový Android a dostávali aktualizácie priamo od spoločnosti Google bez toho, aby k tomu bolo pridané nič. Problém bol v tom, že predstavovali len malý kúsok z neustále sa rozširujúceho koláča Android.
Fragmentácia spôsobuje bezpečnostné problémy
Celá táto situácia bola dosť zlá z mnohých dôvodov a jedným veľkým bola bezpečnosť. Je zrejmé, že nie je skvelé, ak Google alebo Qualcomm potrebujú opraviť bezpečnostnú chybu ďalej v potravinovom reťazci a potom musíte čakať ďalšie mesiace, kým sa skutočne dostane do väčšiny zariadení.
To bolo ešte horšie vzhľadom na povahu Androidu v tej dobe a prístup výrobcov telefónov smerom k aktualizácie. Aktualizácie softvéru pre existujúce telefóny boli často vnímané ako práca – takmer ako keby ste to pokazili musel som ho vyrobiť, pretože čokoľvek opravujete alebo pridávate, malo byť v pôvodnej ROM. Výsledkom bolo, že záznamy o aktualizáciách takmer každého vo svete Androidu boli podľa dnešných štandardov v podstate na úrovni skládky. Vlajkové lode by dostali jednu veľkú aktualizáciu operačného systému o mesiace neskôr, ak by mali šťastie. Ešte horšie je, že bezpečnostné záplaty ešte neboli.
Ako keby to nemohlo byť horšie, takmer všetky dôležité základné aplikácie pre Android boli v tomto bode stále zapečené do firmvéru. Aktualizácie webového prehliadača by napríklad museli byť zabalené do OTA a čakať na certifikáciu výrobcom a operátorom. Takže ak sa v kóde prehliadača objavila zraniteľnosť, povedzme, Google, neexistoval spôsob, ako dostať opravy široko alebo rýchlo. To znamenalo, že rôzni ľudia budú uviaznutí na rôznych verziách s rôznymi prispôsobeniami a rôznou úrovňou zraniteľnosti voči malvéru a iným nepríjemnostiam. Preto: fragmentácia systému Android.
Stojí za to povedať, že iOS nebol *v žiadnom prípade* bez bezpečnostných problémov, najmä počas prvých pár generácií iPhone. Nedostatok oficiálneho obchodu s aplikáciami bol veľkým podnetom pre scenáristov a hackerov s bielym klobúkom, aby otvorili iPhone a prinútili ho robiť nové a vzrušujúce veci. Najmenej jeden hlavný spôsob, ako útek z väzenia na iPhonoch vtedy zahŕňal využitie chyby v prehliadači. Webová stránka by v podstate mohla narušiť zabezpečenie pôvodného iPhonu.
Rozdiel bol v tom, že Apple mohol tieto bezpečnostné diery zapchať oveľa rýchlejšie, keď sa objavili, a to cez a veľa väčšia časť užívateľskej základne. Nie je tomu tak na strane Androidu.
Google bol zlý, ale Android je teraz oveľa lepší
To všetko bol „toxický pekelný guláš“, ktorý Google údajne ponúkal v časoch Androidu verzie 4 a 5. Pri spätnom pohľade s odstupom času je ľahké povedať, že Google mal urobiť viac, aby si udržal kontrolu nad Androidom... alebo zaviesť systémy hneď od začiatku, aby sa aktualizácie šírili voľnejšie a častejšie.
Je však potrebné pripomenúť, že keď bol Android prvýkrát vo vývoji v roku 2007, svet bol úplne iný. Smartfóny, ktoré existovali, boli hlavne primitívnym e-mailom pre obchodníkov. Mobilné platby neboli ani zďaleka realitou. Uber by nevznikli až o dva roky neskôr. Ten skromný retweet ani neexistoval.
Pointou je, že vtedy nebolo jasné, ako v nasledujúcom desaťročí bolo toľko základných každodenných úloh by bolo viazané na váš telefón, ani ako by sa z neho stala taká pokladnica vzácneho, napadnuteľného osobného údajov. Ku cti spoločnosti Google treba povedať, že za posledných pár rokov sa toho zmenilo strašne veľa, aby bol Android podstatne bezpečnejší a rýchlejšie sa opravy zabezpečenia dostali k väčšiemu počtu ľudí. Existuje na to viacero dôvodov.
Napríklad Služby Google Play sú niečo, čo ste mohli vidieť aktualizovať vo svojom telefóne a možno ste tomu nevenovali veľkú pozornosť. V skutočnosti je to však veľmi dôležitá súčasť toho, ako Google udržuje Android v bezpečí a pomáha prinášať nové funkcie z Androidu 13 do starého Galaxy S7 vašej babičky, ktorý už roky nemá nový firmvér.
V prípade Služieb Play ide o systémovú aplikáciu, takže má privilegovaný prístup najvyššej úrovne A+ Platinum ku všetkému vo vašom telefóne. Dokáže oveľa viac ako bežná aplikácia, ktorú by ste si stiahli z Obchodu Play, ako je inštalácia alebo odstránenie iných aplikácií alebo dokonca vzdialené vymazanie zariadenia v prípade straty alebo krádeže.
Systémové aplikácie, ako sú služby Play, musí do telefónu nahrať výrobca, ale keď už tam sú, môžu sa automaticky aktualizovať na pozadí. To znamená, že nové verzie môžu bezpečne pridávať nové funkcie a funkcie. A služby Play majú chápadlá v celom operačnom systéme, preto napríklad funkcia bezpečného výberu fotografií v systéme Android 13 by mohli byť zavedené do telefónov s oveľa staršími verziami operačného systému bez toho, aby bolo potrebné inštalovať nový firmvér.
Služby Play zahŕňajú aj Google Play Protect, antimalvérovú funkciu operačného systému Android, ktorá dokáže zastaviť škodlivé aplikácie ešte pred ich inštaláciou alebo ich odstrániť, ak tam už sú. Ďalšou dôležitou vecou služieb Play je podpora úplne starých verzií systému Android. Google zvyčajne ruší podporu pre služby Play iba vo verziách systému Android, ktoré sú staré približne desať rokov. Práve teraz je leto 2023 a aktuálna verzia Služieb Play je podporovaná až po Android 4.4 KitKat z roku 2013. Tento zdanlivo náhodný kúsok hlúpych drobností je dôležitý, pretože vám pomáha zostať primerane bezpečný aj na oveľa starších verziách systému Android. To samo o sebe je veľkou súčasťou bezpečnostnej stratégie Androidu.
Je zaujímavé, že služby Play zohrali zaujímavú úlohu v reakcii na COVID-19 v mnohých krajinách na celom svete. Aktualizácia distribuovaná prostredníctvom služieb Play umožnila spoločnosti Google zaviesť systém upozornení na kontakt, ktorý vyvinula so spoločnosťou Apple, v podstate celej používateľskej základni systému Android jedným ťahom. Bez služieb Play by takáto snaha trvala mesiace a nedosiahla by ani zďaleka toľko ľudí.
V skutočnosti je dosť šialené myslieť si, že snahy Google opraviť fragmentáciu Androidu takmer o desať rokov skôr sú pravdepodobné nepriamo Počas pandémie zachránili niekoľko životov.
Tréma
Malvérové aplikácie sú jedna vec, no existujú aj iné spôsoby, ako sa môžu zlí herci pokúsiť prevziať kontrolu nad vaším telefónom alebo ukradnúť vaše údaje. Zneužívanie prehliadača bolo dosť významnou súčasťou a teraz sa prehliadač Chrome aj kód WebView pre webový obsah v iných aplikáciách aktualizujú prostredníctvom Obchodu Play. V skutočnosti to platí pre celý rad rôznych častí systému Android, ktoré si kedysi vyžadovali aktualizáciu firmvéru. Medzi ďalšie patrí vytáčanie Google Phone, Android Messages a nespočetné zákulisné aplikácie.
Povedzme teda, že dnes v roku 2023 je objavený nepríjemný zneužitie prehliadača, kde by škodlivá webová stránka mohla zlyhať váš telefón alebo ukradnúť vaše heslá alebo spôsobiť, že aplikácia Starbucks pokazila vašu objednávku. Nezáleží na tom, akú verziu Androidu používate, Google môže prostredníctvom Obchodu Play vydávať aktualizácie, ktoré pokrývajú samotný Chrome aj akúkoľvek inú aplikáciu, ktorá zobrazuje webový obsah. V časoch takzvaného toxického duseného mäsa by nasadenie rovnakej opravy vyžadovalo úplnú aktualizáciu firmvéru. do každého telefónu s Androidom: oveľa viac práce pre oveľa viac ľudí a namiesto toho by to trvalo mesiace alebo dokonca roky dni.
Ďalším druhom zneužitia bola veľká novinka vo svete zabezpečenia Androidu v roku 2015. Chyba „Stagefright“ ovplyvnila časť Androidu, ktorá sa starala o vykresľovanie obrázkov a videa: fotografia, s ktorou sa manipulovalo správnym spôsobom, by mohla spôsobiť zlé veci vášmu telefónu. Bol to veľký problém, pretože vtedy sa komponent Stagefright nedal aktualizovať bez úplnej aktualizácie firmvéru. Opäť: veľa práce navyše, certifikácie a čakania, zatiaľ čo digitálny ekvivalent strašidelného obrazu môže kedykoľvek rozbiť váš telefón.
Dôsledok tohto strašidelného bezpečnostného strašenia Stagefright bol dvojaký: Po prvé, spoločnosť Google začala vydávať mesačné bezpečnostné záplaty pre Android, čím viazala vašu úroveň zabezpečenia na konkrétny dátum. Nielen to, ale prinútilo Google brať modulárny Android oveľa vážnejšie, takže časti operačného systému, ako je Stagefright, mohli byť aktualizované prostredníctvom Obchodu Play bez potreby úplnej aktualizácie firmvéru.
Nové bezpečnostné záplaty systému Android sa stále vydávajú každý mesiac až dodnes. A pokrývajú aj staršie verzie operačného systému, nielen najnovšie, takže aj keď je telefón stále so systémom Android 11 alebo 12, stále môže byť chránený. vo všeobecnosti Google Pixel a vlajkové lode Samsungu dostávajú bezpečnostné záplaty ako prvé, iní ako Motorola sa spotili za zvyškom ekosystému a uvoľňujú zmluvné minimum jednu záplatu za štvrťrok.
To je druhá strana tejto rovnice: Google teraz legálne vyžaduje od výrobcov telefónov, aby sa zaviazali k minimálnej úrovni podpory, ak chcú Android so službami Google na svojich zariadeniach. Ešte v roku 2018 The Verge nahlásené že Google nariaďuje dva roky bezpečnostných záplat, ktoré sa vydávajú aspoň raz za 90 dní
V súčasnosti populárne značky ako Samsung a OnePlus sľubujú štyri roky aktualizácií operačného systému a päť rokov bezpečnostných záplat, možno s určitým povzbudením zo zákulisia spoločnosti Google.
Napriek tomu, že aktualizácie v súčasnosti vychádzajú oveľa častejšie, stále si vyžadujú veľa inžinierskej práce, najmä ak ide o veľkú aktualizáciu, napríklad úplne novú verziu operačného systému. Android nevyzerá ako One UI od Samsungu alebo ako ColorOS od Oppo, keď opustí továreň na čokoládu Mountain View od Googlu, však? A v prvých dňoch by ste ako Samsung alebo Oppo museli začleniť celú novú verziu Androidu do prispôsobenej vidlice predchádzajúcej verzie. Je to ako snažiť sa vymeniť niektoré ingrediencie, keď už je jedlo uvarené – nakoniec budete musieť začať takmer od nuly.
Riešenie od Google? V podstate televízny tanier: toto jedlo podávate v dvoch rôznych častiach. Oddeľujete prispôsobenia výrobcu – všetko používateľské rozhranie One UI alebo ColorOS – od základného operačného systému. A to znamená, že môžete jednoduchšie aktualizovať jeden bez toho, aby ste si pohrávali s druhým. Celé toto úsilie sa nazýva Project Treble, a hoci to na svojom telefóne nevidíte, možno ste si všimli ako sa zariadenie Android, ktoré dnes vlastníte, aktualizuje o niečo rýchlejšie ako zariadenie, ktoré ste používali sedem alebo osem rokov pred.
Okrem toho spoločnosť Google začala zdieľať budúce verzie systému Android s výrobcami OEM v oveľa skoršom štádiu. Takže v čase, keď sa objavia prvé ukážky vývojárov Android 14 boli verejné, ľudia ako Samsung na to pravdepodobne pokukovali v zákulisí už niekoľko mesiacov. Pokiaľ ide o bezpečnostné záplaty, sú súkromne zdieľané o mesiac skôr, aby mali výrobcovia náskok.
Takže aj keď je to všetko dobré a dobré, ľudia si často nechávajú telefóny dlhšie ako len pár rokov. Vydávanie nového firmvéru je stále netriviálne množstvo práce a títo inžinieri nepracujú zadarmo. Hlavná línia projektu v roku 2019 urobil samotný Android modulárnejším so softvérovými modulmi pre veci ako WiFi, Bluetooth, manipulácia s médiami a oveľa viac. Tieto moduly potom môže Google alebo výrobca priamo aktualizovať samostatne, bez toho, aby museli prejsť celým procesom aktualizácie firmvéru.
Ak ste niekedy na svojom telefóne videli aktualizáciu systému Google Play, je to tak. Predstavte si to takto: Ak vám doma vybuchne žiarovka, môžete ju teraz jednoducho vymeniť... zatiaľ čo predtým by ste vyšli von, spálili svoj dom do tla a postavili si na ňom nový.
Bezpečnostná ochrana je teraz oveľa lepšia
Bezpečnosť Androidu stále pretrváva, dokonca aj v roku 2023. Ale rozdiel dnes oproti časom jedovatého duseného mäsa je v tom, že existuje veľa nástrojov na ich neutralizáciu. Vezmite si napríklad zraniteľnosť Stagefright z roku 2015. Časťou Androidu, ktorej sa táto chyba týka, je dnes modul Project Mainline, ktorý sa ľahko aktualizuje späť na Android 10 bez úplnej aktualizácie firmvéru.
Ako ďalší príklad v roku 2014 mohla chyba „Falošné ID“ umožniť škodlivej aplikácii odcudziť identitu aplikácie so špeciálnymi povoleniami a potenciálne tak vystaviť vaše údaje útočníkovi. Ak by sa niečo také stalo dnes, Play Protect by to zastavil a základná chyba by mohla byť rýchlo vymazaná v aktualizácii hlavnej línie modulu Android runtime. Okrem toho spoločnosť Google urobila veľa aj pod kapotou v oblasti šifrovania a správy pamäte, aby bolo ťažšie robiť čokoľvek užitočné s budúcimi zraniteľnosťami systému Android, ak a keď sa objavia.
Žiadny softvér nie je nikdy úplne bezpečný. 0-day exploity – to znamená: tajné, neopravené zraniteľnosti – existujú pre všetky operačné systémy a používajú ich národné štáty a predávajú sa za obrovské sumy na čiernom trhu. Existuje mnoho nedávnych príkladov, keď sa na významných jednotlivcov zameral strašidelne sofistikovaný malvér založený na nulových dňoch: ľudia ako Jeff Bezos, Emmanuel Macron a Liz Trussová. V roku 2022 si bývalý premiér Spojeného kráľovstva údajne musel neustále meniť telefónne čísla po tom, čo bol napadnutý hackermi, údajne ruskými agentmi. Nakoniec sa jej zariadenie považovalo za tak úplne kompromitované, že bolo uzamknuté v podstate v ekvivalente smartfónu sarkofágu v Černobyle.
Ak vás zaujíma, prečo si zmenila telefónne číslo, je možné, že jej telefón zacielilo niečo podobné Pegasus, izraelský spyware, ktorý údajne dokáže ovládnuť zariadenia so systémom Android alebo iOS len tým, že má ich telefón číslo. Rusko údajne nepoužíva spyware vyrobený v zahraničí, ale je pravdepodobné, že má svoj vlastný domáci ekvivalent založený na podobných 0-dňových exploitoch.
To všetko ukazuje, že 100% bezpečnosť je ilúzia – je nedosiahnuteľná bez ohľadu na to, aké zariadenie alebo operačný systém používate. Napriek tomu Android už dávno nie je „toxickým pekelným gulášom zraniteľností“ rovnakým spôsobom, ako by ste mohli tvrdiť, že to bolo pred desiatimi rokmi. Má oveľa lepšiu pozíciu na to, aby sa vysporiadal s hrozbami záhradných odrôd, s ktorými sa môžu stretnúť tí z nás, ktorí nie sú hlavami vlád alebo generálnymi riaditeľmi spoločnosti s biliónmi dolárov.
A čo viac, priemerný človek je oveľa pravdepodobnejšie, že sa stane obeťou sociálneho inžinierstva alebo iného podvodu, ako keby sa nechal uštipnúť malvérom založeným na telefóne. Tento druh podvodov je na vzostupe v mnohých krajinách a v Spojenom kráľovstve, medzi rokmi 2020 a 2022 vzrástol o 25 %., pričom vo väčšine prípadov ide o zneužitie počítača. Keď sa bezpečnosť smartfónov zlepšila, dalo by sa povedať, že mnohí zlí ľudia si uvedomujú, že je v skutočnosti jednoduchšie využiť chrumkavý, mäsitý komponent pripojený k obrazovke: vy.