Android je bil opisan kot "strupena mešanica" ranljivosti, vendar temu ni več tako.
iPhone 14 Pro Max, Google Pixel 7 Pro, Xiaomi 13 Ultra in Galaxy S23 Ultra
Dandanes je Android eden najbolj uporabljanih in varnih operacijskih sistemov na planetu, vendar ni bilo vedno tako. Pravzaprav že leta 2014, ZDNet znano poimenoval Android "strupena peklenska mešanica" ranljivosti, kar je nato citiral Tim Cook ob predstavitvi iPhona tistega leta. Cook je poudaril, da je Android tako razdrobljen in da so posodobitve prihajale tako počasi, da jih ni bilo revni ljudje, ki so »pomotoma kupili telefon Android«, so lahko uživali kjer koli blizu varnosti svojega iPhona izboljšave.
Vendar to ni vsa zgodba in dandanes zagotovo ni točna.
Skromni začetki
Če pomislim na prvi iPhone, se je povezal prek 2G, imel približno 14 aplikacij in posnel fotografije z ogromno količino šuma in zrnatosti. Vendar je bila korist za Apple ta, da je podjetje izdelalo strojno in programsko opremo, vključno z vsemi 14 temi aplikacijami, kar je bilo pred App Store vse, kar ste lahko uporabljali. Apple je upravljal celotno izkušnjo, kar je tudi pomenilo, da so lahko izdali posodobitve, kadar koli so želeli.
V nasprotju s tem so bili prvi dnevi Androida nekoliko drugačni, z veliko več kuharji v pregovorni kuhinji. Najprej bi Google izdal novo različico Androida, ki so jo nato izdelovalci čipov prilagodili za delovanje na katerem koli procesorju, ki ga uporablja vaš telefon. Potem se je proizvajalec moral potruditi z Androidom, dodati nove funkcije ali aplikacije in običajno spremeniti kup stvari o tem, kako je izgledal - pogosto na slabše. Potem je moral iti k vašemu operaterju, če je bil telefon z omrežno blagovno znamko, in oni so se prepričali, da deluje v njihovem omrežju, hkrati pa so ga pokopali več bloatware samo za hudiča.
Potem, če ste imeli srečo, morda šest mesecev po izdaji nove različice Androida, vi kot redni uporabnik oseba, bi ga dejansko dobil na svoj telefon – skupaj z nekaj dodatki, ki jih morda imate ali pa tudi ne želel. Za 99 % ekosistema Android so posodobitve delovale tako, kar je bila velika težava. Nekako tako, kot če bi v restavraciji naročili modni hamburger in potem morali čakati, medtem ko sta lastnik franšize in strežnik dodala kup čudnih, groznih dodatkov, ki jih niste zahtevali.
Edini ljudje, ki niso imeli svojih pametnih telefonov Android, so bili lastniki Google Nexusov, da so prejeli posodobitve, ki so pogosto vsebovale tudi dodatno programsko opremo. Ti telefoni so poganjali vanilla Android in prejemali posodobitve naravnost od Googla brez dodanega ničesar. Težava je bila v tem, da so predstavljali le majhen delček vedno večjega Android kolača.
Razdrobljenost ustvarja varnostne težave
Ta celotna situacija je bila precej slaba zaradi kopice razlogov, eden od glavnih pa je bil varnost. Očitno ni dobro, če morata Google ali Qualcomm popraviti varnostno napako višje v prehranjevalni verigi, potem pa morate čakati dodatne mesece, da bo dejansko prišla do večine naprav.
To sta poslabšala narava takratnega Androida in odnos proizvajalcev telefonov proti posodobitve. Na posodobitve programske opreme za obstoječe telefone so pogosto gledali kot na opravilo – skoraj tako, kot da bi se zajebal, če bi moral narediti enega, ker, no, kar koli popravljaš ali dodajaš, bi moralo biti samo v izvirnem ROM-u. Posledica tega je bila, da so bili podatki o posodabljanju tako rekoč vseh takrat v svetu Androida po današnjih standardih v bistvu ravni smetnjakov. Vodilni bi dobili eno večjo posodobitev operacijskega sistema nekaj mesecev kasneje, če bi imeli srečo. Še huje je, da varnostnih popravkov še ni bilo.
Kot da ne bi moglo biti slabše, so bile skoraj vse pomembne osnovne aplikacije za Android na tej točki še vedno vgrajene v vdelano programsko opremo. Posodobitve spletnega brskalnika bi bilo treba na primer zapakirati v OTA in počakati, da jih potrdita proizvajalec in operater. Torej, če se je v kodi motorja brskalnika pojavila ranljivost, na primer Googla, ni bilo možnosti, da bi se popravki razširili široko ali hitro. To je pomenilo, da bodo različni ljudje obtičali na različnih različicah z različnimi prilagoditvami in različnimi stopnjami ranljivosti za zlonamerno programsko opremo in druge nadloge. Zato: fragmentacija Androida.
Vredno je povedati, da iOS *nikakor* ni bil brez varnostnih težav, zlasti v prvih nekaj generacijah iPhona. Pomanjkanje uradne trgovine z aplikacijami je bila velika spodbuda za script kiddyje in hekerje z belimi klobuki, da so razbili iPhone in mu omogočili nove in vznemirljive stvari. Vsaj en pomemben način za pobeg iz zapora takratnih iPhonov je vključeval izkoriščanje hrošča v brskalniku. V bistvu bi spletna stran lahko zlomila varnost originalnega iPhona.
Razlika je bila v tem, da je lahko Apple veliko hitreje zamašil te varnostne luknje, ko so se pojavile, in to čez a veliko večji kos uporabniške baze. Na strani Androida ni tako.
Google je bil slab, Android pa je zdaj veliko boljši
Vse to je bila "strupena jed", ki jo je Google domnevno stregel v dneh Android različic 4 in 5. Če se ozremo za nazaj, lahko rečemo, da bi moral Google storiti več, da bi obdržal nadzor nad Androidom... ali vzpostavite sisteme od samega začetka, da bodo posodobitve potekale bolj prosto in pogosto.
Vendar se velja spomniti, da je bil svet, ko je bil Android prvič v razvoju leta 2007, drugačen. Pametni telefoni, ki so obstajali, so bili v glavnem primitivne naprave za pošiljanje e-pošte za poslovneže. Mobilno plačevanje še zdaleč ni bilo realnost. Uber naj bi bil ustanovljen šele dve leti. Skromen retweet sploh ni obstajal.
Bistvo je, da takrat še ni bilo jasno, kako v naslednjem desetletju toliko bistvenih vsakdanjih opravil bi bil vezan na vaš telefon, niti kako bi postal taka zakladnica dragocenih osebnih podatke. Googlu je treba priznati, da se je v zadnjih nekaj letih ogromno spremenilo, da je Android bistveno bolj varen in da so varnostni popravki hitreje dostopni več ljudem. Razlogov za to je več.
Storitve Google Play so na primer nekaj, kar ste morda opazili, da se posodablja na vašem telefonu, čemur morda niste namenili veliko pozornosti. Vendar pa je dejansko zelo pomemben del tega, kako Google ohranja varnost Androida in pomaga prenesti nove funkcije iz Androida 13 v stari babičin Galaxy S7, ki že leta ni dobil nove vdelane programske opreme.
V primeru storitev Play je to sistemska aplikacija, zato ima privilegiran dostop na najvišji ravni A+ Platinum do vsega v vašem telefonu. Naredi lahko veliko več kot običajna aplikacija, ki bi jo prenesli iz Trgovine Play, na primer namesti ali izbriše druge aplikacije ali celo na daljavo izbriše vašo napravo, če jo izgubite ali vam jo ukradejo.
Sistemske aplikacije, kot so storitve Play, mora proizvajalec naložiti v vaš telefon, ko pa so tam, se lahko samodejno posodobijo v ozadju. To pomeni, da lahko nove različice varno dodajo nove funkcije in funkcionalnosti. In storitve Play imajo lovke po vsem operacijskem sistemu, zato je na primer funkcija varnega izbirnika fotografij Androida 13 bi ga lahko uvedli v telefone z veliko starejšimi različicami operacijskega sistema, ne da bi bilo treba namestiti novo vdelano programsko opremo.
Storitve Play vključujejo tudi Google Play Protect, zmožnost zaščite pred zlonamerno programsko opremo Android na ravni OS, ki lahko zaustavi zlonamerne aplikacije, preden so nameščene, ali jih odstrani, če so že tam. Druga pomembna stvar pri storitvah Play je, da podpira popolnoma stare različice Androida. Google običajno opusti podporo za storitve Play le v različicah Androida, ki so stare okoli deset let. Trenutno je poletje 2023 in trenutna različica storitev Play je podprta vse do Androida 4.4 KitKat iz leta 2013. Ta navidezno naključen košček piflarskih malenkosti je pomemben, ker vam pomaga ostati razmeroma varen tudi v veliko starejših različicah Androida. To je samo po sebi velik del varnostne strategije Android.
Zanimivo je, da so igrale storitve Play zanimivo vlogo pri odzivu na COVID-19 številnih držav po svetu. Posodobitev, distribuirana prek storitev Play Services, je bila, kako je Googlu uspelo uvesti sistem za obveščanje o izpostavljenosti, ki ga je razvil z Appleom, v bistvu za celotno bazo uporabnikov Androida z enim zamahom. Brez storitev Play bi takšna prizadevanja trajala mesece in ne bi dosegla skoraj toliko ljudi.
Pravzaprav je precej noro misliti, da so Googlova prizadevanja za odpravo razdrobljenosti Androida skoraj desetletje prej verjetno posredno med pandemijo rešil kar nekaj življenj.
Trema
Aplikacije z zlonamerno programsko opremo so ena stvar, vendar obstajajo drugi načini, na katere lahko zlobni akterji poskušajo prevzeti nadzor nad vašim telefonom ali ukrasti vaše podatke. Izkoriščanja brskalnika so bila precej pomemben del tega, zdaj pa sta brskalnik Chrome in koda WebView za spletno vsebino v drugih aplikacijah posodobljena prek Trgovine Play. Pravzaprav to velja za cel kup različnih delov Androida, ki so nekoč zahtevali posodobitev vdelane programske opreme. Druge vključujejo klicalnik Google Phone, Android Messages in nešteto aplikacij v zakulisju.
Recimo, da je danes leta 2023 odkrit zloben brskalnik, kjer bi lahko zlonamerna spletna stran zrušila vaš telefon ali ukradla vaša gesla ali povzročila, da bi aplikacija Starbucks pokvarila vaše naročilo. Ne bi bilo pomembno, katero različico Androida uporabljate, Google bi lahko izdal posodobitve prek Trgovine Play, ki zajemajo sam Chrome in katero koli drugo aplikacijo, ki prikazuje spletno vsebino. V dneh tako imenovanega strupenega hellstew-a je bila za uvedbo istega popravka potrebna popolna posodobitev vdelane programske opreme. za vsak telefon Android: veliko več dela za veliko več ljudi, namesto tega bi trajalo mesece ali celo leta dnevi.
Druga vrsta izkoriščanja je bila velika novica v svetu varnosti Android leta 2015. Napaka »Stagefright« je vplivala na del Androida, ki je skrbel za upodabljanje slik in videa: fotografija, ki je bila spremenjena na pravi način, bi lahko vašemu telefonu naredila slabe stvari. To je bila velika težava, ker te komponente Stagefright takrat ni bilo mogoče posodobiti brez popolne posodobitve vdelane programske opreme. Še enkrat: ogromno dodatnega dela, certificiranja in čakanja, medtem ko bi lahko digitalni ekvivalent slike, v kateri straši, kadar koli na stežaj razbil vaš telefon.
Posledice tega srhljivega varnostnega preplaha Stagefright so bile dvojne: najprej je Google začel izdajati mesečne varnostne popravke za Android, s katerimi je vašo raven varnosti vezal na določen datum. Ne le to, Google je zaradi tega naredil modularni Android veliko bolj resen, tako da je bilo mogoče dele operacijskega sistema, kot je Stagefright, posodobiti prek Trgovine Play, ne da bi potrebovali popolno posodobitev vdelane programske opreme.
Novi varnostni popravki za Android še vedno izhajajo vsak mesec do danes. Zajemajo tudi starejše različice operacijskega sistema, ne le najnovejše, tako da ga je še vedno mogoče zaščititi, tudi če ima telefon še vedno Android 11 ali 12. Na splošno Google Pixel vodilni modeli Samsunga najprej dobijo varnostne popravke, medtem ko drugi, kot je Motorola, preznojeno tečejo za preostalim ekosistemom in izdajo najmanj po pogodbi en popravek na četrtletje.
To je druga plat te enačbe: Google zdaj zakonsko zahteva od proizvajalcev telefonov, da se zavežejo minimalni ravni podpore, če želijo Android z Googlovimi storitvami v svojih napravah. Nazaj v 2018, The Verge poročali da Google zahteva dve leti varnostnih popravkov, ki izidejo vsaj enkrat na 90 dni
Te dni priljubljene znamke, kot sta Samsung in OnePlus, obljubljajo štiri leta posodobitev operacijskega sistema in pet let varnostnih popravkov, po možnosti z nekaj spodbude Googla v zakulisju.
Kljub temu, da dandanes posodobitve izhajajo veliko pogosteje, še vedno zahtevajo veliko inženirskega dela, zlasti ko gre za veliko posodobitev, kot je povsem nova različica OS. Android ni videti kot Samsungov One UI ali Oppov ColorOS, ko zapusti Googlovo tovarno čokolade Mountain View, kajne? In v zgodnjih dneh bi morali vi, kot Samsung ali Oppo, vključiti to popolnoma novo različico Androida v vaš prilagojen fork prejšnje različice. To je nekako tako, kot če bi poskušali zamenjati nekatere sestavine, ko je obrok že kuhan – na koncu boste morali začeti skoraj od začetka.
Googlova rešitev? V bistvu TV krožnik za večerjo: ta obrok postrežete v dveh različnih delih. Proizvajalčeve prilagoditve – vse stvari One UI ali ColorOS – ločite od osnovnega operacijskega sistema. In to pomeni, da lahko enega lažje posodobite, ne da bi se motili z drugim. Celoten podvig se imenuje Project Treble in čeprav ga ne vidite na telefonu, ste morda opazili kako naprava Android, ki jo imate danes, prejema posodobitve precej hitreje kot tista, ki ste jo uporabljali sedem ali osem let nazaj.
Poleg tega je Google začel deliti prihodnje različice Androida z proizvajalci originalne opreme veliko prej. Torej do prvega predogleda za razvijalce Android 14 so bili javni, verjetno so ljudje, kot je Samsung, nekaj mesecev ali več kukali v zakulisje. Kar zadeva varnostne popravke, jih zasebno delijo en mesec prej, da proizvajalcem zagotovijo prednost.
Čeprav je vse lepo in prav, ljudje pogosto hranijo telefone dlje kot le nekaj let. Izdajanje nove vdelane programske opreme je še vedno neobičajno delo in ti inženirji ne delajo zastonj. Projekt Mainline leta 2019 je sam Android naredil bolj modularen s programskimi moduli za stvari, kot so WiFi, Bluetooth, upravljanje medijev in še veliko več. Te module lahko nato neposredno posodobi Google ali proizvajalec ločeno, ne da bi morali iti skozi celoten postopek posodobitve vdelane programske opreme.
Če ste kdaj videli sistemsko posodobitev Google Play na svojem telefonu, je to to. Pomislite na to takole: če v vašem domu pregori žarnica, jo lahko zdaj samo zamenjate... medtem ko bi prej šel ven, zažgal svojo hišo do tal in zgradil novo nad njo.
Varnostna zaščita je zdaj veliko boljša
Strahovi glede varnosti Androida se še vedno dogajajo, tudi leta 2023. Toda današnja razlika v primerjavi s strupenimi časi hellstew je v tem, da obstaja veliko orodij za njihovo nevtralizacijo. Vzemite na primer ranljivost Stagefright iz leta 2015. Del Androida, na katerega vpliva ta napaka, je danes modul Project Mainline in se zlahka posodobi vse do Androida 10 brez popolne posodobitve vdelane programske opreme.
Naslednji primer: leta 2014 bi lahko napaka »Fake ID« zlonamerni aplikaciji omogočila, da se predstavlja kot aplikacija s posebnimi dovoljenji, kar bi lahko vaše podatke izpostavilo napadalcu. Če bi se kaj takega zgodilo danes, bi Play Protect to zaustavil in osnovno napako bi lahko hitro odpravili v posodobitvi Mainline izvajalnega modula Android. Poleg tega je Google naredil veliko pod pokrovom okoli šifriranja in upravljanja pomnilnika, da bi otežil kar koli koristnega s prihodnjimi ranljivostmi Androida, če in ko se pojavijo.
Nobena programska oprema nikoli ni popolnoma varna. 0-dnevna izkoriščanja — to je: skrivne, nepopravljene ranljivosti — obstajajo za vse operacijske sisteme in jih uporabljajo nacionalne države ter prodajajo za velike vsote na črnem trgu. Obstaja veliko nedavnih primerov visoko profiliranih posameznikov, ki so bili tarče strašljivo prefinjene zlonamerne programske opreme na podlagi 0 dni: ljudje, kot so Jeff Bezos, Emmanuel Macron in Liz Truss. Leta 2022 naj bi nekdanji premier Združenega kraljestva nenehno spreminjal telefonske številke, potem ko so ga domnevno vdrli ruski agenti. Sčasoma so njeno napravo ocenili za tako popolnoma ogroženo, da so jo v bistvu zaklenili v pametnem telefonu, ki je enak černobilskemu sarkofagu.
Če se sprašujete, zakaj je spreminjala svojo telefonsko številko, je možno, da je bil njen telefon tarča česa podobnega Pegasus, izraelska vohunska programska oprema, ki naj bi lahko prevzela naprave s sistemom Android ali iOS samo z njihovim telefonom število. Rusija domnevno ne uporablja vohunske programske opreme, izdelane v tujini, vendar je verjetno, da imajo svoj domači ekvivalent, ki temelji na podobnih 0-dnevnih podvigih.
Vse to kaže, da je 100-odstotna varnost iluzija – nedosegljiva je, ne glede na to, katero napravo ali OS uporabljate. Kljub temu je Android že daleč od tega, da bi bil "strupena skupina ranljivosti" na enak način, kot bi lahko trdili, da je bil pred desetletjem. Je veliko boljši položaj za spopadanje z grožnjami vrtnih sort, s katerimi se lahko srečamo tisti med nami, ki nismo voditelji vlad ali izvršni direktorji bilijonov dolarjev vrednega podjetja.
Poleg tega je veliko večja verjetnost, da bo povprečna oseba postala žrtev socialnega inženiringa ali kakšne druge prevare, kot pa zlonamerna programska oprema na telefonu. Tovrstne goljufije so v porastu v številnih državah, v Združenem kraljestvu pa med letoma 2020 in 2022 se je povečal za 25 %, pri čemer večina primerov vključuje zlorabo računalnika. Ko se je varnost pametnih telefonov izboljšala, bi lahko rekli, da se mnogi negativci zavedajo, da je pravzaprav lažje izkoristiti mehko, mesnato komponento, pritrjeno na zaslon: vas.