Android'in güvenliği son 10 yılda büyük bir hızla gelişti: İşte nasıl

Günümüzde Android gezegende en çok kullanılan ve güvenli işletim sistemlerinden biri ancak her zaman böyle değildi. Aslında 2014 yılında, ZDNet Android'i zayıf noktalardan oluşan "zehirli bir cehennem" olarak nitelendirmesi meşhurdu ve o yılki iPhone lansmanında Tim Cook bundan alıntı yapmıştı. Cook, Android'in çok parçalı olduğunu ve güncellemelerin gelmesinin çok yavaş olduğunu, dolayısıyla bu güncellemelerin yapılmasının mümkün olmadığını belirtti. "Yanlışlıkla bir Android telefon satın alan" yoksul insanlar, iPhone sahibi olmanın güvenliğine yakın herhangi bir yerden yararlanabilirler daha iyiler.

Ancak hikayenin tamamı bu değil ve bugünlerde kesinlikle doğru değil.

Mütevazi başlangıçlar

İlk iPhone'u düşündüğümüzde, 2G üzerinden bağlanıyordu, 14 uygulamadan oluşan bir alanda yer alıyordu ve çok fazla gürültü ve gren içeren fotoğraflar çekiyordu. Ancak Apple'ın avantajı, App Store'dan önce kullanabileceğiniz tek şey olan 14 uygulamanın tamamı da dahil olmak üzere donanım ve yazılımı şirketin üretmesiydi. Apple tüm deneyimi yönetiyordu; bu aynı zamanda güncellemeleri istedikleri zaman yayınlayabilecekleri anlamına da geliyordu.

Buna karşılık, Android'in ilk günleri biraz farklıydı; meşhur mutfakta çok daha fazla aşçı vardı. İlk olarak Google, Android'in yeni bir sürümünü yayınlayacaktı; bu sürüm daha sonra çip üreticileri tarafından telefonunuzun kullandığı CPU'da çalışacak şekilde uyarlandı. Daha sonra üretici Android'de kendi istediğini yapmalı, yeni özellikler veya uygulamalar eklemeli ve genellikle görünümüyle ilgili birçok şeyi değiştirmeli, çoğunlukla da kötüye doğru. Daha sonra, eğer ağ markalı bir telefonsa, operatörünüze gitmesi gerekiyordu ve onlar da bir yandan kürek çekerken bir yandan da kendi ağlarında çalıştığından emin olacaklardı. Daha bloatware sırf bunun için.

Daha sonra, eğer şanslıysanız, yeni bir Android sürümünün piyasaya sürülmesinden belki altı ay sonra, normal olarak siz de sahip olabileceğiniz veya olmayabileceğiniz birkaç ekstrayla birlikte aslında bunu telefonunuza alacaktır. aranan. Android ekosisteminin %99'u için güncellemeler bu şekilde çalışıyordu ve bu büyük bir sıkıntı noktasıydı. Bir restoranda lüks bir hamburger sipariş edip, franchise sahibi ve sunucunun istemediğiniz bir sürü tuhaf, iğrenç soslar eklemesini beklemek zorunda kalmak gibi bir şey bu.

Android akıllı telefonlarına sahip olmayanlar, genellikle ek yazılımlar da içeren güncellemeleri almak için çok zaman harcayanlar yalnızca Google Nexus sahipleriydi. Bu telefonlar vanilya Android'i çalıştırıyordu ve güncellemeleri doğrudan Google'dan alıyordu, üstelik hiçbir şey eklenmedi. Sorun, sürekli genişleyen Android pastasının yalnızca küçük bir dilimini temsil etmeleriydi.

Parçalanma güvenlik sorunları yaratır

Tüm bu durum birçok nedenden dolayı oldukça kötüydü ve bunlardan en önemlisi güvenlikti. Açıkçası, Google veya Qualcomm'un besin zincirinin daha yukarılarındaki bir güvenlik hatasını düzeltmesi gerekiyorsa ve bunun çoğu cihaza ulaşması için aylarca daha beklemeniz gerekiyorsa bu pek iyi değil.

O zamanki Android'in doğası ve telefon üreticilerinin tutumu nedeniyle bu durum daha da kötüleşti. karşı güncellemeler. Mevcut telefonlar için yazılım güncellemeleri genellikle bir angarya olarak görülüyordu; sanki bir tane yapmak zorundaydım çünkü düzelttiğiniz veya eklediğiniz her şeyin orijinal ROM'da olması gerekirdi. Sonuç olarak, o zamanlar Android dünyasındaki hemen hemen herkesin güncelleme geçmişi, günümüz standartlarına göre temelde çöplük seviyesindeydi. Amiral gemileri eğer şanslılarsa aylar sonra büyük bir işletim sistemi güncellemesi alacaklardı. Daha da kötüsü, güvenlik yamaları henüz bir şey değildi.

Sanki bundan daha kötüsü olamazmış gibi, önemli temel Android uygulamalarının neredeyse tamamı bu noktada hala ürün yazılımına dahil edilmiş durumdaydı. Örneğin web tarayıcısı güncellemelerinin bir OTA'ya paketlenmesi ve üretici ile operatör tarafından onaylanmasını beklemesi gerekir. Dolayısıyla, tarayıcı motoru kodunda örneğin Google'dan gelen bir güvenlik açığı ortaya çıkarsa, düzeltmelerin geniş çapta veya hızlı bir şekilde yayınlanmasının bir yolu yoktu. Bu, farklı kişilerin, farklı özelleştirmelere ve kötü amaçlı yazılımlara ve diğer kötü şeylere karşı farklı düzeyde güvenlik açığına sahip farklı sürümlerde sıkışıp kalacağı anlamına geliyordu. Dolayısıyla: Android parçalanması.

iOS'un özellikle iPhone'un ilk birkaç neslinde *hiçbir şekilde* güvenlik sorunlarından arınmış olmadığını söylemekte fayda var. Resmi bir uygulama mağazasının olmayışı, senaryo çocukları ve beyaz şapkalı bilgisayar korsanlarının iPhone'u açıp ona yeni ve heyecan verici şeyler yaptırması için büyük bir teşvikti. O zamanlar iPhone'lara jailbreak yapmanın en az bir önemli yolu, tarayıcıdaki bir hatadan yararlanmaktı. Temel olarak, bir web sayfası orijinal iPhone'un güvenliğini bozabilir.

Aradaki fark, Apple'ın bu güvenlik açıklarını ortaya çıktıklarında çok daha hızlı bir şekilde kapatabilmesi ve bunu çok daha hızlı bir şekilde yapabilmesiydi. fazla kullanıcı tabanının daha büyük bir kısmı. Android tarafında öyle değil.

Google kötüydü ama Android artık çok daha iyi

Bunların hepsi Google'ın Android 4 ve 5 sürümlerinde sunduğu iddia edilen "zehirli cehennem yahnisi" idi. Geriye dönüp baktığımızda, Google'ın Android üzerindeki kontrolünü elinde tutmak için daha fazlasını yapması gerektiğini söylemek kolaydır... veya güncellemelerin daha özgürce ve daha sık akmasına yardımcı olmak için sistemleri en başından itibaren uygulamaya koyun.

Ancak Android'in ilk kez geliştirildiği 2007 yılında dünyanın farklı bir yer olduğunu hatırlamakta fayda var. Var olan akıllı telefonlar esas olarak iş adamları için ilkel e-posta ezme mekanizmalarıydı. Mobil ödemeler gerçeğe yakın değildi. Uber iki yıl daha kurulmayacak. Mütevazi retweet mevcut bile değildi.

Demek istediğim, o zamanlar, takip eden on yılda bu kadar çok temel günlük görevin nasıl yerine getirileceği açık değildi. telefonunuza bağlanacağını ya da nasıl bu kadar değerli, hacklenebilir kişisel bilgilerin hazinesine dönüşeceğini veri. Google'ın takdirine göre, son birkaç yılda Android'i önemli ölçüde daha güvenli hale getirmek ve güvenlik düzeltmelerini daha fazla kişiye daha hızlı ulaştırmak için pek çok şey değişti. Bunun birçok nedeni var.

Örneğin, Google Play Hizmetleri, telefonunuzda güncellendiğini görmüş olabileceğiniz, belki de pek dikkat etmediğiniz bir şeydir. Ancak bu aslında Google'ın Android'i nasıl güvende tuttuğunun ve Android 13'ten büyükannenizin yıllardır yeni donanım yazılımı almayan eski Galaxy S7'sine yeni özellikler getirmeye nasıl yardımcı olduğunun çok önemli bir parçası.

Play Hizmetleri söz konusu olduğunda, bu bir sistem uygulamasıdır, dolayısıyla telefonunuzdaki her şeye üst düzey A+ Platinum düzeyinde ayrıcalıklı erişime sahiptir. Diğer uygulamaları yüklemek veya silmek, hatta kaybolması veya çalınması durumunda cihazınızı uzaktan silmek gibi, Play Store'dan indireceğiniz normal bir uygulamadan çok daha fazlasını yapabilir.

Play Services gibi sistem uygulamalarının üretici tarafından telefonunuza yüklenmesi gerekir, ancak bir kez indirildikten sonra arka planda otomatik olarak güncellenebilirler. Bu, yeni sürümlerin güvenli bir şekilde yeni özellikler ve işlevler ekleyebileceği anlamına gelir. Ve Play Services'ın işletim sisteminin her yerinde dokunaçları vardır; örneğin Android 13'ün güvenli fotoğraf seçme özelliğinin nedeni budur herhangi bir yeni ürün yazılımının yüklenmesine gerek kalmadan işletim sisteminin çok daha eski sürümlerini çalıştıran telefonlara dağıtılabilir.

Play Hizmetleri ayrıca, kötü amaçlı uygulamaları yüklenmeden önce durdurabilen veya zaten oradaysa kaldırabilen, Android'in işletim sistemi düzeyinde kötü amaçlı yazılımdan koruma özelliği olan Google Play Korumayı da içerir. Play Hizmetleri ile ilgili diğer önemli şey, Android'in kesinlikle eski sürümlerini desteklemesidir. Google genellikle yalnızca yaklaşık on yıllık Android sürümlerinde Play Hizmetleri desteğini bırakır. Şu anda 2023 yazı ve Play Services'ın mevcut sürümü, 2013'teki Android 4.4 KitKat'a kadar destekleniyor. Görünüşte rastgele olan bu önemsiz bilgiler önemlidir çünkü Android'in çok daha eski sürümlerinde bile makul derecede güvende kalmanıza yardımcı olur. Bu başlı başına Android güvenlik stratejisinin büyük bir parçasıdır.

İlginç bir şekilde Play Hizmetleri, dünya çapında birçok ülkenin COVID-19 müdahalesinde ilginç bir rol oynadı. Play Hizmetleri aracılığıyla dağıtılan bir güncelleme, Google'ın, Apple ile birlikte geliştirdiği Temas Bildirim Sistemini esasen tüm Android kullanıcı tabanına tek bir hamlede nasıl sunabildiğini gösteriyor. Play Hizmetleri olmasaydı, bu tür bir çaba aylar sürerdi ve neredeyse bu kadar insana ulaşamazdı.

Aslına bakılırsa, Google'ın Android parçalanmasını neredeyse on yıl önce düzeltmeye yönelik çabalarının muhtemel olduğunu düşünmek oldukça çılgınca. dolaylı olarak Pandemi sırasında epeyce hayat kurtardı.

Sahne korkusu

Kötü amaçlı yazılım uygulamaları bir şeydir, ancak kötü aktörlerin telefonunuzun kontrolünü ele geçirmeye veya verilerinizi çalmaya çalışabileceği başka yollar da vardır. Tarayıcı istismarları bunun oldukça önemli bir parçasıydı ve artık hem Chrome tarayıcısı hem de diğer uygulamalardaki web içeriğine yönelik WebView kodu Play Store aracılığıyla güncelleniyor. Aslında bu, Android'in bir zamanlar ürün yazılımı güncellemesi gerektiren birçok farklı bölümü için geçerlidir. Diğerleri arasında Google Telefon çevirici, Android Mesajları ve sayısız kamera arkası uygulaması yer alıyor.

Diyelim ki, bugün 2023'te, kötü niyetli bir web sayfasının telefonunuzu çökertebileceği, şifrelerinizi çalabileceği veya Starbucks uygulamasının siparişinizi bozabileceği kötü niyetli bir tarayıcı istismarının keşfedildiğini varsayalım. Android'in hangi sürümünü kullandığınızın bir önemi yok; Google, hem Chrome'u hem de web içeriğini görüntüleyen diğer uygulamaları kapsayan güncellemeleri Play Store aracılığıyla yayınlayabilir. Zehirli cehennem yahnisi olarak adlandırılan günlerde, aynı düzeltmenin uygulanması için tam bir ürün yazılımı güncellemesi gerekiyordu her Android telefona: çok daha fazla insan için çok daha fazla iş ve bu, aylar hatta yıllar alırdı. günler.

Başka bir istismar türü de 2015'te Android güvenlik dünyasında büyük bir haberdi. "Stagefright" hatası, Android'in görüntülerin ve videoların oluşturulmasını sağlayan bölümünü etkiledi: Doğru şekilde değiştirilmiş bir fotoğraf, telefonunuza kötü şeyler yapabilir. Bu büyük bir sorundu çünkü o zamanlar Stagefright bileşeni tam bir donanım yazılımı güncellemesi olmadan güncellenemezdi. Yine: bir sürü ekstra çalışma, sertifikasyon ve bekleme, potansiyel olarak perili bir tablonun dijital eşdeğeri, telefonunuzu her an tamamen açabilir.

Bu ürkütücü Stagefright güvenlik korkusunun sonuçları iki yönlü oldu: İlk olarak Google, güvenlik düzeyinizi belirli bir tarihe bağlayarak Android için aylık güvenlik yamaları yayınlamaya başladı. Sadece bu da değil, Google'ın Android'i modüler yapmayı çok daha ciddiye almasına neden oldu, böylece Stagefright gibi işletim sistemi parçaları, tam bir cihaz yazılımı güncellemesine ihtiyaç duymadan Play Store aracılığıyla güncellenebildi.

Yeni Android Güvenlik Yamaları bu güne kadar her ay yayınlanmaya devam ediyor. Ayrıca işletim sisteminin yalnızca en son sürümünü değil, daha eski sürümlerini de kapsıyor; dolayısıyla bir telefon hala Android 11 veya 12'de olsa bile korunabiliyor. Genel olarak, Google Piksel ve Samsung amiral gemileri önce güvenlik yamalarını alıyor, Motorola gibi diğerleri ise ekosistemin geri kalanının arkasında terli bir şekilde koşuyor ve sözleşmeye bağlı olarak her üç ayda bir minimum bir yama yayınlıyor.

Bu da denklemin diğer tarafı: Google artık telefon üreticilerinin, cihazlarında Google hizmetleri içeren Android'i istemeleri durumunda yasal olarak minimum düzeyde destek taahhüt etmelerini zorunlu kılıyor. 2018'de, Sınır rapor edildi Google, en az 90 günde bir çıkan, iki yıllık güvenlik yamasını zorunlu kılıyor

Bugünlerde Samsung ve OnePlus gibi popüler markalar dört yıllık işletim sistemi güncellemesi ve beş yıllık güvenlik yaması vaat ediyor; muhtemelen perde arkasında Google'ın da teşvikiyle.

Güncellemelerin günümüzde çok daha sık yayınlanmasına rağmen, özellikle tamamen yeni bir işletim sistemi sürümü gibi büyük bir güncelleme söz konusu olduğunda, hala çok fazla mühendislik çalışması gerektiriyorlar. Android, Google'ın Mountain View çikolata fabrikasından çıktığında Samsung'un One UI'sına veya Oppo'nun ColorOS'una benzemiyor, değil mi? Ve ilk günlerde, Samsung veya Oppo olarak sizin, Android'in tamamen yeni sürümünü, önceki sürümün özelleştirilmiş çatalına dahil etmeniz gerekiyordu. Bu, yemek piştikten sonra bazı malzemelerin yerini değiştirmeye benziyor; sonunda neredeyse sıfırdan başlamak zorunda kalıyorsunuz.

Google'ın çözümü? Temel olarak bir TV yemek tabağı: O yemeği iki farklı bölümde servis edersiniz. Üreticinin özelleştirmelerini (tüm One UI veya ColorOS öğelerini) çekirdek işletim sisteminden ayırırsınız. Bu da birini diğeriyle uğraşmadan daha kolay güncelleyebileceğiniz anlamına gelir. Tüm bu çabaya Tiz Projesi adı veriliyor ve bunu telefonunuzda göremeseniz de fark etmiş olabilirsiniz. Bugün sahip olduğunuz Android cihazının güncellemeleri, yedi veya sekiz yıl kullandığınız cihazdan biraz daha hızlı alması evvel.

Üstelik Google, Android'in gelecekteki sürümlerini OEM'lerle çok daha erken bir aşamada paylaşmaya başladı. Yani ilk geliştirici önizlemesini yaptığında Android14 halka açık olduğundan, Samsung gibiler muhtemelen birkaç aydır perde arkasından bu olayı izliyorlardı. Güvenlik yamalarına gelince, üreticilere bir avantaj sağlamak için bir ay önceden özel olarak paylaşılıyor.

Bütün bunlar iyi ve güzel olsa da, insanlar genellikle telefonlarını birkaç yıldan daha uzun süre ellerinde tutuyorlar. Yeni ürün yazılımını yayınlamak hala önemsiz olmayan bir iş ve bu mühendisler bedava çalışmıyor. Proje Ana Hattı 2019'da WiFi, Bluetooth, medya işleme ve çok daha fazlasına yönelik yazılım modülleriyle Android'in kendisini daha modüler hale getirdi. Bu modüller daha sonra, tüm donanım yazılımı güncelleme sürecinden geçme zahmetine gerek kalmadan doğrudan Google veya üretici tarafından ayrı ayrı güncellenebilir.

Telefonunuzda daha önce bir Google Play Sistem Güncellemesi gördüyseniz, işte budur. Şöyle düşünün: Evinizde ampul patlarsa artık ampulü değiştirebilirsiniz... oysa eskiden dışarı çıkıp evinizi yakar, üstüne yenisini yapardınız.

Güvenlik korumaları artık çok daha iyi

Android güvenlik korkuları 2023'te bile hâlâ yaşanıyor. Ancak günümüzün, zehirli cehennem yahnisi zamanlarına göre farkı, bunları etkisiz hale getirecek pek çok aracın bulunmasıdır. Örneğin 2015'in Stagefright güvenlik açığını ele alalım. Android'in bu hatadan etkilenen kısmı bugün Project Mainline modülüdür ve tam bir ürün yazılımı güncellemesi gerekmeden kolayca Android 10'a kadar güncellenebilir.

Başka bir örnek olarak, 2014'teki "Sahte Kimlik" hatası, kötü amaçlı bir uygulamanın özel izinlere sahip bir uygulamanın kimliğine bürünmesine olanak tanıyarak verilerinizin bir saldırganın eline geçmesine neden olabilir. Bugün böyle bir şey olsaydı, Play Protect bunu durdururdu ve altta yatan hata, Android çalışma zamanı modülüne yapılacak bir Mainline güncellemesinde hızla giderilebilirdi. Bunun da ötesinde, Google, gelecekteki Android güvenlik açıkları ortaya çıktığında yararlı bir şeyler yapmayı zorlaştırmak için şifreleme ve bellek yönetimi konusunda da pek çok şey yaptı.

Hiçbir yazılım hiçbir zaman tamamen güvenli değildir. 0 günlük istismarlar (yani: gizli, yama yapılmamış güvenlik açıkları) tüm işletim sistemlerinde mevcuttur ve ulus devletler tarafından kullanılır ve karaborsada büyük meblağlara satılır. Yüksek profilli bireylerin 0-günleri temel alan son derece gelişmiş kötü amaçlı yazılımlar tarafından hedef alındığına dair yakın zamanda birçok örnek mevcut: Jeff Bezos, Emmanuel Macron ve Liz Kafes. 2022'de eski İngiltere başbakanının, sözde Rus ajanlar tarafından saldırıya uğramasının ardından telefon numaralarını değiştirmeye devam etmek zorunda kaldığı bildirildi. Sonunda cihazının tamamen ele geçirildiği kabul edildi ve temelde Çernobil lahitinin akıllı telefon eşdeğerinde kilitlendi.

Telefon numarasını neden değiştirdiğini merak ediyorsanız, telefonunun şuna benzer bir şey tarafından hedef alınmış olması mümkündür: İsrail yapımı casus yazılım Pegasus'un, yalnızca telefonlarına sahip olduklarında Android veya iOS cihazlarını ele geçirebildiği bildiriliyor sayı. Rusya'nın yabancı yapımı casus yazılım kullanmadığı bildiriliyor, ancak muhtemelen benzer 0 günlük istismarlara dayalı olarak kendi ülkelerinde geliştirilmiş eşdeğerlerine sahipler.

Tüm bunlar, %100 güvenliğin bir yanılsama olduğunu gösteriyor; hangi cihazı veya işletim sistemini kullanırsanız kullanın, bu elde edilemez. Yine de Android, on yıl önce iddia edebileceğiniz gibi "zehirli bir güvenlik açığı cehennemi" olmaktan çok ötede. Hükümet başkanı olmayan veya trilyon dolarlık bir şirketin CEO'su olmayanlarımızın karşılaşabileceği bahçe çeşitliliği tehditleriyle mücadele etmek için çok daha iyi bir konumda.

Dahası, ortalama bir kişinin telefon tabanlı kötü amaçlı yazılımların kurbanı olmaktan ziyade sosyal mühendislik veya başka bir dolandırıcılığın kurbanı olma olasılığı çok daha yüksektir. Bu tür dolandırıcılık birçok ülkede ve Birleşik Krallık'ta artıyor. 2020 ile 2022 arasında %25 arttı, çoğu durumda bilgisayarın kötüye kullanımı söz konusudur. Akıllı telefon güvenliği geliştikçe, pek çok kötü adamın ekrana iliştirilmiş yumuşak, etli bileşenden, yani sizden yararlanmanın aslında daha kolay olduğunu fark ettiğini söyleyebiliriz.