Безпека Android значно покращилася за останні 10 років: ось як

Android описували як «токсичне пекло» вразливостей, але це вже не так.

iPhone 14 Pro Max, Google Pixel 7 Pro, Xiaomi 13 Ultra та Galaxy S23 Ultra

Сьогодні Android є однією з найбільш використовуваних і безпечних операційних систем на планеті, але так було не завжди. Фактично, ще в 2014 р. ZDNet відомий як назвав Android «токсичною пекельною кухнею» вразливостей, яку потім процитував Тім Кук під час презентації iPhone того року. Кук підкреслив, що Android був настільки фрагментованим, а оновлення надходили настільки повільно, що їх було неможливо бідні люди, які «помилково купили телефон Android», могли насолоджуватися де завгодно безпекою свого володіння iPhone краще.

Однак це не повна історія, і вона, звичайно, не є точною в наш час.

Скромний початок

Згадуючи найперший iPhone, він підключався через 2G, мав приблизно 14 додатків і робив фотографії з величезною кількістю шуму та зернистості. Однак перевага для Apple полягала в тому, що компанія створила апаратне та програмне забезпечення, включаючи всі 14 програм, якими до App Store можна було користуватися. Apple регулювала весь досвід, що також означало, що вони могли випускати оновлення в будь-який час.

Навпаки, перші дні Android були дещо іншими, з набагато більшою кількістю кухарів на прославленій кухні. По-перше, Google випустить нову версію Android, яка потім була адаптована виробниками чіпів для роботи на будь-якому процесорі, який використовувався в телефоні. Тоді виробник домагався свого з Android, додавав нові функції чи програми та зазвичай змінював купу речей у тому, як це виглядало — часто в гіршу сторону. Потім його потрібно було звернутися до вашого оператора, якщо це був телефон мережі, і вони переконалися, що він працює в їхній мережі, а також закопали більше віруси просто для біса.

Тоді, якщо вам пощастить, можливо, через шість місяців після запуску нової версії Android, ви, як звичайний людина дійсно отримає його на свій телефон разом із кількома додатками, які у вас можуть бути або не мати хотів. Для 99% екосистеми Android саме так працювали оновлення, і це було серйозною проблемою. Це схоже на те, як замовити шикарний гамбургер у ресторані, а потім чекати, поки власник франшизи та сервер додадуть купу дивних, грубих начинок, про які ви не просили.

Єдині люди, у яких смартфони Android не отримували цілу вічність, щоб отримати оновлення, які також часто містили додаткове програмне забезпечення, були власники Google Nexus. Ці телефони працювали під управлінням ванільної Android і отримували оновлення прямо від Google без жодних додаткових додатків. Проблема полягала в тому, що вони являли собою лише крихітний шматочок пирога Android, який постійно розширювався.

Фрагментація створює проблеми безпеки

Вся ця ситуація була досить поганою з кількох причин, і однією з них була безпека. Очевидно, що це не чудово, якщо Google або Qualcomm потребують виправлення помилки безпеки на вищому рівні харчового ланцюга, і тоді вам доведеться чекати додаткові місяці, щоб вона дійсно потрапила на більшість пристроїв.

Ситуація ускладнювалася природою Android на той час і ставленням виробників телефонів назустріч оновлення. Оновлення програмного забезпечення для існуючих телефонів часто розглядалося як рутинна робота — майже так, ніби ви зіпсувалися, якщо довелося зробити його, тому що все, що ви виправляєте або додаєте, мало бути в оригінальному ПЗУ. Як наслідок, послужний список оновлень майже кожного в світі Android тоді був в основному рівнем смітника за сьогоднішніми стандартами. Флагмани отримають одне велике оновлення ОС через кілька місяців, якщо їм пощастить. Ще гірше те, що виправлень безпеки ще не було.

Наче гірше бути не могло, майже всі важливі основні програми Android на цьому етапі все ще були запечені у мікропрограмі. Оновлення веб-браузера, наприклад, потрібно було б запакувати в OTA та чекати на сертифікацію виробником і оператором. Отже, якщо вразливість виникла в коді двигуна браузера, скажімо, від Google, не було можливості отримати виправлення широко чи швидко. Це означало, що різні люди застрягли на різних версіях з різними налаштуваннями та різними рівнями вразливості до шкідливих програм та інших неприємностей. Отже: фрагментація Android.

Варто сказати, що iOS була *в жодному разі* вільна від проблем безпеки, особливо під час перших кількох поколінь iPhone. Відсутність офіційного магазину додатків стала великим стимулом для сценаристів і хакерів, які намагаються зламати iPhone і зробити його новим і захоплюючим. Принаймні один із головних способів джейлбрейку iPhone тоді включав використання помилки у браузері. По суті, веб-сторінка може порушити безпеку оригінального iPhone.

Різниця полягала в тому, що Apple могла закрити ці діри в безпеці набагато швидше, коли вони з’явилися, і зробити це через a багато більшу частину бази користувачів. Не так на стороні Android.

Google був поганий, але Android тепер набагато кращий

Все це було «токсичною пекельною їжею», яку Google нібито подавав у дні Android версій 4 і 5. Озираючись назад, можна легко сказати, що Google мав зробити більше, щоб зберегти контроль над Android... або встановлюйте системи з самого початку, щоб оновлення проходили вільніше та частіше.

Однак варто пам’ятати, що коли в 2007 році вперше розробляли Android, світ був зовсім іншим. Смартфони, які дійсно існували, були в основному примітивними пристосуваннями для обміну електронною поштою для ділових людей. Мобільні платежі були далеко не реальністю. Uber не буде засновано ще через два роки. Скромного ретвіту навіть не існувало.

Справа в тому, що тоді було незрозуміло, як протягом наступного десятиліття стільки важливих повсякденних завдань буде прив’язано до вашого телефону, і як він стане такою скарбницею дорогоцінних особистих даних, які можна зламати даних. До честі Google, за останні кілька років багато чого змінилося, щоб зробити Android значно безпечнішим і швидше отримати виправлення безпеки для більшої кількості людей. На це є ряд причин.

Наприклад, служби Google Play — це те, що ви могли бачити, як оновлюється на вашому телефоні, на що, можливо, ви не звертали особливої ​​уваги. Однак насправді це надзвичайно важлива частина того, як Google забезпечує безпеку Android і допомагає перенести нові функції з Android 13 на старий Galaxy S7 вашої бабусі, який роками не отримував нового мікропрограмного забезпечення.

У випадку Play Services це системна програма, тому вона має привілейований доступ верхнього рівня A+ Platinum до всього на вашому телефоні. Він може робити набагато більше, ніж звичайний додаток, який ви завантажуєте з Play Store, наприклад установлювати чи видаляти інші додатки або навіть віддалено стирати ваш пристрій у разі його втрати чи викрадення.

Системні програми, такі як Play Services, мають бути завантажені на ваш телефон виробником, але коли вони там, їх можна автоматично оновлювати у фоновому режимі. Це означає, що нові версії можуть безпечно додавати нові функції та функції. І Play Services має щупальця по всій ОС, тому, наприклад, функція безпечного вибору фотографій Android 13 може бути розгорнуто на телефонах із набагато старішими версіями ОС без встановлення нового мікропрограмного забезпечення.

Служби Play також включають Google Play Protect, функцію захисту від зловмисного програмного забезпечення на рівні ОС Android, яка може зупиняти шкідливі програми до їх встановлення або видаляти їх, якщо вони вже є. Ще одна важлива річ про Play Services – це підтримка абсолютно старих версій Android. Зазвичай Google припиняє підтримку Play Services лише у версіях Android, яким близько десяти років. Зараз літо 2023 року, і поточна версія Play Services підтримується аж до Android 4.4 KitKat 2013 року. Цей, здавалося б, випадковий дрібничок ботанік важливий, оскільки він допомагає вам залишатися достатньо захищеним навіть на набагато старіших версіях Android. Це саме по собі є великою частиною стратегії безпеки Android.

Цікаво, що Play Services відіграли важливу роль у відповіді на COVID-19 у багатьох країнах світу. Оновлення, розповсюджене через Play Services, дає змогу Google одним махом запровадити систему сповіщень про ризик зараження, розроблену спільно з Apple, практично для всієї бази користувачів Android. Без Play Services така спроба зайняла б місяці й не охопила б стільки людей.

Насправді, дуже божевільно думати, що спроби Google виправити фрагментацію Android майже десять років тому ймовірно опосередковано врятував чимало життів під час пандемії.

Страх сцени

Шкідливі програми — це одне, але є й інші способи, за допомогою яких зловмисники можуть спробувати взяти під контроль ваш телефон або викрасти ваші дані. Експлойти веб-переглядача були значною частиною цього, і тепер браузер Chrome і код WebView для веб-вмісту в інших програмах оновлюються через Play Store. Насправді це стосується цілої групи різних частин Android, які колись вимагали оновлення прошивки. Інші включають номеронабирач Google Phone, Android Messages і незліченну кількість закулісних програм.

Отже, скажімо, сьогодні, у 2023 році, виявлено неприємний експлойт у веб-переглядачі, через який шкідлива веб-сторінка може вивести з ладу ваш телефон, викрасти ваші паролі або змусити програму Starbucks зіпсувати ваше замовлення. Не має значення, яку версію Android ви використовуєте, Google міг би надсилати оновлення через Play Store, охоплюючи як сам Chrome, так і будь-яку іншу програму, яка відображає веб-вміст. У часи так званої токсичної пекельної кухні для впровадження того самого виправлення потрібно було повне оновлення мікропрограми до кожного телефону Android: набагато більше роботи для набагато більшої кількості людей, і замість цього знадобилися б місяці чи навіть роки днів.

Ще один експлойт став великою новиною у світі безпеки Android у 2015 році. Помилка «Stagefright» вплинула на частину Android, яка обробляла рендеринг зображень і відео: фотографія, яка була підроблена належним чином, могла завдати шкоди вашому телефону. Це було великою проблемою, тому що тоді компонент Stagefright не можна було оновити без повного оновлення мікропрограми. Знову ж таки: купа додаткової роботи, сертифікації та очікування, тоді як потенційно цифровий еквівалент картини з привидами може зламати ваш телефон у будь-який момент.

Наслідки цього моторошного страху безпеки Stagefright були подвійними: по-перше, Google почав випускати щомісячні виправлення безпеки для Android, прив’язуючи ваш рівень безпеки до конкретної дати. Мало того, це змусило Google серйозніше поставитися до створення модульної системи Android, тому окремі частини ОС, такі як Stagefright, можна було оновлювати через Play Store без необхідності повного оновлення мікропрограми.

Нові виправлення безпеки Android виходять щомісяця й донині. Крім того, вони охоплюють старіші версії ОС, а не лише останню, тож навіть якщо на телефоні все ще встановлено Android 11 або 12, його можна захистити. загалом, Google Pixel і флагмани Samsung отримують виправлення безпеки першими, а інші, як-от Motorola, пітно біжать за рештою екосистеми, випускаючи договірний мінімум один патч на квартал.

Це інша сторона цього рівняння: Google тепер юридично вимагає від виробників телефонів взяти на себе зобов’язання щодо мінімального рівня підтримки, якщо вони хочуть Android із службами Google на своїх пристроях. Ще в 2018 році The Verge повідомили що Google вимагає два роки виправлень безпеки, які виходять принаймні раз на 90 днів

Сьогодні такі популярні бренди, як Samsung і OnePlus, обіцяють чотири роки оновлень ОС і п’ять років виправлень безпеки, можливо, за підтримки Google за лаштунками.

Незважаючи на те, що оновлення виходять набагато частіше, вони все одно вимагають багато інженерної роботи, особливо коли це велике оновлення, як-от ціла нова версія ОС. Android не схожий на One UI від Samsung або ColorOS від Oppo, коли він покидає шоколадну фабрику Google у Маунтін-В’ю, чи не так? І на перших порах вам, як Samsung або Oppo, потрібно було інтегрувати цілу нову версію Android у ваш налаштований форк попередньої версії. Це схоже на спробу замінити деякі інгредієнти, коли їжа вже приготована — у підсумку вам доведеться починати майже з нуля.

Рішення Google? По суті, обідня тарілка для телевізора: ви подаєте цю їжу в двох різних секціях. Ви відокремлюєте налаштування виробника — усі речі One UI або ColorOS — від основної ОС. А це означає, що ви можете легше оновлювати один, не плутаючись з іншим. Вся ця ініціатива називається Project Treble, і хоча ви не бачите її на своєму телефоні, ви могли помітити як пристрій Android, яким ви володієте сьогодні, отримує оновлення набагато швидше, ніж той, яким ви користувалися сім чи вісім років тому.

Крім того, Google почав ділитися майбутніми версіями Android з OEM-виробниками набагато раніше. Таким чином, до моменту першого попереднього перегляду розробника Android 14 були публічними, такі як Samsung, ймовірно, заглядали за лаштунками протягом кількох місяців або близько того. Що стосується патчів безпеки, вони публікуються приватно на місяць раніше, щоб дати виробникам перевагу.

Отже, хоча все це добре, люди часто зберігають телефони довше, ніж пару років. Розробка нового мікропрограмного забезпечення все ще є нетривіальною роботою, і ці інженери не працюють безкоштовно. Проект Mainline у 2019 році сам Android став більш модульним із програмними модулями для таких речей, як Wi-Fi, Bluetooth, обробки медіафайлів тощо. Потім ці модулі можуть бути оновлені безпосередньо Google або виробником окремо, без проходження повного процесу оновлення мікропрограми.

Якщо ви коли-небудь бачили оновлення системи Google Play на своєму телефоні, ось що це таке. Подумайте про це так: якщо у вас вдома перегорає лампочка, тепер ви можете просто замінити лампочку... тоді як раніше ви виходили на вулицю, спалювали свій будинок дотла, а над ним будували новий.

Захист безпеки тепер набагато кращий

Страхи щодо безпеки Android все ще трапляються навіть у 2023 році. Але різниця сьогодні, порівняно з токсичними часами hellstew, полягає в тому, що існує багато інструментів для їх нейтралізації. Візьмемо, наприклад, уразливість Stagefright 2015 року. Частина Android, на яку вплинула ця помилка, сьогодні є модулем Project Mainline, і він легко оновлюється до Android 10 без повного оновлення мікропрограми.

Як інший приклад, у 2014 році помилка «Fake ID» могла дозволити зловмисній програмі видавати себе за програму зі спеціальними дозволами, потенційно відкриваючи ваші дані для зловмисника. Якби щось подібне трапилося сьогодні, Play Protect зупинив би це на місці, а основну помилку можна було б швидко усунути в оновленні Mainline для модуля виконання Android. Крім того, Google також багато зробив для шифрування та керування пам’яттю, щоб ускладнити будь-що корисне з майбутніми вразливими місцями Android, якщо та коли вони з’являться.

Жодне програмне забезпечення ніколи не є повністю безпечним. 0-денні експлойти — тобто секретні невиправлені вразливості — існують для всіх операційних систем, використовуються державами та продаються за величезні суми на чорному ринку. Є багато нещодавніх прикладів, коли високопоставлені особи стають мішенню надзвичайно складного шкідливого програмного забезпечення на основі 0-днів: такі люди, як Джефф Безос, Еммануель Макрон та Ліз Трасс. Як повідомляється, у 2022 році колишньому прем’єр-міністру Великої Британії довелося постійно змінювати номери телефонів після того, як його зламали ймовірно російські агенти. Згодом її пристрій було визнано настільки скомпрометованим, що він був закритий, по суті, у смартфоні, еквівалентному чорнобильському саркофагу.

Якщо вам цікаво, чому вона змінювала свій номер телефону, можливо, її телефон став мішенню для чогось подібного Pegasus, виготовлене в Ізраїлі шпигунське програмне забезпечення, яке, як повідомляється, може заволодіти пристроями Android або iOS, просто маючи їхній телефон номер. Повідомляється, що Росія не використовує шпигунське програмне забезпечення іноземного виробництва, але, ймовірно, у них є свій власний еквівалент, заснований на подібних нульових експлойтах.

Усе це свідчить про те, що 100% безпека — це ілюзія — вона недосяжна, незалежно від того, який пристрій чи ОС ви використовуєте. Тим не менш, Android вже давно перестав бути «токсичним пеклом вразливостей», як ви могли стверджувати десять років тому. Він має набагато кращі можливості для боротьби із загрозами різноманітності саду, з якими можуть зіткнутися ті з нас, хто не є главами уряду чи генеральним директором трильйонної компанії.

Більше того, звичайна людина з набагато більшою ймовірністю стане жертвою соціальної інженерії чи іншого шахрайства, а не постраждає від зловмисного програмного забезпечення на телефоні. Цей вид шахрайства зростає в багатьох країнах, а у Великобританії, він збільшився на 25% між 2020 і 2022 роками, причому більшість випадків стосується неправильного використання комп’ютера. Оскільки безпека смартфонів покращилася, можна сказати, що багато зловмисників усвідомлюють, що насправді легше використовувати м’ясний м’ясний компонент, прикріплений до екрана: вас.