Ang seguridad ng Android - isang q & a kasama ang adrian ludwig ng google

Marami kaming pinag-uusapan tungkol sa seguridad sa iyong aparato sa Android kamakailan, at habang nagpatuloy ang pag-uusap ay malinaw na mayroong mga katanungan na kailangang masagot ng isang tao ng isang mas malaking awtoridad. Ang mga bagay tulad ng kung kailangan mo ng antivirus software para sa iyong telepono, pagkilala sa malware, at siguraduhing ang iyong mga aparato ay karaniwang ligtas sa pang-araw-araw na paggamit ay mga paksa na naging hindi maputik. Habang maaari naming ilagay ang ilang mga sisihin para sa mga ito sa tila walang katapusang pagbagsak ng mga artikulo na nagsasabi sa amin tungkol sa lahat ng software out doon na ginawa upang mapagsamantalahan ang mga gumagamit ng Android, mayroon ding ilang mga lehitimong katanungan tungkol sa seguridad ng Android na walang payak, simple mga sagot.

Upang matulungan itong tugunan, dumiretso kami sa pinagmulan. Si Adrian Ludwig, isang lead engineer para sa seguridad ng Android sa Google, ay naglaan ng ilang oras sa pamamagitan ng email upang maibigay ang mga sagot na hinahanap namin.

: Android Security - isang Q&A kasama ang Adrian Ludwig ng Google

Papel ng Google

Q: Ano, eksakto, sinusubukan ng Google na protektahan ang mga gumagamit nito sa Android?

Ludwig: Dinisenyo namin ang Android gamit ang maraming mga patong ng seguridad - Simula sa mga tampok ng hardware ng aparato (Trustzone, NX), sa pamamagitan ng operating system (Application Sandbox, SELinux, ASLR) at hanggang sa mga application at serbisyo na ibinibigay ng Google (Google Play, Device Manager, Patunayan ang Apps, atbp. Hinihikayat din namin ang pagbabago ng seguridad sa pamamagitan ng pagpapagana ng mga third party na magbigay ng mga solusyon sa seguridad.

Ang pinaka-pagpindot sa mga banta sa seguridad na kinakaharap ng mga mobile device sa mga araw na ito ay kinabibilangan ng: 1. Nawala at ninakaw na mga aparato (kung saan nagbibigay kami ng mga proteksyon tulad ng lockscreen, encrypt ng aparato, at Android Device Manager) 2. Pag-atake sa antas ng network (para sa kung saan ang Android ay nagbibigay ng mga serbisyo sa cryptographic at naglalantad isang minimal na pag-atake sa pamamagitan ng pagkakaroon ng walang mga serbisyo ng pakikinig nang default) 3. Mga potensyal na nakakapinsalang aplikasyon (kung saan ang sandbox ng Application ng Android, pagsusuri ng Google Play ng mga aplikasyon, at I-verify ang lahat ay dinisenyo)

Kapag naririnig natin ang tungkol sa isang bagong potensyal na banta, nagsisimula kaming isama iyon sa aming mga plano sa hinaharap.

Patakaran sa suporta

T: Gaano katagal nag-aalok ang Google ng suporta para sa mga bagay tulad ng mga kahinaan sa seguridad na natuklasan sa operating system?

Ludwig: Ang aming diskarte sa isang patakaran sa suporta para sa seguridad ng Android ay upang magbigay ng mga update kahit saan naniniwala kami na maihahatid sila sa mga gumagamit at pagbutihin ang seguridad. Sa pagsasagawa ito ay nangangahulugang nagbibigay kami ng maraming iba't ibang mga uri ng suporta para sa mga potensyal na isyu sa seguridad:

1. Kung ang isang isyu ay maaaring malutas sa pamamagitan ng pag-update ng Chrome, Gmail, Google Play, o anumang bilang ng mga aplikasyon ng Google - malutas namin ang isyu sa isang paraan na bumalik sa lahat ng mga bersyon ng Android kung saan magagamit ang bawat application.
2. Ang mga aparatong Google Nexus at mga aparatong edisyon ng Google Play ay regular na tumatanggap ng mga update sa seguridad sa isang napapanahong paraan.
3. Nagbibigay kami ng mga patch para sa kasalukuyang sangay ng Android sa Android Open Source Project (AOSP) at direktang nagbibigay ng mga kasosyo sa Android ng mga patch para sa hindi bababa sa huling dalawang pangunahing bersyon ng operating system. Sa kasalukuyan, nagbibigay kami ng mga backports para sa mga isyu sa seguridad na sumasakop sa Android 4.3 at mas malaki. Ang WebKit sa Android 4.3 ay ang isang pagbubukod. Ito ay suportado sa Android 4.4 at sa itaas bilang isang binary update. Gayunpaman, kapag ang isang OEM ay humihiling ng tulong sa pagbuo ng isang patch para sa isang aparato na nagpapatakbo ng isang mas lumang bersyon ng platform at nakatuon sila sa paghahatid ng patch bilang isang OTA sa mga aparato, bibigyan namin sila ng tulong.
4. Kung maaari, ina-update din namin ang mga serbisyo ng seguridad ng Google para sa Android upang magbigay ng karagdagang layer ng proteksyon para sa lahat ng mga aparato ng Android, anuman ang sinusuportahan pa rin ng mga OEM. Kasama dito ang pagsuri para sa mga potensyal na nakakapinsalang aplikasyon at iba pang pag-uugali ng seguridad.
5. Nagbibigay din kami ng mga developer ng application ng impormasyon at mga tool upang matiyak na ang kanilang mga aplikasyon ay protektado laban sa mga potensyal na isyu sa seguridad. Kasama dito ang pagbibigay ng mga API sa loob ng Mga Serbisyo ng Google Play tulad ng na-update na Provider ng Seguridad na maaaring mai-update ng Google nang walang isang OTA na aparato. Nagbibigay din kami ng pinakamahusay na kasanayan na makakatulong sa mga developer na matiyak na ligtas ang kanilang mga aplikasyon sa lahat ng mga aparato ng Android, anuman ang sinusuportahan pa rin ng mga OEM. Kamakailan lamang, sinimulan naming i-scan ang mga application sa Google Play para sa mga potensyal na kahinaan sa seguridad at ipaalam sa mga developer kapag nakita ang mga kahinaan na iyon.
6. Panghuli, ngunit hindi bababa sa, ibinahagi namin ang impormasyon tungkol sa mga isyu sa seguridad (kasama ang impormasyon na mayroon kami tungkol sa mga pag-aayos at anumang kilalang pagsasamantala) sa mga kasosyo sa Android upang matiyak na nauunawaan nila ang isyu, kabilang ang mga panganib na nauugnay sa mga aparato na hindi tumatanggap ng pag-update para sa isyu. Kasama dito ang pagdaragdag ng mga pagsubok para sa mga potensyal na isyu sa seguridad sa Compatibility Test Suite upang mabawasan ang pagkakataon na ang isang OEM ay hindi sinasadyang nagpapadala ng isang aparato na may kilalang isyu sa seguridad.

Kontrol ng gumagamit

T: Sa kaganapan ang isang app ay itinuturing na nakakahamak ngunit hindi kinakailangan mapanganib - halimbawa ng isang app na sumasalamin sa tray ng abiso sa mga hindi ginustong mga ad - anong mga tool ang magagamit upang matulungan ang mga gumagamit?

Ludwig: Nagbibigay ang Android ng mga gumagamit ng mga kontrol na nagbibigay-daan sa kanila upang makontrol ang karanasan sa kanilang aparato. Kasama dito ang mga kakayahan tulad ng pagtingin sa mga pahintulot sa aplikasyon, pag-configure ng mga setting tulad ng kakayahan ng isang application upang magpakita ng mga abiso, o ang kakayahang hindi paganahin o alisin ang mga aplikasyon anumang oras.

Kung hindi nais ang isang abiso, maaaring matagal nang pindutin ng abiso ang abiso upang makita kung aling app ang gumawa nito at pagkatapos ay baguhin ang mga setting ng abiso ng application o i-uninstall ang application.

Mga tseke ng seguridad

Q: Ano ang mangyayari kapag nagpadala ang Google ng isang mensahe ng babala sa mga gumagamit ng isang nakakahamak na app at hindi tinanggal ng gumagamit ang app, alinman dahil pinili nila na hindi o ang mensahe ay hindi sinasadyang binawian?

Ludwig: Maraming maramihang mga tseke ng seguridad na idinisenyo upang matiyak na ang isang app na kilalang potensyal na mapanganib ay hindi sinasadyang mai-install. Sa bawat isa sa mga tseke na ito, ang karamihan ng mga gumagamit na tumatanggap ng babala tungkol sa isang potensyal na mapanganib na app ay pipili na huwag magpatuloy.

Narito ang lahat ng mga pangunahing hakbang:

Isinama ng Google ang system ng babala nito para sa kilalang potensyal na nakakapinsalang apps sa backend ng marami sa aming mga app. Kaya, halimbawa, ang browser ng Chrome na may Safe Browsing ay maaaring bigyan ng babala ang gumagamit bago pa man sila mag-download ng isang app mula sa isang website na tila sila ay nasa isang website na nagho-host ng mga potensyal na nakakapinsalang apps.

Kung pipiliin nilang mag-download at mai-install pa, makakatanggap sila ng babala sa oras ng pag-install (pati na rin ang iba pang impormasyon tulad ng mga pahintulot ng application na makakatulong sa kanila na magpasya kung nais nilang mai-install).

Kung magpasya pa rin silang magpatuloy, naka-install ang application, ngunit wala pa rin itong magagawa hanggang sa talagang magpasya ang gumagamit na patakbuhin ang app. Kaya mayroon silang isa pang pagkakataon na pumili upang alisin ang application bago ito posibleng magdulot ng anumang pinsala.

Pipiliin man nila na patakbuhin ang app o hindi, kung naka-install ito sa kanilang aparato, pagkatapos ay mai-flag ang pag-scan ng background ng Verification Apps at bibigyan ng isa pang babala na inirerekumenda na alisin nila ang app. Ang babalang ito ay sa pangkalahatan ay magaganap tungkol sa isang beses sa isang linggo - kahit na ang gumagamit ay may pagpipilian na sabihin na "huwag mo akong paalalahanan muli."

Mga Antivirus apps

T: Sigurado bang pinapanatili ako ng mga aparatong pangseguridad ng third-party kahit na mas ligtas mula sa potensyal na nakakapinsalang mga app ng Play Store?

Ludwig: Ang mga proteksyon na binuo sa Google Play ay napakalakas. Para sa mga gumagamit ng pag-install ng mga app sa labas ng Google Play, mariing inirerekumenda namin na paganahin ang I-verify ang Apps, na ibinibigay sa mga aparato ng Android na tumatakbo sa Android 2.3 o higit pa (iyon ay higit sa 99 porsyento ng mga Android device) na na-install ang Google Play.

Noong 2014, ayon sa Pag-verify ng data ng Apps na nakolekta ng Google at hindi papansin ang mga rooting apps na sinasadyang mai-install ng mga gumagamit, mas kaunti sa 0.15 porsyento ng mga Aplikasyon na naka-install mula sa labas ng Google Play hanggang sa mga aparato sa US English ay inuri bilang Potensyal na Mapanganib na Aplikasyon. Dahil sa built-in na proteksyon na ibinigay ng Verify Apps at ang mababang dalas ng paglitaw ng mga pag-install ng mga PHA, ang potensyal na benepisyo sa seguridad ng isang karagdagang solusyon sa seguridad ay napakaliit.

Pasadyang ROM

Q: Mayroon bang anuman sa mga tampok ng Seguridad ng Google na nalalapat sa mga gumagamit na naka-install ng mga third-party na bersyon ng Android (basahin: mga ginawa ng komunidad ng mga ROM)?

Ludwig: Oo, ang mga third-party ROM ay pangkalahatang itinayo sa AOSP, kaya suportado nila ang Android sandbox, at marami sa kanila ang gumagamit ng mga aplikasyon ng Google, kasama ang aming mga serbisyo sa seguridad.

At doon mo ito. Gumagawa ang Google ng isang hindi kapani-paniwala na dami ng trabaho upang mapanatiling ligtas ang Android, at isang malaking bahagi ng iyon ay inihanda para sa anumang mangyayari sa susunod. Ngunit ito ay palaging magiging isang maliit na laro ng pusa-at-mouse. Tulad ng dati nang nangyayari, ang pagpapanatiling ligtas ang iyong aparato ay tungkol sa pagkaalam kung saan ka nag-tap, kung ano ang iyong mai-install, at pagiging kaalamang hangga't maaari.

Siguraduhing suriin ang natitirang serye ng aming seguridad kung nais mong malaman ang higit pa.