Video: Krig, fest och näsblod VLOGG (Oktober 2024)
På RSA-konferansen presenterte Googles Lead Engineer for Android Security Adrian Ludwig selskapets filosofi for å sikre sin mobile plattform. Det er en typisk Google-tilnærming som er avhengig av å samle inn data og bygge tjenester. Men samtidig ser det ut til å fly i møte med konvensjonell mobilsikkerhet.
Usynlig sikkerhet
Flere ganger under foredraget kom Ludwig tilbake til ideen om subtil sikkerhet. "Effektiv og usynlig sikkerhet vekker ro, " sa han. Målet var å la brukeren samhandle med telefonen, nettbrettet eller hva som helst som kjørte Android uten at sikkerhetsproblemer kom i veien. "Ikke trompetisk sikkerhet betyr ikke at den ikke er der, " sa Ludwig. "Det betyr at det fungerer."
Denne tilnærmingen er markant forskjellig fra sikkerhetsbransjen som helhet, sa han, som er veldig avhengig av "sikkerhetsteater." For ham betyr dette apper som høylytt forkynner hvor mye de beskytter deg. "Mest sikkerhet handler til syvende og sist om å selge deg mer sikkerhet, " sa Ludwig i en overraskende åpenhet på en konferanse som henvender seg til sikkerhetsselskaper.
Tillatelser var det bemerkelsesverdige unntaket. "Det er det stedet vi eksplisitt angår sikkerhet for brukeren, " sa han. Disse definerer hva en app kan og ikke får tilgang til, og vi har oppfordret leserne til å se nøye på dem for å ta gode beslutninger om hva de laster ned. Ludwig sa at det egentlig ikke var meningen. "Trodde vi at folk skulle ta smarte avgjørelser hver gang? Husk at vi ser hva folk søker etter hver dag, " la han skjevt til. Han fortsatte med å si at tillatelser ikke er så mye for brukere, men for å hjelpe utviklere med å ta gode beslutninger "mesteparten av tiden."
Dette passet med et annet av Ludwigs overraskende uttalelser: at han ikke ser Android som et operativsystem, men heller en utviklingsplattform. "[Android] var et sett med APIer som var ment å lage kraftige applikasjoner, " sa han. "Vi leverer tjenester i form av applikasjoner."
Hva Google gir
Mens Ludwig brukte litt tid på å diskutere hvordan understøttelsene til Android gjorde plattformen sikker - inkludert takk for NSA for SC Linux - berørte han også på mer synlige Google-tjenester. For eksempel hevdet han at Googles innsats for deteksjon av skadelig programvare på Google Play overgår det i hele AV-bransjen. Selv om han erkjente at det ikke var ufeilbarlig.
I tillegg til et annet åpenbart verktøy som Android Device Manager, pekte Ludwig på Googles Verified Apps-tjeneste, som gir en viss beskyttelse for brukere som installerer apper utenfor Play-butikken. "Du har sannsynligvis den på telefonen din og vet ikke den, for det er slik vi ruller, " sa Ludwig.
Det finnes også Android Safety Net, som Ludwig sa utvidet sanntidsbeskyttelse til enheter selv. Dette ser etter potensielle overgrep, som ofte å be om å sende premium SMS-meldinger - en vanlig taktikk som brukes til å tjene penger på ondsinnede apper.
"Jeg må gjette at dette er den største utplasseringen av sikkerhetstjenester i verden, " sa Ludwig.
Mangfold og åpenhet er bra
Android er kjent som en åpen plattform, og Ludwig sa at denne tilnærmingen har gitt uvurderlige data om gode skuespillere, dårlige skuespillere og normal oppførsel på mobile enheter. "Når verden blir mer interaktiv og det kommer flere data frem og tilbake, blir sikkerheten faktisk bedre." Ludwig mener at dette skiller seg veldig fra etablerte sikkerhetsstrategier, som han sa avhenger av isolasjon.
Åpenhet har betydd en fragmentert Android, men Ludwig så ut til å antyde at dette mangfoldet var bra. Det enorme mangfoldet av Android-maskinvare og -programvare gjør at det er mye vanskeligere å påvirke alle enheter. "En enkelt gullmester med en feil berører hundrevis av millioner brukere, " sa han. "Det er ingen eneste gullmester [for Android], hver enhet er bygget fra forskjellige kilder."
Å være åpen har også gitt sikkerhetsselskaper en plass på Android. "Vi hindret ikke dem i å løpe på plattformen vår, " sa han, uten tvil om å gjøre en søppel på Apple. I stedet sa Ludwig at Google ønsket sikkerhetsselskaper velkommen i, og Android hadde godt av arbeidet sitt.
Åpenhet letter også akademisk forskning innen det voksende feltet for mobilsikkerhet. "Mobilsikkerhet er en eufemisme for Android-sikkerhet, " sa Ludwig. "Alle papirene handler om Android-sikkerhet fordi det er det eneste stedet [forskere] har tilgang på mobil."
Fungerer det?
For å demonstrere effektiviteten av Googles tilnærming til sikkerhet, løp Ludwig gjennom en tidslinje for Masterkey-utnyttelsen, som nøye lesere av SecurityWatch vil huske fra i fjor sommer. Han sa at Google raskt kunne fastslå at det ikke var noen slike utnyttelser i Play-butikken da de ble informert om at det eksisterte. Hva mer er, etter at Bluebox-forskerne som oppdaget utnyttelsen offentliggjort sine data, sporet Google tilsynelatende bare åtte forsøk per million installasjoner.
Ludwig hadde et lignende syn på skadelig Android-programvare som helhet, noe som har blitt rapportert å være på vei oppover. Han tilskrev dette mer til den raske spredningen av Android-enheter, og dataene han presenterte viste en relativt liten forekomst av malware på det enorme universet til Androids. "Du får utrolige overskrifter med i utgangspunktet at ingen blir berørt."
Det må sies at Google så langt har gjort en fantastisk jobb med å administrere Android-sikkerhet - spesielt med tanke på hvordan smarttelefoner brast på scenen og kom til å dominere moderne databehandling. Imidlertid er det fortsatt alvorlige problemer som skal løses fremover, som lekkende apper og sikring av personopplysninger.
Fra Googles perspektiv har Android balansert sikkerhet med nåde. Å holde den balansen vil sannsynligvis være hvordan Android blir bedømt når den modnes.
