Video: Testowy live z Android (Listopad 2024)
Na konferenci RSA představil hlavní inženýr společnosti Google pro zabezpečení Android Adrian Ludwig představení firemní filozofie zabezpečení mobilní platformy. Jedná se o typický přístup společnosti Google, který se spoléhá na sběr dat a služby v oblasti budov. Současně se však zdá, že létá tváří v tvář konvenční mobilní bezpečnosti.
Neviditelná bezpečnost
Několikrát se během hovoru Ludwig vrátil k myšlence jemné bezpečnosti. „Efektivní a neviditelná bezpečnost evokuje klid, “ řekl. Cílem bylo umožnit uživateli interakci s telefonem, tabletem nebo čímkoli systémem Android, aniž by se jim bránily problémy se zabezpečením. "Ne, trumfová bezpečnost neznamená, že tam není, " řekl Ludwig. "To znamená, že to funguje."
Tento přístup se výrazně liší od přístupu bezpečnostního průmyslu jako celku, řekl, který se silně spoléhá na „bezpečnostní divadlo“. Pro něj to znamená aplikace, které hlasitě hlásí, jak vás chrání. "Většina bezpečnosti je v konečném důsledku o prodeji větší bezpečnosti, " řekl Ludwig v překvapivě upřímném prohlášení na konferenci, která se zabývá bezpečnostním společnostem.
Povolení byla významnou výjimkou. „Je to jediné místo, kde jsme výslovně o bezpečnosti uživatele, “ řekl. Tyto definují, co aplikace může a nemůže získat přístup, a povzbudili jsme čtenáře, aby se na ně pečlivě podívali, aby se mohli správně rozhodovat o tom, co si stáhnou. Ludwig řekl, že to ve skutečnosti nebyl záměr. „Mysleli jsme si, že lidé pokaždé učiní inteligentní rozhodnutí? Pamatujte, vidíme, co lidé hledají každý den, “ dodal opatrně. Dále říkal, že oprávnění nejsou pro uživatele tolik, ale pomáhají vývojářům přijímat správná rozhodnutí „většinu času“.
To zapadá do dalšího Ludwigova překvapivého prohlášení: že nevidí Android jako operační systém, ale spíše jako vývojovou platformu. „[Android] byla sada API určených k vytváření výkonných aplikací, “ uvedl. "Poskytujeme služby ve formě aplikací."
Co společnost Google poskytuje
Zatímco Ludwig trávil nějaký čas diskusí o tom, jak podpůrné platformy Android zabezpečily platformu - včetně poděkování NSA za SC Linux - dotkl se také viditelnějších služeb Google. Například tvrdil, že úsilí společnosti Google o detekci malwaru na Google Play převyšuje úsilí celého odvětví AV. Přestože uznal, že to není neomylné.
Kromě jiného zjevného nástroje, jako je Správce zařízení Android, Ludwig poukázal na službu Ověřené aplikace Google, která poskytuje určitou ochranu uživatelům, kteří instalují aplikace mimo obchod Play. „Pravděpodobně to máte na svém telefonu a nevíte to, protože takto se válíme, “ řekl Ludwig.
K dispozici je také bezpečnostní síť pro Android, podle níž Ludwig uvedl rozšířenou ochranu v reálném čase pro samotné zařízení. Hledá to možné zneužití, například časté žádosti o zasílání prémiových zpráv SMS - běžná taktika používaná ke zpeněžení škodlivých aplikací.
"Musel bych hádat, že se jedná o největší nasazení bezpečnostních služeb na světě, " řekl Ludwig.
Rozmanitost a otevřenost je dobrá
Android je známý jako otevřená platforma a Ludwig uvedl, že tento přístup poskytl neocenitelná data o dobrých hercích, špatných hercích a normálním chování na mobilních zařízeních. "Jak se svět stává interaktivnějším a stále více a více dat teče, zabezpečení se ve skutečnosti zlepšuje." Ludwig věří, že se to výrazně liší od zavedených bezpečnostních strategií, které podle něj závisí na izolaci.
Otevřenost znamenala fragmentovaný Android, ale Ludwig zřejmě naznačoval, že tato rozmanitost je dobrá věc. Obrovská rozmanitost hardwaru a softwaru Android znamená, že je mnohem obtížnější ovlivnit všechna zařízení. "Jeden zlatý mistr s chybou ovlivňuje stovky milionů uživatelů, " řekl. "Neexistuje jediný zlatý master [pro Android], každé zařízení je vyrobeno ze zdroje, který se liší."
Být otevřený také dal bezpečnostním společnostem místo v Androidu. „Nezabránili jsme jim, aby běhali na naší platformě, “ řekl a nepochybně udělal úder do Apple. Ludwig místo toho řekl, že společnost Google přivítala bezpečnostní společnosti a Android z jejich práce těží.
Otevřenost také usnadňuje akademický výzkum v rostoucí oblasti mobilní bezpečnosti. „Mobilní zabezpečení je eufemismus pro zabezpečení Androidu, “ řekl Ludwig. "Všechny dokumenty se týkají zabezpečení systému Android, protože je to jediné místo, na které mají vědci přístup v mobilu."
Funguje to?
Aby demonstroval účinnost přístupu Google k bezpečnosti, Ludwig prošel časovou osou zneužití Masterkey, na kterou si opatrní čtenáři SecurityWatch vzpomenou z minulého léta. Řekl, že Google byl schopen rychle zjistit, že v obchodě Play nedošlo k takovým zneužitím, když byli informováni, že existuje. A co víc, poté, co vědci Blueboxu, kteří objevili zneužití, veřejně zveřejnili svá data, Google zřejmě sledoval pouze osm pokusů na milion instalací.
Ludwig měl podobný názor na malware malware jako celek, o kterém se uvádí, že je na vzestupu. Připisoval to více rychlému množení zařízení Android a data, která představil, ukázala relativně malou instanci malwaru v obrovském vesmíru Androidů. "Získáte neuvěřitelné titulky s tím, že v podstatě nebude nikdo ovlivněn."
Je třeba říci, že Google doposud odváděl skvělou práci se správou zabezpečení Androidu - zejména s ohledem na to, jak smartphony vtrhly na scénu a ovládly moderní výpočetní techniku. Stále však existují vážné problémy, které je třeba řešit, jako jsou netěsné aplikace a zabezpečení osobních údajů.
Z pohledu Google má Android vyvážené zabezpečení s milostí. Udržet tuto rovnováhu bude pravděpodobně způsob, jakým je Android posuzován, jak zraje.
