Seguretat d’Android: un q & a amb Adrian Ludwig de Google

Recentment hem parlat molt de seguretat sobre el vostre dispositiu Android i, mentre que la conversa continuava, era clar que hi havia preguntes que havien de respondre una autoritat més gran que una persona. Coses com si necessiteu programari antivirus per al vostre telèfon, identificar programari maliciós i estar segur que els vostres dispositius generalment estiguin segurs a través d’un ús diari són temes que s’han tornat fangosos innecessàriament. Tot i que podem culpar una mica d’això en l’aparent infinitat d’articles que ens expliquen tot el programari que s’està fent per explotar els usuaris d’Android, també hi ha algunes qüestions legítimes sobre seguretat d’Android que no tenen una simple i senzilla. respostes.

Per ajudar-lo a solucionar-ho, hem passat directament a la font. Adrian Ludwig, enginyer líder en seguretat d'Android a Google, va trigar un temps a través del correu electrònic per donar les respostes que buscàvem.

: Seguretat Android: una pregunta i una pregunta amb Adrian Ludwig de Google

El paper de Google

P: Què intenta, exactament, Google protegir als seus usuaris d'Android?

Ludwig: vam dissenyar Android utilitzant diverses capes de seguretat: a partir de les funcions de maquinari del dispositiu (Trustzone, NX), a través del sistema operatiu (Application Sandbox, SELinux, ASLR) i fins a les aplicacions i serveis que Google ofereix (Google Play, Gestor de dispositius, Verifiqueu aplicacions, etc.). També fomentem la innovació en seguretat, permetent que tercers proporcionin solucions de seguretat.

Les amenaces de seguretat més pressents que tenen els dispositius mòbils en aquests dies inclouen: 1. Dispositius perduts i robats (per als quals proporcionem proteccions com pantalla de bloqueig, xifrat de dispositius i Gestor de dispositius Android) 2. Atacs a nivell de xarxa (pels quals Android proporciona serveis criptogràfics i s’exposa. una superfície d’atac mínima al no tenir serveis d’escolta de manera predeterminada) 3. Aplicacions potencialment nocives (per a les quals està dissenyada la caixa de sorra d’aplicacions d’Android, la revisió d’aplicacions de Google Play i Verificar aplicacions)

Quan coneixem una nova amenaça potencial, comencem a incorporar-la als nostres plans i disseny futurs.

Política de suport

P: Quant de temps ofereix Google suport per a coses com les vulnerabilitats de seguretat que es descobreixen al sistema operatiu?

Ludwig: El nostre enfocament a una política de suport a la seguretat d'Android és proporcionar actualitzacions a tot arreu on creiem que realment es lliuraran als usuaris i milloraran la seguretat. A la pràctica, això vol dir que proporcionem diversos tipus de suport per a possibles problemes de seguretat:

1. Si es pot resoldre un problema actualitzant Chrome, Gmail, Google Play o qualsevol nombre d’aplicacions de Google, resoldrem el problema de manera que es remet a totes les versions d’Android en què es disposa de cada aplicació.
2. Els dispositius Google Nexus i els dispositius d’edició de Google Play reben regularment actualitzacions de seguretat de manera puntual.
3. Proporcionem pedaços per a la branca actual d’Android en el projecte Open Source d’Android (AOSP) i proporcionem directament als socis d’Android pedaços per a almenys les dues darreres versions principals del sistema operatiu. Actualment, proporcionem respostes de seguretat per a problemes de seguretat que incloguin Android 4.3 i versions posteriors. WebKit a Android 4.3 és l’única excepció. Està suportat amb Android 4.4 i versions anteriors com a actualització binària. No obstant això, quan un OEM sol·liciti assistència per desenvolupar un pegat per a un dispositiu que utilitza una versió més antiga de la plataforma i es compromet a lliurar aquest pegat com a OTA als dispositius, els proporcionarem assistència.
4. Sempre que sigui possible, també actualitzem els serveis de seguretat de Google per a Android per proporcionar una capa addicional de protecció per a tots els dispositius Android, independentment que siguin compatibles amb els fabricants OEM. Això inclou la comprovació d’aplicacions potencialment nocives i d’altres comportaments de seguretat.
5. També proporcionem informació i eines als desenvolupadors d’aplicacions per garantir que les seves aplicacions estiguin protegides contra possibles problemes de seguretat. Això inclou proporcionar API a Google Play Services, com ara el proveïdor de seguretat actualitzable, que pot ser actualitzat per Google sense un dispositiu OTA. També oferim bones pràctiques que poden ajudar als desenvolupadors a assegurar-se que les seves aplicacions funcionen de forma segura en tots els dispositius Android, independentment de si encara són compatibles amb els fabricants OEM. Recentment, hem començat a analitzar aplicacions de Google Play per detectar-ne possibles vulnerabilitats de seguretat i notificar als desenvolupadors quan es detectin aquestes vulnerabilitats.
6. Per últim, però no per això menys important, compartim informació sobre problemes de seguretat (inclosa informació que tenim sobre solucions i qualsevol explotació coneguda) amb els socis d’Android per assegurar-nos que entenguin el problema, inclosos els riscos associats als dispositius que no rebin una actualització del problema. Això inclou afegir proves per a problemes potencials de seguretat a la suite de proves de compatibilitat per reduir la possibilitat que un OEM envie involuntàriament un dispositiu amb un problema de seguretat conegut.

Control d’usuari

P: En cas que una aplicació es consideri malintencionada, però no necessàriament perillosa (per exemple, una aplicació que fa brossa la safata de notificacions amb anuncis no desitjats), quines eines estan disponibles per ajudar els usuaris?

Ludwig: Android proporciona als usuaris controls que els permeten controlar l’experiència del seu dispositiu. Inclou capacitats com visualitzar permisos d’aplicacions, configurar configuracions com ara la capacitat d’una aplicació per mostrar notificacions o la possibilitat de desactivar o eliminar aplicacions en qualsevol moment.

Si una notificació no és desitjada, l'usuari pot prémer llargament la notificació per veure quina aplicació la va produir i, a continuació, canviar la configuració de notificació de l'aplicació o desinstal·lar l'aplicació.

Controls de seguretat

P: Què passa quan Google envia un missatge que avisa als usuaris d’una aplicació malintencionada i l’usuari no elimina l’aplicació, ja que trien que no o perquè el missatge es va desestimar accidentalment?

Ludwig: Hi ha diversos controls de seguretat redundants dissenyats per assegurar-se que no s’instal·larà accidentalment una aplicació que se sap que és potencialment perjudicial. A cadascun d’aquests controls, la majoria d’usuaris que reben un avís sobre una aplicació potencialment perjudicial decideixen no continuar.

Aquests són tots els passos principals:

Google ha integrat el seu sistema d’alerta d’aplicacions conegudes potencialment perjudicials en el fons de moltes de les nostres aplicacions. Així, per exemple, el navegador Chrome amb Navegació segura pot avisar l’usuari abans que fins i tot descarregui una aplicació d’un lloc web que sembla que es troben en un lloc web que allotja aplicacions potencialment nocives.

Si opta per descarregar i instal·lar de totes maneres, rebreu un avís a l’hora d’instal·lar (a més d’altres dades, com ara els permisos d’aplicació que els poden ajudar a decidir si volen instal·lar-los).

Si encara decideixen continuar, l’aplicació està instal·lada, però encara no pot fer res fins que l’usuari decideixi executar l’aplicació. Així que tenen una oportunitat més de triar l’aplicació abans que possiblement pugui causar cap perjudici.

Tant si opten per executar l'aplicació com si no, si està instal·lada al seu dispositiu, l'escaneig de fons de verificació d'aplicacions marcarà l'aplicació i proporcionarà un altre avís que recomana que eliminin l'aplicació. Aquesta advertència es produeix generalment aproximadament una vegada per setmana, tot i que l’usuari té l’opció de dir “no em recordo més”.

Aplicacions antivirus

P: Les aplicacions de seguretat de tercers em mantenen més segura de les aplicacions de Play Store potencialment nocives?

Ludwig: les proteccions integrades a Google Play són molt robustes. Per als usuaris que instal·lin aplicacions fora de Google Play, us recomanem que activen Verificar aplicacions, que es proporciona en dispositius Android amb Android 2.3 o superior (és a dir, més del 99 per cent dels dispositius Android) que tenen instal·lat Google Play.

El 2014, segons les dades de verificació d'aplicacions recollides per Google i ignorant les aplicacions d'arrelament que van ser instal·lades intencionadament pels usuaris, menys del 0, 15 per cent de les aplicacions instal·lades des de fora de Google Play als dispositius anglesos dels Estats Units es van classificar com a aplicacions potencialment nocives. Tenint en compte la protecció integrada proporcionada per Verify Apps i la baixa freqüència d’ocurrència d’instal·lació de PHA, el benefici potencial de seguretat d’una solució de seguretat addicional és molt reduït.

ROM personalitzades

P: Alguna de les funcions de seguretat de Google s'aplica als usuaris que han instal·lat versions de tercers d'Android (llegiu: ROM realitzats en comunitat)?

Ludwig: Sí, les ROM de tercers generalment es basen en AOSP, de manera que admeten la caixa de sorra d’Android i moltes d’elles utilitzen aplicacions de Google, inclosos els nostres serveis de seguretat.

I allà el teniu. Google fa un treball increïble per mantenir Android segur, i s’està preparant una enorme part per a tot el que passi després. Però sempre serà un joc de gats i ratolins. Com ha estat sempre el cas, mantenir el dispositiu en seguretat consisteix en conèixer el lloc en què toqueu, el que esteu instal·lant i estar el més informat possible.

Si voleu obtenir més informació, consulteu la resta de les sèries de seguretat.