Поставка миллиардам пользователей безопасной мобильной технологии и их защита от известных и неизвестных угроз — задача не из легких, но именно за нее активно взялась Google в своей работе над Android. На RSA Conference 2017 в Сан-Франциско директор компании по безопасности Android Адриан Людвиг осветил методы, используемые Google в обеспечении безопасности своей мобильней платформы и миллиардов ее пользователей.
Среди мириад вызовов, с которыми сталкивается Google, обращает на себя внимание тот элементарный факт, что изготовители телефонов и операторы сетей используют для Android множество разных устройств и конфигураций. Поэтому довольно сложно понять, на каких видах устройств реально работают новейшие функции безопасности Google. Например, мало кто из обладателей Android 5.0 Lollipop, выпущенной в 2014 г., использовал шифрование устройства. С выходом в 2015 г. Android 6.0 Marshmallow функция шифрования стала использоваться примерно на 20% устройств. В Android 7 Nougat, дебютировавшем в этом году, Google сделала шифрование более простым для реализации. И, в итоге, шифрование применяется на 80% устройств с Nougat.
Android сегодня предоставляет в составе ОС не только возможности шифрования, но и средства изоляции приложений, проверки целостности девайса и противодействия атакам на уязвимости. Но помимо функций безопасности ОС, отмечает Людвиг, также необходимы платформенные сервисы безопасности.
Google располагает многими сервисами безопасности, в том числе Verify Apps, сервисом сканирования устройств на наличие вредоносного кода. У компании также имеется сеть датчиков, предназначенная для поиска потенциальных дефектов безопасности в экосистеме Android. Google имеет и сервисы управления устройствами, такие как блокировка устройств и дистанционное стирание данных, а также API, позволяющие предоставлять дополнительные сервисы на базе EMM-приложений (Enterprise Mobility Management).
«Масштабность — это главный дифференциатор Google, — сказал Людвиг. — Ежедневно мы осуществляем больше 750 млн. сканирований устройств и больше 6 млрд. проверок приложений».
Он обратил особое внимание на проблему проникновения в Android вредоносных приложений. По последним данным Google, сказал Людвиг, лишь на 0,69% всех Android-устройств присутствуют те или иные виды потенциально опасных приложений. Если же ограничиться устройствами, загружающими ПО только из официального магазина приложений Google Play, то, по его оценке, какие-либо формы потенциально вредоносных приложений можно найти максимум на 0,05% таких Android-девайсов.
Главный вывод из этих цифр, подчеркивает он, состоит в том, что гораздо безопаснее загружать и использовать приложения из Google Play, чем из любых посторонних источников. «Поэтому не инсталлируйте приложения, взятые не из Google Play», — сказал Людвиг.
Вредоносный код
Несмотря на присутствие вредоносных приложений, в реальности не они являются основной опасностью для пользователей Android. Сегодня, отмечает Людвиг, главным вектором атак против Android следует считать социальную инженерию.
Примером социальной инженерии является спам-реклама, предлагающая пользователю что-либо инсталлировать, чтобы потом тем или иным способом скомпрометировать его устройство.
Людвиг также уделил специальное внимание средствам массовой информации и широко распространяемым сообщениям о крупных уязвимостях Android, таких как MasterKey, FakeID и Stagefright, о которых сообщалось в последние годы на конференциях Black Hat.
Например, в новостях относительно Stagefright заявлялось о рисках для миллиардов пользователей. Однако Людвиг это опроверг, сказав, что в реальности все обстоит совершенно иначе и у Google нет подтвержденных данных о соответствующих атаках на пользователей.
Тем не менее, Google еще есть над чем поработать, чтобы сделать Android еще безопаснее, признает он. Одной из важных задач является сокращение времени, требующегося операторам и производителям устройств для поставки обновлений безопасности, и сегодня Google над этим активно работает. Людвиг также рассчитывает, что Google будет и дальше расширять программу Bug Bounty для Android, выплачивая вознаграждение исследователям, сообщающим о потенциальных проблемах безопасности.
По его словам, хотя решение проблем безопасности миллиардов пользователей ложится на Google, пользователям в сущности важно лишь, чтобы все работало, как надо. «Люди не хотят думать про безопасность, они только хотят, чтобы все было в порядке», — сказал Людвиг.