У дома Securitywatch Rsac: Гуруто за сигурност на Google за андроид казва, че печелят войната

Rsac: Гуруто за сигурност на Google за андроид казва, че печелят войната

Видео: Red Samara Automobile Club - Настоящие Чувства (Ноември 2024)

Видео: Red Samara Automobile Club - Настоящие Чувства (Ноември 2024)
Anonim

На конференцията на RSA, водещият инженер на Google за Android Security Адриан Лудвиг представи философията на компанията за осигуряване на тяхната мобилна платформа. Това е обикновено подход на Google, който разчита на събиране на данни и изграждане на услуги. Но в същото време сякаш лети пред конвенционалната мобилна сигурност.

Невидима сигурност

Няколко пъти по време на разговора Лудвиг се връщаше към идеята за фината сигурност. "Ефективната и невидима сигурност предизвиква спокойствие", каза той. Целта беше да се даде възможност на потребителя да взаимодейства със своя телефон, таблет или каквото и да е под управлението на Android, без проблеми със сигурността да им пречат. "Това, че не тръби сигурност, не означава, че я няма", каза Лудвиг. "Това означава, че работи."

Този подход е значително различен от този на индустрията за сигурност като цяло, каза той, който разчита до голяма степен на "театъра за сигурност". За него това означава приложения, които гласно обявяват колко много те защитават. „Най-голямата сигурност е в крайна сметка да ви продаде повече сигурност“, казва Лудвиг в изненадващо откровено изявление на конференция, която се грижи за охранителните компании.

Разрешенията бяха забележителното изключение. „Това е едното място, което изрично се отнася до сигурността за потребителя“, каза той. Те определят какво приложение може и няма достъп и ние насърчихме читателите да ги разгледат внимателно, за да вземат добри решения за това, което те изтеглят. Лудвиг каза, че всъщност това не е било намерението. "Мислехме ли, че хората ще вземат интелигентни решения всеки път? Не забравяйте, че виждаме това, което хората търсят всеки ден", добави той криво. Той продължи да казва, че разрешенията не са толкова много за потребителите, а за да помогнат на разработчиците да вземат добри решения „през повечето време“.

Това се вписва в друго от изненадващите твърдения на Лудвиг: че той не вижда Android като операционна система, а по-скоро като платформа за развитие. „[Android] беше набор от API, предназначен да създава мощни приложения“, каза той. „Ние доставяме услуги под формата на приложения.“

Какво предоставя Google

Докато Лудвиг прекарваше известно време в обсъждане как основите на Android направиха платформата сигурна - включително благодаря на NSA за SC Linux - той засегна и по-видимите услуги на Google. Например той заяви, че усилията на Google за откриване на злонамерен софтуер в Google Play надминават усилията на цялата AV индустрия. Макар че призна, че не е безпогрешен.

В допълнение към друг очевиден инструмент като диспечера на устройства с Android, Лудвиг посочи услугата Google Verified Apps, която осигурява известна защита за потребителите, които инсталират приложения извън магазина на Play. "Вероятно го имате на телефона си и не го знаете, защото така се търкаляме", каза Лудвиг.

Има и Android Security Net, за която Лудвиг каза, че разширява защитата в реално време на самите устройства. Това търси потенциални злоупотреби, като често изискване за изпращане на първокласни SMS съобщения - често срещана тактика, използвана за осигуряване на приходи от злонамерени приложения.

„Ще трябва да предположа, че това е най-голямото разполагане на служби за сигурност в света“, каза Лудвиг.

Разнообразието и откритостта е добро

Android е известен като отворена платформа и Лудвиг каза, че този подход е предоставил безценни данни за добри актьори, лоши актьори и нормално поведение на мобилни устройства. "Тъй като светът става по-интерактивен и има повече данни, които текат напред-назад, сигурността всъщност се подобрява." Лудвиг смята, че това значително се различава от утвърдените стратегии за сигурност, които според него зависят от изолация.

Отвореността означаваше фрагментиран Android, но Лудвиг като че ли предполагаше, че това разнообразие е добро нещо. Огромното разнообразие на хардуер и софтуер на Android означава, че е много по-трудно да се повлияе на всички устройства. "Един златен майстор с грешка засяга стотици милиони потребители", каза той. „Няма един главен златен майстор [за Android], всяко устройство е изградено от източник, който се различава.“

Отвореността също даде място на компаниите за сигурност на Android. "Ние не им попречихме да се пускат на нашата платформа", каза той, без съмнение да направи удар в Apple. Вместо това Лудвиг заяви, че Google приветства компаниите за сигурност в и Android се възползват от тяхната работа.

Отвореността улеснява и академичните изследвания в разрастващата се област на мобилната сигурност. „Мобилната сигурност е евфемизъм за сигурността на Android“, каза Лудвиг. „Всички документи са за сигурността на Android, защото това е единственото място, където [изследователите] имат достъп в мобилни устройства.“

Работи ли?

За да демонстрира ефективността на подхода на Google към сигурността, Лудвиг премина през времевата линия на експлоатацията на Masterkey, която внимателните читатели на SecurityWatch ще си спомнят от миналото лято. Той каза, че Google е успял бързо да определи, че няма такива подвизи в магазина на Play, когато са били информирани, че съществува. Нещо повече, след като изследователите от Bluebox, които откриха експлоатацията, публично пуснаха своите данни, Google очевидно проследи само осем опита на милион инсталации.

Лудвиг имаше подобно мнение за зловредния софтуер за Android като цяло, за който се съобщава, че е в процес на покачване. Той приписва това повече на бързото разпространение на устройства с Android, а представените от него данни показват сравнително малък брой злонамерен софтуер в огромната вселена на Androids. "Получавате невероятни заглавия, като по същество никой не е засегнат."

Трябва да се каже, че досега Google свърши страхотна работа по управлението на сигурността на Android - особено като се има предвид как смартфоните избухнаха на сцената и дойдоха да доминират в съвременните изчислителни системи. Въпреки това все още има сериозни проблеми, които трябва да се решат в бъдеще, като течови приложения и осигуряване на лични данни.

От гледна точка на Google, Android балансира сигурността с благодат. Поддържането на този баланс вероятно ще бъде преценявано, докато Android съди.

Rsac: Гуруто за сигурност на Google за андроид казва, че печелят войната