Domov Varnostna ura Rsac: Googlov varnostni guru za Android pravi, da zmaga v vojni

Rsac: Googlov varnostni guru za Android pravi, da zmaga v vojni

Video: How to sync a Gmail account with an Android phone - O2 Guru TV (November 2024)

Video: How to sync a Gmail account with an Android phone - O2 Guru TV (November 2024)
Anonim

Na konferenci RSA je vodilni Googlov inženir za varnost Android Adrian Ludwig predstavil filozofijo podjetja za zavarovanje svoje mobilne platforme. Gre za običajno Googlov pristop, ki temelji na zbiranju podatkov in gradnji storitev. A hkrati se zdi, da leti ob običajni mobilni varnosti.

Nevidna varnost

Ludwig se je med pogovorom večkrat vrnil k ideji o subtilni varnosti. "Učinkovita in nevidna varnost vzbuja mir, " je dejal. Cilj je bil uporabnikom omogočiti, da komunicira s svojim telefonom, tabličnim računalnikom ali s čim drugim, na katerem deluje Android, ne da bi jim varnost zastavila težave. "Če ne trubite varnosti, še ne pomeni, da je ni, " je dejal Ludwig. "To pomeni, da deluje."

Ta pristop je bistveno drugačen od pristopa do celotne varnostne industrije, je dejal, ki se močno zanaša na "varnostno gledališče." Zanj to pomeni aplikacije, ki glasno razglašajo, koliko vas ščitijo. "Večina varnosti na koncu pomeni prodajo večje varnosti, " je Ludwig povedal na presenetljivo odkrito izjavo na konferenci, ki skrbi za varnostna podjetja.

Dovoljenja so bila pomembna izjema. "Na uporabniku izrecno govorimo o varnosti, " je dejal. Ti določajo, kaj do aplikacije lahko in do česa ne more dostopati, zato smo bralce spodbudili, naj si jih natančno ogledajo, da bodo sprejeli dobre odločitve o tem, kaj prenesejo. Ludwig je dejal, da to res ni bil namen. "Ali smo mislili, da bodo ljudje vsakič sprejemali pametne odločitve? Ne pozabite, vidimo, kaj ljudje iščejo vsak dan, " je hudomušno dodal. Nadalje je dejal, da dovoljenj za uporabnike ni toliko, ampak da pomagajo razvijalcem pri sprejemanju dobrih odločitev "večino časa".

To se ujema z drugo presenetljivo izjavo Ludwiga: da Android ne vidi kot operacijski sistem, temveč razvojno platformo. "[Android] je bil niz API-jev, namenjen ustvarjanju zmogljivih aplikacij, " je dejal. "Storitve izvajamo v obliki aplikacij."

Kaj ponuja Google

Medtem ko je Ludwig nekaj časa razpravljal o tem, kako so temelji Androida platformo zavarovali - vključno z zahvalo NSA za SC Linux -, se je dotaknil tudi vidnejših Googlovih storitev. Na primer, trdil je, da Googlova prizadevanja za odkrivanje zlonamerne programske opreme v Googlu Play presegajo prizadevanja celotne AV industrije. Čeprav je priznal, da ni bil nezmotljiv.

Poleg drugega očitnega orodja, kot je Android Device Manager, je Ludwig opozoril na Googlovo storitev Verified Apps, ki uporabnikom, ki nameščajo aplikacije zunaj trgovine Play, nudi nekaj zaščite. "Najbrž ga imate na telefonu in ga ne poznate, saj se tako valjamo, " je dejal Ludwig.

Obstaja tudi Android Security Net, za katerega je Ludwig dejal, da je razširil zaščito v realnem času na same naprave. Pri tem se iščejo morebitne zlorabe, kot so pogosto zahteve po pošiljanju premium SMS sporočil - pogosta taktika, ki se uporablja za zaslužek zlonamernih aplikacij.

"Ugibati bi moral, da gre za največjo napotitev varnostnih služb na svetu, " je dejal Ludwig.

Raznolikost in odprtost je dobra

Android je znan kot odprta platforma, Ludwig pa je dejal, da je ta pristop zagotovil neprecenljive podatke o dobrih igralcih, slabih igralcih in normalnem vedenju na mobilnih napravah. "Ko svet postaja bolj interaktiven in vedno več podatkov teče naprej in nazaj, se varnost dejansko izboljšuje." Ludwig meni, da se to močno razlikuje od ustaljenih varnostnih strategij, za katere je dejal, da so odvisne od izolacije.

Odprtost je pomenila razdrobljen Android, vendar je Ludwig menda namigoval, da je ta raznolikost dobra stvar. Ogromna raznolikost strojne in programske opreme za Android pomeni, da je veliko težje vplivati ​​na vse naprave. "En sam mojster zlata s hroščom prizadene več sto milijonov uporabnikov, " je dejal. "Ni enega samega mojstra zlata [za Android], vsaka naprava je zgrajena iz vira, ki se razlikuje."

Ker je odprtost, je varnostnim podjetjem omogočilo tudi mesto Android. "Nismo jim preprečili, da bi se izvajali na naši platformi, " je dejal, brez dvoma, da je zagrizel v Apple. Namesto tega je Ludwig dejal, da Google pozdravlja varnostna podjetja, Android pa ima koristi od njihovega dela.

Odprtost omogoča tudi akademsko raziskovanje na rastočem področju mobilne varnosti. "Varnost mobilne telefonije je evfemizem za varnost Android, " je dejal Ludwig. "Vsi prispevki govorijo o varnosti Android, ker je to edino mesto, kjer imajo [raziskovalci] dostop do mobilnih naprav."

Ali deluje?

Da bi pokazal učinkovitost Googlovega pristopa k varnosti, je Ludwig tekel po časovni premici izkoriščanja Masterkey, ki se jo bodo pozorni bralci SecurityWatch spomnili od lanskega poletja. Povedal je, da je Google lahko hitro ugotovil, da v trgovini Play ni bilo takih izkoriščanj, ko so jih obvestili, da obstaja. Še več, po tem, ko so raziskovalci Blueboxa, ki so odkrili izkoriščanje, javno objavili svoje podatke, je Google očitno sledil le osem poskusov na milijon namestitev.

Ludwig je imel podobno stališče do zlonamerne programske opreme za Android kot celote, za katero je bilo pogosto opaziti, da je v porastu. To je bolj pripisal hitremu širjenju naprav Android, podatki, ki jih je predstavil, pa so pokazali razmeroma majhen primerek zlonamerne programske opreme v ogromnem vesolju Androidov. "Dobiš neverjetne naslove, v bistvu nihče ne vpliva."

Povedati je treba, da je Google do zdaj opravljal izjemno delo z upravljanjem varnosti Android - zlasti glede na to, kako so pametni telefoni vdrli na prizorišče in prevladali v sodobnem računalništvu. Vendar pa je treba še naprej reševati resna vprašanja, kot so puščajoče aplikacije in varovanje osebnih podatkov.

Z Googlovega vidika je Android z milostjo uravnotežil varnost. Ohranjanje ravnovesja bo verjetno ocenjevalo Android, ko bo dozoreval.

Rsac: Googlov varnostni guru za Android pravi, da zmaga v vojni