Videó: RSAC — НОЛЬ (OFFICIAL VIDEO) (November 2024)
Az RSA konferencián Adrian Ludwig, a Google Android mérnöki vezetõmérnöke bemutatta a társaság filozófiáját mobil platformjuk biztosításában. Ez egy tipikusan Google megközelítés, amely az adatgyűjtésre és az építési szolgáltatásokra támaszkodik. Ugyanakkor úgy tűnik, hogy repül a hagyományos mobilbiztonsággal szemben.
Láthatatlan biztonság
A beszélgetés során többször Ludwig visszatért a finom biztonság gondolatához. "A hatékony és láthatatlan biztonság nyugalmat idéz elő" - mondta. A cél az volt, hogy a felhasználó interakcióba léphessen telefonjával, táblagépével vagy bármivel, amivel az Android fut, anélkül, hogy biztonsági problémák akadnának. "A biztonság megrövidítése nem azt jelenti, hogy nincs ott" - mondta Ludwig. "Ez azt jelenti, hogy működik."
Ez a megközelítés jelentősen különbözik a biztonsági ipar egészétől, mondja, amely erősen támaszkodik a "biztonsági színházra". Számára ez olyan alkalmazásokat jelent, amelyek hangosan kijelentik, mennyire védnek téged. "A legtöbb biztonság végső soron az, hogy nagyobb biztonságot adjunk Önnek" - mondta Ludwig meglepően őszinte nyilatkozatában egy biztonsági társaságok számára rendezett konferencián.
Az engedélyek voltak a figyelemre méltó kivétel. "Ez az egyetlen hely, ahol kifejezetten kifejezzük a felhasználó biztonságát" - mondta. Ezek meghatározzák, mihez férhet hozzá és nem férhet hozzá egy alkalmazás, és arra buzdítottuk az olvasókat, hogy figyelmesen vizsgálják meg őket, hogy jó döntéseket hozzanak arról, hogy mit töltnek le. Ludwig azt mondta, hogy nem igazán a szándéka. "Gondoltuk, hogy az emberek minden alkalommal okos döntéseket hoznak? Ne feledje, látjuk, mit keresnek az emberek mindennapi életben" - tette hozzá udvariasan. Azt is folytatta, hogy az engedélyek nem annyira a felhasználók számára, hanem az, hogy segítsék a fejlesztõket "a legtöbb idõben" jó döntések meghozatalában.
Ez illeszkedik Ludwig egy másik meglepő állításához: hogy nem az operációs rendszert látja az Androidnak, hanem egy fejlesztési platformnak. "Az [Android] egy olyan API-készlet, amely hatékony alkalmazások létrehozására szolgál, " mondta. "Szolgáltatásokat nyújtunk alkalmazás formájában."
Amit a Google nyújt
Miközben Ludwig egy ideje azzal vitatkozott, hogy az Android alapjai miként teszik biztonságossá a platformot - ideértve az NSA megköszönését az SC Linux számára -, a láthatóbb Google-szolgáltatásokkal is foglalkozott. Például azt állította, hogy a Google rosszindulatú programok észlelésére irányuló erőfeszítései a Google Playen meghaladják a teljes audiovizuális iparágét. Bár elismerte, hogy nem tévedhetetlen.
Egy másik nyilvánvaló eszköz mellett, mint például az Android Device Manager, Ludwig rámutatott a Google Verified Apps szolgáltatására, amely némi védelmet nyújt azoknak a felhasználóknak, akik a Play Áruházból kívülről telepítenek alkalmazásokat. "Valószínűleg van telefonján, és nem tudja, mert így gördítünk" - mondta Ludwig.
Van még az Android biztonsági háló, amely Ludwig szerint kiterjesztette a valósidejű védelmet magukra az eszközökre is. Ez a lehetséges visszaélésekkel foglalkozik, például a prémium SMS-üzenetek küldésének gyakran igénylésével - ez egy általános taktika a rosszindulatú alkalmazások bevételszerzésére.
"Azt kellene kitalálnom, hogy ez a világ legnagyobb biztonsági szolgáltatásainak telepítése" - mondta Ludwig.
A sokféleség és a nyitottság jó
Az Android nyílt platformként ismert, és Ludwig elmondta, hogy ez a megközelítés felbecsülhetetlen értékeket szolgáltat a jó szereplőkről, a rossz szereplőkről és a mobil eszközök normális viselkedéséről. "Ahogy a világ interaktívabbá válik, és egyre több adat áramlik oda-vissza, a biztonság valójában jobb lesz." Ludwig úgy véli, hogy ez nagyban különbözik a kialakult biztonsági stratégiáktól, amelyek elmondása szerint az elszigeteltségtől függnek.
A nyitottság az Android töredezettségét jelentette, de Ludwig úgy vélte, hogy ez a sokféleség jó dolog. Az Android hardver és szoftver hatalmas sokszínűsége azt jelenti, hogy sokkal nehezebb az összes eszközt befolyásolni. "Az egyetlen aranymester hibával több száz millió felhasználót érinti" - mondta. "Nincs egyetlen arany mester [Androidra], minden eszköz különféle forrásokból épül."
Nyíltságként helyet kapott a biztonsági cégeknek az Androidon. "Nem akadályoztuk meg őket, hogy a platformon futhassanak" - mondta, kétségtelenül megbeszélve az Apple-t. Ehelyett Ludwig azt mondta, hogy a Google üdvözli a biztonsági vállalatokat, és az Android részesült munkájukban.
A nyitottság megkönnyíti a tudományos kutatást a mobil biztonság növekvő területén. "A mobilbiztonság az Android biztonságának eufemizmusa" - mondta Ludwig. "Az összes cikk az Android biztonságáról szól, mivel ez az egyetlen hely, amellyel a kutatók mobilon férhetnek hozzá."
Működik?
A Google biztonsággal kapcsolatos megközelítésének hatékonyságának igazolására Ludwig végigfuttatta a Mesterkulcs kihasználásának ütemtervét, amelyet a SecurityWatch óvatos olvasói visszahívnak a tavaly nyárra. Azt mondta, hogy a Google gyorsan tudta megállapítani, hogy a Play Áruházban nem létezik ilyen kizsákmányolás, amikor tájékoztatták arról, hogy létezik. Sőt, miután a Bluebox kutatói, akik felfedezték a kizsákmányolást, nyilvánosan közzétették adataikat, a Google nyilvánvalóan csak nyolc kísérletet követte meg egymillió telepítés után.
Ludwig hasonló véleménye volt az egész Android malware-ről, amelyről széles körben beszámoltak, hogy egyre növekszik. Ezt inkább az Android-eszközök gyors elterjedésének tulajdonította, és az általa bemutatott adatok viszonylag kisszámú rosszindulatú programot mutattak az androidok hatalmas univerzumában. "Hihetetlen címsorokat kap, és gyakorlatilag senkit sem érint."
El kell mondani, hogy eddig a Google fantasztikus munkát végzett az Android biztonságának kezelésében - különös tekintettel arra, hogy az okostelefonok mikor törtek fel a jelenetre, és miért uralták a modern számítástechnikát. Még mindig vannak olyan komoly kérdések, amelyekkel továbbra is foglalkozni kell, mint például a szivárgó alkalmazások és a személyes adatok biztonsága.
A Google szempontjából az Android kiegyensúlyozott biztonsággal rendelkezik. Az egyensúly megtartása valószínűleg az Android megítélésekor érlelődik.
