Bezpieczeństwo Androida w 2017 r.
15 marca 2018
Cel pracy naszego zespołu jest prosty: zabezpieczyć ponad 2 mld urządzeń z Androidem. Skupiamy się wyłącznie na tym i stale pracujemy nad usprawnieniem naszych zabezpieczeń, by użytkownicy czuli się bezpieczni.
Dzisiaj udostępniamy nasz czwarty, coroczny raport dotyczący bezpieczeństwa Androida. Przygotowujemy te raporty, by pomóc edukować szerokie grono odbiorców na temat wielu warstw zabezpieczeń Androida i aby każdy mógł śledzić nasze działania związane z bezpieczeństwem.
Jesteśmy zadowoleni z tego co udało się osiągnąć w poprzednim roku, ten wpis zawiera niektóre, lecz nie wszystkie, z najważniejszych wydarzeń 2017 roku. By poznać temat szerzej zachęcamy do zapoznania się z pełną wersją raportu, który dostępny jest pod adresem: g.co/AndroidSecurityReport2017.
Google Play Protect
W maju ogłosiliśmy wprowadzenie usługi Google Play Protect, nowego miejsca dla całego pakietu zabezpieczeń Androida na ponad 2 miliardach urządzeń. Choć wiele z funkcji Play Protect zabezpieczało urządzenia z Androidem od lat, to chcieliśmy, aby były one bardziej widoczne i by zapewnić użytkowników, że nasze zabezpieczenia stale działają, by czuli się bezpiecznie.
Najważniejszym celem Play Protect jest ochrona użytkowników przed potencjalnie szkodliwymi aplikacjami (PHA - Potentially Harmful Apps). Każdego dnia, Play Protect automatycznie skanuje ponad 50 miliardów aplikacji, inne potencjalne źródła szkodliwego oprogramowania oraz same urządzenia i podejmuje stosowne działania.
Play Protect korzysta z wielu różnych taktyk zabezpieczenia użytkowników, a wpływ uczenia maszynowego w tym procesie już dziś jest bardzo istotny. W ubiegłym roku aż 60,3% potencjalnych szkodliwych aplikacji zostało wykrytych dzięki uczeniu maszynowemu i ten odsetek będzie się zwiększał.
Ochrona urządzeń użytkowników
Play Protect automatycznie sprawdza urządzenia co najmniej raz dziennie, a użytkownicy mogą też dokonać manualnego skanowania w dowolnym dowolnym momencie. Dzięki automatycznemu skanowaniu udało nam się w ubiegłym roku usunąć 39 mln przypadków wystąpień szkodliwego oprogramowania.
Zaktualizowaliśmy również Play Protect, aby stawić wyzwanie nowym zagrożeniom, które pojawiają się w ekosystemie. Na przykład, zauważyliśmy, że prawie 35% nowych instalacji szkodliwego oprogramowania miało miejsce, gdy dane urządzenie było offline lub straciło dostęp do sieci. W rezultacie, w październiku 2017 r., uruchomiliśmy skanowanie offline w Play Protect i dzięki temu zapobiegliśmy instalacji 10 milionów wystąpień szkodliwego oprogramowania.
Zapobieganie instalacjom szkodliwego oprogramowania
Urządzenia pobierające aplikacje wyłącznie z Google Play miały o dziewięć razy mniejszą szansę na infekcję od urządzeń, które pobierały aplikacje z innych źródeł. Zabezpieczenia te są nadal ulepszane, częściowo dzięki dokładniejszemu sprawdzaniu przez Play Protect nowych aplikacji zamieszczanych w Sklepie Play. System sprawdził 65% więcej aplikacji niż w 2016 r.
Play Protect nie tylko zabezpiecza Google Play - pomaga chronić także szerszy ekosystem Androida. W dużej mierze dzięki Play Protect, liczba instalacji szkodliwych aplikacji spoza Google Play spadła o ponad 60%.
Aktualizacje bezpieczeństwa
Chociaż Google Play Protect jest świetną barierą ochronną przeciwko szkodliwemu oprogramowaniu, to współpracujemy również z producentami urządzeń, aby mieć pewność, że wersja Androida działająca na urządzeniach użytkowników jest aktualna i bezpieczna.
Przez cały ostatni rok pracowaliśmy nad udoskonaleniem procesu wydawania aktualizacji bezpieczeństwa, dzięki czemu 30% więcej urządzeń otrzymało poprawki zabezpieczeń w porównaniu z 2016 r. Ponadto, nie zostały publicznie ujawnione żadne krytyczne luki w zabezpieczeniach dotyczących platformy Android, co do których nie pojawiłyby się aktualizacje lub rozwiązania zapobiegające. Było to możliwe dzięki programowi Android Security Rewards, lepszej współpracy ze społecznością specjalistów zajmujących się bezpieczeństwem, koordynacją z partnerami branżowymi oraz wbudowanym funkcjom bezpieczeństwa platformy Android.
W 2017 r. nie ujawniono żadnych krytycznych luk w zabezpieczeniach platformy Android bez udostępnionej aktualizacji zabezpieczeń. Było to możliwe dzięki programowi Android Security Rewards (ASR), ulepszonej współpracy ze społecznością badaczy zabezpieczeń, koordynacji z partnerami branżowymi oraz wbudowanym funkcjom bezpieczeństwa platformy Android.
Nowe zabezpieczenia w Androidzie Oreo
Wprowadziliśmy szereg nowych funkcji bezpieczeństwa w Androidzie Oreo: od bezpieczniejszego pobierania aplikacji przez opuszczanie niezabezpieczonych protokołów sieciowych i zapewnienie większej kontroli użytkowników nad identyfikatorami po wzmocnienie kernela.
O wielu z nich mówiliśmy w ciągu roku, inne mogły jednak pozostać niezauważone. Na przykład zaktualizowaliśmy interfejs overlay API, dzięki czemu aplikacje nie mogą już samodzielnie zablokować całego ekranu urządzenia i uniemożliwiać ich zamknięcia, co jest powszechną taktyką stosowaną przez oprogramowanie typu ransomware.
Otwartość zwiększa bezpieczeństwo Androida
Wspominaliśmy o tym od dawna: otwartość Androida pomaga wzmocnić nasze zabezpieczenia. Od wielu lat ekosystem Androida korzysta z odkryć specjalistów zajmujących się bezpieczeństwem, tak było też w 2017 r.
Programy nagradzania za wykrywanie luk bezpieczeństwa
Ubiegły rok był bardzo udany dla rozwoju programu Android Security Rewards. Wypłaciliśmy specjalistom zajmującym się bezpieczeństwem 1,28 miliona dolarów, a łącznie od początku programu ponad 2,2 mln USD. Zwiększyliśmy również wysokość nagród za exploity łamiące TrustZone lub Verified Boot z 50 tys. do 200 tys. USD, a te dotyczące zdalnego kernela z 30 tys. do 150 tys. USD.
Równolegle wprowadziliśmy także program Google Play Security Rewards i zaoferowaliśmy dodatkowe nagrody tym specjalistom, którzy wykryją luki bezpieczeństwa w aplikacjach hostowanych w Google Play.
Zewnętrzne konkursy bezpieczeństwa
Nasze zespoły brały udział w wielu zewnętrznych konkursach dotyczących ujawniania luk bezpieczeństwa takich jak Mobile Pwn2Own. W ramach ostatniej edycji tego konkursu, nie udało się znaleźć żadnych luk w urządzeniach Google Pixel. Spośród exploitów pokazywanych na urządzeniach z Androidem, nie udało się zreprodukować żadnego na urządzeniach zawierających niezmodyfikowany kod źródłowy Androida z projektu Android Open Source.
Cieszymy się z tego co udało się osiągnąć w 2017 r. Będziemy kontynuować naszą pracę w tym roku i kolejnych latach, by użytkownicy Androida mogli czuć się bezpieczni.