וִידֵאוֹ: RSAC x ELLA — NBA (Не мешай) (OFFICIAL VIDEO) (אוֹקְטוֹבֶּר 2024)
בכנס RSA הציג המהנדס הראשי של גוגל לאבטחת אנדרואיד אדריאן לודוויג את הפילוסופיה של החברה לאבטחת הפלטפורמה הניידת שלהם. זו גישה של גוגל בדרך כלל הנשענת על איסוף נתונים ובניית שירותים. אך יחד עם זאת נראה שהוא עף לנוכח האבטחה הניידת המקובלת.
אבטחה בלתי נראית
כמה פעמים במהלך השיחה חזר לודוויג לרעיון הביטחון העדין. "ביטחון יעיל ובלתי נראה מעורר רגיעה, " אמר. המטרה הייתה לאפשר למשתמש ליצור אינטראקציה עם הטלפון, הטאבלט או כל מה שמריץ אנדרואיד בלי שבעיות אבטחה יגיעו בדרכו. "לא ביטחון חצוצרות לא אומר שהוא לא שם", אמר לודוויג. "זה אומר שזה עובד."
גישה זו שונה באופן ניכר מזו של ענף האבטחה בכללותו, אמר, הנשען מאוד על "תיאטרון ביטחון". עבורו זה אומר אפליקציות שמצהירות בקול רם עד כמה הן מגנות עליכם. "רוב האבטחה היא בסופו של דבר למכור לך יותר ביטחון, " אמר לודוויג בהצהרה גלויה להפליא בכנס שמטפל בחברות אבטחה.
ההרשאות היו החריג הבולט. "זה המקום בו אנו מפורשים לגבי אבטחה למשתמש", אמר. אלה מגדירים את מה שאפליקציה יכולה ולא יכולה לגשת אליהם, ואנחנו עודדנו את הקוראים להתבונן בהם היטב כדי לקבל החלטות טובות לגבי מה שהם מורידים. לודוויג אמר שזו לא באמת הכוונה. "חשבנו שאנשים מתכוונים לקבל החלטות חכמות בכל פעם? זכור, אנחנו רואים מה אנשים מחפשים כל יום", הוסיף בבהלה. הוא המשיך ואמר שההרשאות אין כל כך הרבה למשתמשים, אלא כדי לעזור למפתחים לקבל החלטות טובות "רוב הזמן".
זה התאים עם הצהרותיו המפתיעות של לודוויג: שהוא לא רואה באנדרואיד מערכת הפעלה, אלא פלטפורמת פיתוח. "[אנדרואיד] היה קבוצה של ממשקי API שנועדו ליצור אפליקציות עוצמתיות", אמר. "אנו מספקים שירותים בצורה של יישומים."
מה שגוגל מספקת
בעוד שלודוויג הקדיש זמן לדיון כיצד הבסיס של אנדרואיד איבטח את הפלטפורמה - כולל תודה ל- NSA על SC Linux - הוא גם נגע בשירותי גוגל גלויים יותר. לדוגמה, הוא טען כי מאמצי איתור התוכנות הזדוניות של גוגל ב- Google Play עולים על אלה של כל ענף ה- AV. אם כי הוא הכיר בכך שזה לא היה בלתי ניתן לגוף.
בנוסף לכלי ברור נוסף כמו מנהל מכשירי האנדרואיד, הצביע לודוויג על שירות האפליקציות המאומת של גוגל, המספק הגנה מסוימת למשתמשים שמתקינים אפליקציות מחוץ לחנות Play. "בטח יש לך את זה בטלפון שלך ואתה לא יודע את זה, כי ככה אנחנו מתגלגלים, " אמר לודוויג.
יש גם את רשת הבטיחות של אנדרואיד, שלדוויג אמרה שהרחיבה הגנה בזמן אמת למכשירים עצמם. זה מחפש פגיעות אפשריות, כמו בקשה לעיתים קרובות לשלוח הודעות SMS מובחרות - טקטיקה נפוצה המשמשת לייצור רווחים מאפליקציות זדוניות.
"הייתי צריך לנחש שזו הפריסה הגדולה ביותר של שירותי אבטחה בעולם", אמר לודוויג.
המגוון והפתיחות טובים
אנדרואיד ידועה כפלטפורמה פתוחה, ולודוויג אמר כי גישה זו סיפקה נתונים לא יסולא בפז על שחקנים טובים, שחקנים רעים והתנהגות נורמלית במכשירים ניידים. "ככל שהעולם הופך להיות יותר אינטראקטיבי ויש יותר נתונים שזורמים הלוך ושוב, האבטחה למעשה משתפרת." לודוויג מאמין שהדבר שונה מאוד מאסטרטגיות אבטחה מבוססות, שלדבריו תלויות בבידוד.
פתיחות פירושה אנדרואיד מקוטע, אך נראה שלודוויג הציע כי הגיוון הזה הוא דבר טוב. המגוון העצום של חומרה ותוכנה אנדרואיד אומר שהרבה יותר קשה להשפיע על כל המכשירים. "אדון זהב יחיד עם באג משפיע על מאות מיליון משתמשים", אמר. "אין יחיד יחיד זהב [לאנדרואיד]. כל מכשיר בנוי ממקור השונה."
ההיות פתוחה גם נתנה לחברות אבטחה מקום באנדרואיד. "לא מנענו מהם לרוץ על הפלטפורמה שלנו, " הוא אמר, ללא ספק מכה על אפל. במקום זאת, אמר לודוויג שגוגל מברכת על חברות אבטחה באנדרואיד ואנדרואיד נהנתה מהעבודה שלהם.
פתיחות מקלה גם על מחקר אקדמי בתחום ההולך וגדל של אבטחת מובייל. לודוויג אמר כי "אבטחה ניידת היא שמחה לטובת אבטחת אנדרואיד". "כל העיתונים נוגעים לאבטחת אנדרואיד מכיוון שזה המקום היחיד שיש לחוקרים גישה בנייד."
זה עובד?
כדי להדגים את האפקטיביות של גישתה של גוגל לאבטחה, עבר לודוויג ציר זמן של ניצול ה- Masterkey, שקוראי SecurityWatch יזכרו ממנו מהקיץ שעבר. לדבריו, גוגל הצליחה לקבוע במהירות שלא היו מעלולים כאלה בחנות Play כשהודיעו להם שהיא קיימת. מה שכן, לאחר שחוקרי Bluebox שגילו את המנצל פרסמו את הנתונים שלהם בפומבי, גוגל ככל הנראה עקבה אחרי שמונה ניסיונות לכל מיליון התקנות.
לודוויג הייתה דעה דומה לגבי תוכנות זדוניות באנדרואיד בכללותה, שדווחה כי נרשמה במגמת עלייה. הוא ייחס זאת יותר להתפשטות מהירה של מכשירי אנדרואיד, והנתונים שהציג הראו מופע קטן יחסית של תוכנות זדוניות ביקום העצום של אנדרואידים. "אתה מקבל כותרות מדהימות כשבעצם אף אחד לא מושפע."
יש לומר כי עד כה גוגל עשתה עבודה נהדרת בניהול אבטחת אנדרואיד - במיוחד בהתחשב באופן בו סמארטפונים מתפרצים למקום ובאו לשלוט במחשוב המודרני. עם זאת, ישנם עדיין סוגיות חמורות שיש לטפל בהן בעתיד, כמו אפליקציות דולפות ואבטחת נתונים אישיים.
מבחינת גוגל, אנדרואיד איזנה בין אבטחה לחן. שמירה על איזון זה ככל הנראה תהיה האופן בו אנדרואיד נשפטת כשהיא מתבגרת.
