Vídeo: RSAC – Твоя Россия LIVE | On Air (Setembre 2024)
A la Conferència de RSA, Adrian Ludwig, enginyer principal de seguretat per a Android, Adrian Ludwig, va presentar la filosofia de la companyia per assegurar la seva plataforma mòbil. És un enfocament típicament de Google que es basa en la recollida de dades i la creació de serveis. Però, al mateix temps, sembla volar davant de la seguretat mòbil convencional.
Seguretat invisible
Diverses vegades durant la xerrada, Ludwig va tornar a la idea de la seguretat subtil. "La seguretat eficaç i invisible evoca la calma", va dir. L’objectiu era deixar que l’usuari interactués amb el telèfon, la tauleta o qualsevol altre que funcionés amb Android sense que hi hagués problemes de seguretat. "No trompejar la seguretat no significa que no hi sigui", va dir Ludwig. "Vol dir que funciona".
Aquest enfocament és notablement diferent del de la indústria de la seguretat en el seu conjunt, va dir, que depèn molt del "teatre de seguretat". Per a ell, això significa aplicacions que proclamen en veu alta quant us protegeixen. "La majoria de seguretat consisteix en vendre més seguretat", va dir Ludwig en una declaració sorprenentment franca en una conferència que atén a les empreses de seguretat.
Els permisos eren una excepció notable. "És l'únic lloc on estem explícits sobre seguretat per a l'usuari", va dir. Aquests defineixen el que una aplicació pot i no pot accedir, i hem animat els lectors a mirar-los detingudament per prendre bones decisions sobre el que descarreguen. Ludwig va dir que no era realment la intenció. "Creíem que la gent prendria decisions intel·ligents cada vegada? Recordeu-vos que veiem el que la gent cerca cada dia", va afegir agosarat. Va continuar dient que els permisos no són tant per als usuaris, sinó per ajudar els desenvolupadors a prendre bones decisions "la majoria de les vegades".
Això encaixa amb una altra de les sorprenents declaracions de Ludwig: que no veu Android com un sistema operatiu, sinó una plataforma de desenvolupament. "[Android] era un conjunt d'API destinades a crear aplicacions potents", va dir. "Enviem serveis en forma de sol·licituds".
Què proporciona Google
Mentre que Ludwig va dedicar un cert temps a discutir sobre com es podien assegurar les bases d'Android, incloses les gràcies a NSA per SC Linux, també va tocar serveis de Google més visibles. Per exemple, va afirmar que els esforços de detecció de programari maliciós de Google a Google Play superen la de tota la indústria AV. Tot i que va reconèixer que no era infal·lible.
A més d'una altra eina òbvia com el Gestor de dispositius Android, Ludwig va assenyalar el servei d'Aplicacions verificades de Google, que proporciona una mica de protecció per als usuaris que instal·len aplicacions des de la botiga Play. "Probablement el tinguis al telèfon i no ho sàpigues, perquè és com rodem", va dir Ludwig.
També hi ha Android Safety Net, que Ludwig va dir que es va estendre la protecció en temps real als propis dispositius. Es tracta de cercar possibles abusos, com ara sol·licitar freqüentment enviar missatges SMS premium: una tàctica habitual que s’utilitza per obtenir ingressos d’aplicacions malicioses.
"Hauria d'endevinar que aquest és el desplegament més gran de serveis de seguretat del món", va dir Ludwig.
La diversitat i l'obertura són bones
Android es coneix com una plataforma oberta i Ludwig va dir que aquest enfocament ha proporcionat dades inestimables sobre els bons actors, els actors dolents i el comportament normal en els dispositius mòbils. "A mesura que el món es torna més interactiu i cada cop hi ha més dades que flueixen, la seguretat millora." Ludwig creu que això difereix molt de les estratègies de seguretat establertes, que segons ell depenen de l'aïllament.
L’obertura ha significat un Android fragmentat, però Ludwig semblava suggerir que aquesta diversitat era bona cosa. L’enorme diversitat de maquinari i programari Android significa que és molt més difícil afectar tots els dispositius. "Un sol mestre d'or amb un error afecta centenars de milions d'usuaris", va dir. "No hi ha un sol mestre d'or [per a Android], tots els dispositius estan construïts de fonts diferents."
El fet d’estar obert també ha donat un lloc a les empreses de seguretat a Android. "No els vam impedir que poguessin funcionar a la nostra plataforma", va dir, sense cap mena de dubte, fer un cop de mà a Apple. En canvi, Ludwig va dir que Google va donar la benvinguda a les empreses de seguretat i Android es van beneficiar del seu treball.
L’obertura també facilita la investigació acadèmica en l’àmbit creixent de la seguretat mòbil. "La seguretat mòbil és un eufemisme per a la seguretat d'Android", va dir Ludwig. "Tots els papers versen sobre seguretat d'Android perquè és l'únic lloc on els investigadors tenen accés al mòbil".
Funciona?
Per demostrar l'eficàcia de l'enfocament de Google en matèria de seguretat, Ludwig va recórrer una línia de temps de l'explotació Masterkey, que els lectors atentos de SecurityWatch recordaran a partir de l'estiu passat. Va dir que Google era capaç de determinar ràpidament que no existien aquestes explotacions a la botiga de Play quan es va informar que existia. És més, després que els investigadors de Bluebox que descobrissin la explotació publiquessin les seves dades, Google aparentment ha fet un seguiment de només vuit intents per milió d’instal·lacions.
Ludwig va tenir una visió similar sobre el programari maliciós en general en conjunt, que s'ha mostrat àmpliament en augment. Això ho va atribuir més a la ràpida proliferació de dispositius Android, i les dades que va presentar mostraven una instància relativament petita de programari maliciós a l’enorme univers dels Androids. "Tens títols increïbles sense que ningú afecti bàsicament".
Cal dir que, fins al moment, Google ha fet un treball fantàstic de gestió de la seguretat d'Android, sobretot tenint en compte com els telèfons intel·ligents van entrar en escena i van dominar la informàtica moderna. Tot i així, encara hi ha problemes seriosos que cal abordar endavant, com ara les aplicacions filtrades i la seguretat de dades personals.
Des de la perspectiva de Google, Android ha equilibrat la seguretat amb la gràcia. Mantenir aquest equilibri probablement serà com es jutja Android ja que madura.
