Video: RSAC x ELLA — NBA (Не мешай) (OFFICIAL VIDEO) (November 2024)
Op de RSA-conferentie presenteerde Google's hoofdingenieur voor Android-beveiliging Adrian Ludwig de bedrijfsfilosofie voor het beveiligen van hun mobiele platform. Het is een typisch Google-aanpak die afhankelijk is van het verzamelen van gegevens en het bouwen van services. Maar tegelijkertijd lijkt het in strijd te zijn met conventionele mobiele beveiliging.
Onzichtbare beveiliging
Tijdens het gesprek kwam Ludwig meerdere keren terug op het idee van subtiele beveiliging. "Effectieve en onzichtbare beveiliging roept kalmte op", zei hij. Het doel was om de gebruiker te laten communiceren met hun telefoon, tablet of wat dan ook waarop Android draait zonder beveiligingsproblemen. "Het niet uitbuiten van de beveiliging betekent niet dat het er niet is, " zei Ludwig. "Het betekent dat het werkt."
Deze benadering verschilt duidelijk van die van de beveiligingsindustrie als geheel, zei hij, die sterk afhankelijk is van 'beveiligingstheater'. Voor hem betekent dit apps die luid laten weten hoeveel ze je beschermen. "De meeste beveiliging gaat uiteindelijk over het verkopen van u meer beveiliging, " zei Ludwig in een verrassend openhartige verklaring op een conferentie die zich richt op beveiligingsbedrijven.
Machtigingen waren de opmerkelijke uitzondering. "Het is de enige plaats waar we expliciet zijn over beveiliging voor de gebruiker, " zei hij. Deze bepalen waartoe een app wel en niet toegang heeft, en we hebben lezers aangemoedigd er zorgvuldig naar te kijken om goede beslissingen te nemen over wat ze downloaden. Ludwig zei dat dat niet echt de bedoeling was. "Dachten we dat mensen elke keer slimme beslissingen zouden nemen? Vergeet niet dat we zien waar mensen elke dag naar zoeken, " voegde hij wrang toe. Hij ging verder met te zeggen dat machtigingen er niet zozeer zijn voor gebruikers, maar om ontwikkelaars te helpen om 'meestal' goede beslissingen te nemen.
Dit paste in een andere verrassende uitspraak van Ludwig: dat hij Android niet als een besturingssysteem ziet, maar eerder als een ontwikkelingsplatform. "[Android] was een set API's die bedoeld waren om krachtige applicaties te maken, " zei hij. "We leveren diensten in de vorm van applicaties."
Wat Google biedt
Terwijl Ludwig enige tijd besteedde om te bespreken hoe de basis van Android het platform veilig maakte - inclusief het bedanken van de NSA voor SC Linux - kwam hij ook in aanraking met meer zichtbare Google-services. Hij beweerde bijvoorbeeld dat de malware-detectie-inspanningen van Google op Google Play die van de hele AV-industrie overtreffen. Hoewel hij erkende dat het niet onfeilbaar was.
Naast een ander voor de hand liggend hulpmiddel zoals de Android Device Manager, wees Ludwig op de Verified Apps-service van Google, die enige bescherming biedt voor gebruikers die apps van buiten de Play Store installeren. "Je hebt het waarschijnlijk op je telefoon en weet het niet, want dat is hoe we rollen", zei Ludwig.
Er is ook het Android-veiligheidsnet, waarvan Ludwig zei dat ze de apparaten in realtime uitgebreidere bescherming bieden. Dit zoekt naar mogelijke misbruiken, zoals vaak verzoeken om premium sms-berichten te verzenden - een veel voorkomende tactiek om geld te verdienen met kwaadaardige apps.
"Ik zou moeten raden dat dit de grootste inzet van beveiligingsdiensten ter wereld is", zegt Ludwig.
Diversiteit en openheid is goed
Android staat bekend als een open platform en Ludwig zei dat deze aanpak waardevolle gegevens heeft opgeleverd over goede acteurs, slechte acteurs en normaal gedrag op mobiele apparaten. "Naarmate de wereld interactiever wordt en er meer gegevens heen en weer stromen, wordt de beveiliging zelfs beter." Ludwig gelooft dat dit sterk verschilt van gevestigde beveiligingsstrategieën, die volgens hem afhankelijk zijn van isolatie.
Openheid betekende een gefragmenteerde Android, maar Ludwig leek te suggereren dat deze diversiteit een goede zaak was. De enorme diversiteit aan Android-hardware en -software betekent dat het veel moeilijker is om alle apparaten te beïnvloeden. "Een enkele gouden meester met een bug treft honderden miljoenen gebruikers", zei hij. "Er is geen enkele gouden master [voor Android], elk apparaat is opgebouwd uit een bron die verschilt."
Openheid heeft beveiligingsbedrijven ook een plek op Android gegeven. "We hebben niet voorkomen dat ze op ons platform actief waren, " zei hij, zonder twijfel een prik tegen Apple. In plaats daarvan zei Ludwig dat Google beveiligingsbedrijven verwelkomde en dat Android profiteerde van hun werk.
Openheid vergemakkelijkt ook academisch onderzoek op het groeiende gebied van mobiele beveiliging. "Mobiele beveiliging is een eufemisme voor Android-beveiliging", zegt Ludwig. "Alle kranten gaan over Android-beveiliging, omdat dit de enige plek is waar [onderzoekers] toegang hebben tot mobiel."
Werkt het?
Om de effectiviteit van Google's aanpak van beveiliging aan te tonen, heeft Ludwig een tijdlijn van de Masterkey-exploit doorlopen, die zorgvuldige SecurityWatch-lezers zich van afgelopen zomer zullen herinneren. Hij zei dat Google snel kon vaststellen dat er geen dergelijke exploits in de Play Store waren toen ze erachter kwamen dat het bestond. Wat meer is, nadat de Bluebox-onderzoekers die ontdekten dat de exploit hun gegevens publiekelijk had vrijgegeven, blijkbaar Google slechts acht pogingen per miljoen installaties volgde.
Ludwig had een soortgelijke visie op Android-malware als geheel, waarvan algemeen is gemeld dat het in de lift zit. Hij schreef dit meer toe aan de snelle proliferatie van Android-apparaten, en de gegevens die hij presenteerde, vertoonden een relatief kleine hoeveelheid malware in het enorme universum van Androids. "Je krijgt ongelooflijke krantenkoppen met eigenlijk niemand wordt beïnvloed."
Het moet gezegd worden dat Google tot nu toe geweldig werk heeft gedaan bij het beheren van Android-beveiliging, vooral gezien hoe smartphones op de scène kwamen en moderne computers domineerden. Er zijn echter nog steeds serieuze problemen die in de toekomst moeten worden aangepakt, zoals lekkende apps en het beveiligen van persoonlijke gegevens.
Vanuit het perspectief van Google heeft Android een evenwichtige beveiliging met gratie. Dat evenwicht bewaren zal waarschijnlijk zijn hoe Android wordt beoordeeld naarmate het ouder wordt.
