Video: GTA San Andreas PC - How to get the Night Vision Goggles and how to get the Thermal Goggles (September 2024)
Vid RSA-konferensen presenterade Googles ledande ingenjör för Android-säkerhet Adrian Ludwig företagets filosofi för att säkra sin mobilplattform. Det är en typisk Google-strategi som förlitar sig på att samla in data och bygga tjänster. Men det verkar samtidigt flyga inför konventionell mobilsäkerhet.
Osynlig säkerhet
Flera gånger under samtalet kom Ludwig tillbaka till idén om subtil säkerhet. "Effektiv och osynlig säkerhet väcker lugn, " sade han. Målet var att låta användaren interagera med sin telefon, surfplatta eller vad som helst som kör Android utan att säkerhetsproblem kom i vägen. "Inte trumpeting säkerhet betyder inte att det inte finns där, " sa Ludwig. "Det betyder att det fungerar."
Denna strategi skiljer sig markant från säkerhetsindustrin som helhet, sade han, som förlitar sig mycket på "säkerhetsteatern". För honom betyder detta appar som högt förklarar hur mycket de skyddar dig. "Mest säkerhet handlar i slutändan om att sälja dig mer säkerhet, " sade Ludwig i ett förvånansvärt uttalande vid en konferens som riktar sig till säkerhetsföretag.
Tillstånd var det anmärkningsvärda undantaget. "Det är den platsen som vi uttryckligen angår säkerhet för användaren, " sade han. Dessa definierar vad en app kan och inte kan komma åt, och vi har uppmuntrat läsarna att titta på dem noggrant för att fatta bra beslut om vad de laddar ner. Ludwig sa att det inte riktigt var avsikten. "Trodde vi att människor skulle fatta smarta beslut varje gång? Kom ihåg att vi ser vad folk söker efter varje dag", tillade han skratta. Han fortsatte med att säga att behörigheter inte finns så mycket för användare, men för att hjälpa utvecklare att fatta bra beslut "för det mesta".
Detta passade med ett annat av Ludwigs överraskande uttalanden: att han inte ser Android som ett operativsystem utan snarare en utvecklingsplattform. "[Android] var en uppsättning API: er avsedda att skapa kraftfulla applikationer, " sade han. "Vi levererar tjänster i form av applikationer."
Vad Google tillhandahåller
Medan Ludwig tillbringade lite tid på att diskutera hur stödet till Android gjorde plattformen säker - inklusive tacka NSA för SC Linux - berörde han också mer synliga Google-tjänster. Till exempel hävdade han att Googles försök att upptäcka skadlig programvara på Google Play överträffar hela AV-branschen. Även om han erkände att det inte var ofelbar.
Förutom ett annat uppenbart verktyg som Android Device Manager pekade Ludwig på Googles tjänst för verifierade appar, som ger ett visst skydd för användare som installerar appar utanför Play-butiken. "Du har förmodligen den på din telefon och vet inte den, för det är så vi rullar, " sa Ludwig.
Det finns också Android-säkerhetsnätet, som Ludwig sade utöka realtidsskyddet till själva enheterna. Detta letar efter potentiella missbruk, som ofta begär att skicka premium SMS-meddelanden - en vanlig taktik som används för att tjäna pengar på skadliga appar.
"Jag måste gissa att det här är den största utbyggnaden av säkerhetstjänster i världen", sa Ludwig.
Mångfald och öppenhet är bra
Android är känt som en öppen plattform, och Ludwig sa att denna metod har gett ovärderlig information om bra skådespelare, dåliga skådespelare och normalt beteende på mobila enheter. "När världen blir mer interaktiv och det finns mer data som flyter fram och tillbaka, blir säkerheten faktiskt bättre." Ludwig tror att detta skiljer sig mycket från etablerade säkerhetsstrategier, som han sade beror på isolering.
Öppenhet har inneburit en fragmenterad Android, men Ludwig tycktes tyder på att denna mångfald var bra. Den enorma mångfalden av Android-hårdvara och programvara gör att det är mycket svårare att påverka alla enheter. "En enda guldmästare med ett fel påverkar hundratals miljoner användare, " sade han. "Det finns ingen enda guldmästare [för Android], varje enhet är byggd från källa som skiljer sig."
Att vara öppen har också gett säkerhetsföretag en plats på Android. "Vi hindrade dem inte från att springa på vår plattform, " sade han, utan tvekan att göra en skrap på Apple. Istället sa Ludwig att Google välkomnade säkerhetsföretag i och Android gynnades av deras arbete.
Öppenhet underlättar också akademisk forskning inom det växande området för mobilsäkerhet. "Mobilsäkerhet är en eufemism för Android-säkerhet", sa Ludwig. "Alla tidningar handlar om Android-säkerhet eftersom det är den enda platsen som [forskare] har tillgång till i mobilen."
Fungerar det?
För att visa effektiviteten i Googles inställning till säkerhet gick Ludwig igenom en tidslinje för Masterkey-utnyttjandet, som noggranna SecurityWatch-läsare kommer att komma ihåg från förra sommaren. Han sa att Google snabbt kunde fastställa att det inte fanns några sådana utnyttjelser i Play-butiken när de informerades om att det fanns. Dessutom spårade Google tydligen bara åtta försök per miljon installationer efter att Bluebox-forskarna som upptäckte utnyttjandet offentliggjort sina data.
Ludwig hade en liknande uppfattning om Android-skadlig programvara som helhet, vilket i stor utsträckning har rapporterats öka. Han tillskrev detta mer till den snabba spridningen av Android-enheter, och de uppgifter som han presenterade visade en relativt liten förekomst av skadlig kod på Androids enorma universum. "Du får otroliga rubriker med i princip ingen som påverkas."
Det måste sägas att Google hittills har gjort ett fantastiskt jobb med att hantera Android-säkerhet - särskilt med tanke på hur smartphones brast på scenen och kom att dominera modern datoranvändning. Det finns emellertid fortfarande allvarliga problem som ska hanteras framöver, som läckande appar och säkra personuppgifter.
Ur Googles perspektiv har Android balanserat säkerhet med nåd. Att hålla den balansen kommer förmodligen att vara hur Android bedöms när det mognar.
