บ้าน Securitywatch Rsac: กูรูด้านความปลอดภัยของ Android google บอกว่าพวกเขาชนะสงคราม

Rsac: กูรูด้านความปลอดภัยของ Android google บอกว่าพวกเขาชนะสงคราม

วีดีโอ: पृथà¥?वी पर सà¥?थित à¤à¤¯à¤¾à¤¨à¤• नरक मंदिर | Amazing H (ธันวาคม 2024)

วีดีโอ: पृथà¥?वी पर सà¥?थित à¤à¤¯à¤¾à¤¨à¤• नरक मंदिर | Amazing H (ธันวาคม 2024)
Anonim

ในการประชุม RSA หัวหน้าวิศวกรของ Google สำหรับ Android Security Adrian Ludwig นำเสนอปรัชญาของ บริษัท ในการรักษาความปลอดภัยแพลตฟอร์มมือถือของพวกเขา โดยทั่วไปแล้ววิธีการของ Google นั้นอาศัยการรวบรวมข้อมูลและบริการสร้าง แต่ในเวลาเดียวกันดูเหมือนว่าจะต้องเผชิญกับการรักษาความปลอดภัยมือถือธรรมดา

ความปลอดภัยที่มองไม่เห็น

หลายครั้งระหว่างการพูดคุยลุดวิกกลับไปที่แนวคิดเรื่องความปลอดภัยที่ละเอียดอ่อน “ การรักษาความปลอดภัยที่มีประสิทธิภาพและมองไม่เห็นกระตุ้นความสงบ” เขากล่าว เป้าหมายคือเพื่อให้ผู้ใช้โต้ตอบกับโทรศัพท์แท็บเล็ตหรืออะไรก็ตามที่ใช้ Android โดยไม่มีปัญหาด้านความปลอดภัยเข้ามา “ การรักษาความปลอดภัยไม่ได้หมายความว่ามันไม่ได้อยู่ที่นั่น” ลุดวิกกล่าว "มันหมายความว่ามันใช้งานได้"

วิธีนี้แตกต่างอย่างชัดเจนจากอุตสาหกรรมความปลอดภัยโดยรวมเขากล่าวซึ่งต้องอาศัย "โรงละครรักษาความปลอดภัย" เป็นอย่างมาก สำหรับเขานี่หมายถึงแอพที่ประกาศเสียงดังว่าพวกเขาปกป้องคุณมากแค่ไหน “ ความปลอดภัยส่วนใหญ่เกี่ยวกับการขายความปลอดภัยให้กับคุณในที่สุด” ลุดวิกกล่าวในแถลงการณ์ที่ตรงไปตรงมาอย่างน่าประหลาดใจในการประชุมที่ให้ความสำคัญกับ บริษัท รักษาความปลอดภัย

สิทธิ์เป็นข้อยกเว้นที่น่าสังเกต “ เป็นที่เดียวที่เรามีความชัดเจนเกี่ยวกับความปลอดภัยให้กับผู้ใช้” เขากล่าว สิ่งเหล่านี้กำหนดสิ่งที่แอพสามารถและไม่สามารถเข้าถึงได้และเราสนับสนุนให้ผู้อ่านพิจารณาอย่างรอบคอบเพื่อทำการตัดสินใจที่ดีเกี่ยวกับสิ่งที่พวกเขาดาวน์โหลด ลุดวิกบอกว่านั่นไม่ใช่ความตั้งใจจริงๆ “ เราคิดว่าคนจะต้องตัดสินใจอย่างชาญฉลาดทุกครั้งหรือไม่จำไว้ว่าเราเห็นสิ่งที่ผู้คนค้นหาทุกวัน” เขากล่าวเสริม เขากล่าวต่อไปว่าการอนุญาตมีไม่มากนักสำหรับผู้ใช้ แต่เพื่อช่วยนักพัฒนาในการตัดสินใจที่ดี "เกือบตลอดเวลา"

สิ่งนี้สอดคล้องกับข้อความที่น่าประหลาดใจของลุดวิกคนอื่น: เขาไม่เห็นว่า Android เป็นระบบปฏิบัติการ แต่เป็นแพลตฟอร์มการพัฒนา "[Android] เป็นชุดของ API ที่ต้องการสร้างแอปพลิเคชั่นที่มีประสิทธิภาพ" เขากล่าว "เราให้บริการในรูปแบบของแอปพลิเคชัน"

สิ่งที่ Google จัดให้

ในขณะที่ลุดวิกใช้เวลาพูดคุยกันว่าการวางรากฐานของ Android ทำให้แพลตฟอร์มมีความปลอดภัยอย่างไรรวมถึงขอบคุณ NSA สำหรับ SC Linux ซึ่งเขาได้สัมผัสกับบริการของ Google ที่มองเห็นได้ชัดเจนขึ้น ตัวอย่างเช่นเขาอ้างว่าการตรวจจับมัลแวร์ของ Google ใน Google Play นั้นเหนือกว่าอุตสาหกรรม AV ทั้งหมด แม้ว่าเขาจะยอมรับว่ามันไม่ผิด

นอกเหนือจากเครื่องมือที่ชัดเจนอีกอย่างเช่นตัวจัดการอุปกรณ์ Android แล้ว Ludwig ยังชี้ไปที่บริการแอพที่ได้รับการยืนยันของ Google ซึ่งให้การป้องกันสำหรับผู้ใช้ที่ติดตั้งแอพจากนอก Play สโตร์ “ คุณอาจมีไว้ในโทรศัพท์ของคุณและไม่รู้เพราะนั่นคือสิ่งที่เราทำ” Ludwig กล่าว

นอกจากนี้ยังมี Android Safety Net ซึ่งลุดวิกกล่าวว่าได้เพิ่มการป้องกันแบบเรียลไทม์ให้กับอุปกรณ์ของตัวเอง สิ่งนี้จะมองหาการละเมิดที่อาจเกิดขึ้นเช่นการขอส่งข้อความ SMS พรีเมียมบ่อยครั้งซึ่งเป็นวิธีการทั่วไปที่ใช้ในการสร้างรายได้จากแอปที่เป็นอันตราย

“ ฉันต้องเดาว่านี่เป็นการปรับใช้บริการรักษาความปลอดภัยที่ใหญ่ที่สุดในโลก” ลุดวิกกล่าว

ความหลากหลายและการเปิดกว้างเป็นสิ่งที่ดี

Android เป็นที่รู้จักกันในนามแพลตฟอร์มเปิดและ Ludwig กล่าวว่าวิธีการนี้ได้ให้ข้อมูลที่มีค่าเกี่ยวกับนักแสดงที่ดีนักแสดงที่ไม่ดีและพฤติกรรมปกติบนอุปกรณ์มือถือ "เมื่อโลกมีการโต้ตอบกันมากขึ้นและมีข้อมูลไหลไปมามากขึ้นความปลอดภัยก็ดีขึ้น" ลุดวิกเชื่อว่าสิ่งนี้แตกต่างอย่างมากจากกลยุทธ์ความปลอดภัยที่จัดตั้งขึ้นซึ่งเขากล่าวว่าขึ้นอยู่กับความโดดเดี่ยว

การเปิดกว้างนั้นหมายถึง Android ที่แยกส่วน แต่ลุดวิกดูเหมือนว่าจะแนะนำว่าความหลากหลายนี้เป็นสิ่งที่ดี ความหลากหลายที่ยิ่งใหญ่ของฮาร์ดแวร์และซอฟต์แวร์ Android หมายความว่าเป็นการยากที่จะส่งผลกระทบต่ออุปกรณ์ทั้งหมด "ผู้เชี่ยวชาญทองคำคนเดียวที่มีข้อบกพร่องส่งผลกระทบต่อผู้ใช้หลายร้อยล้านคน" เขากล่าว "ไม่มีเจ้านายทองคำคนเดียว [สำหรับ Android] ทุกอุปกรณ์ถูกสร้างจากแหล่งที่แตกต่าง"

การเปิดให้ บริษัท ด้านความปลอดภัยบน Android “ เราไม่ได้ป้องกันพวกเขาจากการทำงานบนแพลตฟอร์มของเรา” เขากล่าวไม่ต้องสงสัยเลยว่าการทำกระทุ้งที่ Apple ลุดวิกกล่าวว่า Google ยินดีต้อนรับ บริษัท รักษาความปลอดภัยในและ Android ได้รับประโยชน์จากการทำงานของพวกเขา

การเปิดกว้างยังช่วยอำนวยความสะดวกในการวิจัยเชิงวิชาการในด้านการรักษาความปลอดภัยบนมือถือ ลุดวิกกล่าวว่า "การรักษาความปลอดภัยมือถือเป็นคำที่ใช้ในการรักษาความปลอดภัยของ Android "เอกสารทั้งหมดเกี่ยวกับความปลอดภัยของ Android เพราะเป็นที่เดียวที่ [นักวิจัย] เข้าถึงได้ในมือถือ"

มันทำงานได้หรือเปล่า?

เพื่อแสดงให้เห็นถึงประสิทธิภาพของวิธีการรักษาความปลอดภัยของ Google ลุดวิกวิ่งผ่านช่วงเวลาของการใช้ประโยชน์ Masterkey ซึ่งผู้อ่าน SecurityWatch ที่ระมัดระวังจะเรียกคืนจากช่วงฤดูร้อนที่ผ่านมา เขากล่าวว่า Google สามารถระบุได้อย่างรวดเร็วว่าไม่มีช่องโหว่ดังกล่าวใน Play สโตร์เมื่อพวกเขาได้รับแจ้งว่ามีอยู่ ยิ่งไปกว่านั้นหลังจากนักวิจัย Bluebox ที่ค้นพบการใช้ประโยชน์จากข้อมูลของพวกเขาเปิดเผยต่อสาธารณชนแล้ว Google ติดตามเพียงแปดครั้งต่อการติดตั้งนับล้านครั้ง

ลุดวิกมีมุมมองคล้ายกับมัลแวร์ Android โดยรวมซึ่งมีการรายงานกันอย่างแพร่หลายว่ากำลังเพิ่มขึ้น เขาอ้างว่าสิ่งนี้ยิ่งทำให้เกิดการแพร่กระจายอย่างรวดเร็วของอุปกรณ์ Android และข้อมูลที่เขานำเสนอแสดงให้เห็นว่ามีอินสแตนซ์ของมัลแวร์ที่ค่อนข้างเล็กในจักรวาลอันยิ่งใหญ่ของ Androids "คุณได้รับหัวข้อข่าวที่น่าเหลือเชื่อโดยไม่มีใครได้รับผลกระทบ"

ต้องบอกว่าจนถึงตอนนี้ Google ได้ทำงานที่ยอดเยี่ยมในการจัดการความปลอดภัยของ Android โดยเฉพาะอย่างยิ่งการพิจารณาว่าสมาร์ทโฟนจะบุกเข้ามาในที่เกิดเหตุและมาครอบครองคอมพิวเตอร์ที่ทันสมัย อย่างไรก็ตามยังมีปัญหาร้ายแรงที่ต้องแก้ไขในอนาคตเช่นแอปที่รั่วไหลและการรักษาความปลอดภัยข้อมูลส่วนบุคคล

จากมุมมองของ Google Android มีความปลอดภัยสมดุลด้วยความสง่างาม การรักษาความสมดุลนั้นน่าจะเป็นวิธีที่ Android ตัดสินเมื่อโตขึ้น

Rsac: กูรูด้านความปลอดภัยของ Android google บอกว่าพวกเขาชนะสงคราม