在幕后:Android安全缺陷的解剖
阅读关于Android安全缺陷足以让任何人溃疡。
它是好的;我们一切都觉得在某个时刻。基于每隔几周的头条新闻,难以思考你的手机不断被邪恶的恶魔猴子包围,只是等着你的数据进入他们的寒冷,随向的猴子 - 嗅觉“手。
我不言而喻,这不是“T的情况 - 我避开了自90年代末期以来的邪恶猴子社区的计划 - 但是,Android安全缺陷似乎没有典型的恐慌的理由用户的透视。
我们谈到了大量关于Android恶意软件的现实以及大多数Android病毒叙述往往的耸人听闻。然而,除了理论恶意软件之外,在OS本身上偶尔的真正安全缺陷 - 我们在过去几天中听到了公平金额。那么对此有何交易?
让“s脱落,因为 - 与大多数敏感的科目一样 - 一点知识和逻辑在打击非理性恐惧方面有很长的路要走。
周五晚些时候,谷歌发布了一个关于操作系统中发现的缺陷的“Android安全咨询”。在最简单的术语中,毛刺可以允许特定类型的应用程序来控制设备并进行一些真正的损坏 - 远远超出应该是可能的 - 在非常具体的场景中,大多数用户不太可能遇到。
具体与否,这是一些严肃的东西。但是,像我看到的危言耸听的是,我看到这个错误“打开了Nexus手机以”永久性设备妥协“ - 永久性设备妥协! - 不要告诉整个故事。而且坦率地说,他们画画的图片非常误导。
发现缺陷时实际发生了什么
首先,一些背景:谷歌首次听说过这个最新的缺陷,当时第三方安全公司发现它被剥削的潜力。此时,它不是“TA公知的问题 - 并且没有任何其他人意识到的证据或试图利用它 - 所以工程师开始在修复程序上融入下一个定期的每月纳入下一步安全补丁。
他们也 - 在此过程中的一个至关重要的观点 - 快速而悄悄地证实,谷歌播放商店没有应用程序,绝大多数人都会受到影响。Android“s验证应用系统,它为其出现问题的应用程序,因为它们是从外部源安装的问题,然后继续在手机上监控所有应用程序,并进行了检查和更新。
“这使我们能够更快地保护用户的能力,而不是制作补丁,然后让修补程序分发到所有设备,它保护可能永远不会收到补丁的设备,”谷歌“的Android Security,Adrian Ludwig,解释为我问他关于这个过程的时候。
所有这些步骤都发生在谷歌的舞台上,如果我们的手机甚至都会受到保护。那是一分钟前我提到的重点头条线倾向于错过:即使没有最终的安全补丁到位,实际上,美国的每个Android设备都已经安全地免受伤害。
当事情开始变得真实
尽管如此,让我们继续前进,因为这对这个故事来说更了。快进至3月15日,当一个名为Zimperium的独立公司发现了一个生活,在野外呼吸着应用程序,实际上试图利用毛刺。
“我们发现,我们实验室中的公共可用的生根应用程序遭到了完全更新的Nexus设备,”平台研究和开发Joshua Drake告诉我。
该应用程序不是在播放商店中,这意味着您必须在网站上找到它并在网站上找到它并下载它,以便它影响您。并记住:Android“S验证应用系统已经安全地保护了来自这种威胁的设备。因此,您将不得不选择退出该系统或决定忽略其警告,以便处于任何危险(并且术语“危险”本身相当相对,因为谷歌表示没有观察到实际的恶意活动设想)。
然而,在图片中具有现实威胁,谷歌在自己的补丁克莱斯特下点燃了火灾。该公司已经在修补程序上工作,所以而不是等待下个月的批量发布,工程师继续向厂家释放出来的制造商 - 在16日。我们于18日了解到这一切,该公司发布了公共公报并将补丁作为“最终防御层”。
所以实际上,随着前一层的保护已经到位,那个补丁是否真的很重要?在这样一个像大多数人一样的情况下,可能不是。它只是保护墙上的另一块砖 - 一个额外的层,“LL最终使操作系统本身更安全,但是一般与其他层谷歌已经提供过的一个。
最后一步 - 在透视
当然,在这个过程中还有一个步骤 - 鉴于这一刻,它仍然是待的。这一步是实际采取补丁并将其达到设备,并将其迄今为止是迄今为止的最棘手和最低效率的等式。
Ludwig告诉我,一旦公司完成测试以确保该软件在所有这些产品上都会顺利工作,谷歌将在未来几天开始将补丁从其Nexus设备开始向其Nexus设备滚动。但随着我们在全年看到的,快速到达Nexus设备的更新 - 他们是安全补丁或全方位的操作系统升级 - 往往需要更长的时间才能到达大量的Android手机和平板电脑。一些设备永远不会最终看到它们。
它是Android的开源性质的固有效果,以及制造商可以自由地修改软件的事实,因为它们认为适合。这导致我们在平台上看到的软件中的普遍性 - 这有时可能是一件好事 - 但它也意味着它达到每个唯一的制造商来处理每次更新,确保它适合自己的自定义版本操作系统,然后将其送到其消费者。
一旦您还将运营商添加到等式中,其中许多人往往会在制造商“努力 - 应该是一个令人沮丧的长期过程中,这是往往进行自己的海龟节奏的测试。
Android aren的更新与其他平台上的更新相同从消费者的立场,它是Android平台的一个令人讨厌的部分 - 没有两种方法。一些制造商比其他厂商可靠地提供更新,但即使在这些情况下,运营商也倾向于搞砸并妨碍任何一致的成功(特别是在美国,那里有很多人仍然购买来自运输工具的电话购买它们解锁)。
虽然一些补丁可能看起来是多余的,但其他修补程序实际上是重要的 - 就像2015年10月的补丁一样,这些补丁被保护的手机免受看似不朽的平手道漏洞利用。理论上可以通过恶意链接或短信激活该开发,因此单独的应用程序扫描系统可以让您保持安全。
(对于上下文而言,尚未成为一个由StageFright影响的实际用户的真实世界案例。很久以前很久以前更新了更多的,谷歌的环聊和信使应用程序,并且Chrome Android浏览器还有自己的不断更新的安全浏览系统,可以防止您在手机上拉动风险网站第一个地方。所以,再次,所有事情都在视角。)
大局
基本上,有两种方法可以思考这个。一个是,如果快速且可靠的持续更新对您来说很重要 - 而且,让他们诚实,他们可能应该是 - 你应该选择一个手机,即已知提供该功能。Google“的Nexus设备是最安全的投注,因为它们直接从谷歌收到软件而没有任何第三方干扰或延误。无论我们谈论安全性还是更广泛的系统级别改进,那就是一个非常宝贵的保证。
其次,正如我们一直在讨论的那样,请记住,Android上的更新真的不是与其他平台上的更新相同。谷歌了解其开源设置创建的挑战,以及为什么采取措施创建直接到达用户的所有其他方法 - 无论是通过我们一直在讨论和通过公司讨论和公司的讨论“持续的Android解构。后者导致了通常越来越多的部分,通常与谷歌全年可以经常和普遍普遍更新的独立应用程序被捆绑在一起。
“如果您有完全控制该系统,我们必须以某种方式进行体贴,”Ludwig解释说。“它与其他生态系统不同,他们唯一的答案是修补的。”
所以收到家庭信息?深吸一口气。需要几分钟的时间来检查您的个人Android安全性,并确保您能够利用您提供的所有工具。也许最重要的是,武装人们的知识,所以你可以智能地解释安全恐慌,并以透视而保持事情。
毕竟,一旦你理解其技巧,即使是一个邪恶的恶魔猴子也是如此可怕。