Video: Flutter Tutorial for Beginners - Build iOS and Android Apps with Google's Flutter & Dart (Oktober 2024)
På RSA-konferencen præsenterede Googles Lead Engineer for Android Security Adrian Ludwig virksomhedens filosofi for at sikre deres mobile platform. Det er en typisk Google-tilgang, der er afhængig af indsamling af data og bygningstjenester. Men på samme tid ser det ud til at flyve i lyset af konventionel mobilsikkerhed.
Usynlig sikkerhed
Flere gange under foredraget vendte Ludwig tilbage til ideen om subtil sikkerhed. "Effektiv og usynlig sikkerhed fremkalder ro, " sagde han. Målet var at lade brugeren interagere med deres telefon, tablet eller andet, der kørte Android, uden at sikkerhedsproblemer kom i vejen. "Ikke trompetisk sikkerhed betyder ikke, at den ikke er der, " sagde Ludwig. "Det betyder, at det fungerer."
Denne tilgang er markant forskellig fra sikkerhedsbranchen som helhed, sagde han, der i høj grad er afhængig af "sikkerhedsteater." For ham betyder dette apps, der højlydt erklærer, hvor meget de beskytter dig. "Mest sikkerhed handler i sidste ende om at sælge dig mere sikkerhed, " sagde Ludwig i en overraskende ærlig erklæring på en konference, der henvender sig til sikkerhedsfirmaer.
Tilladelser var den bemærkelsesværdige undtagelse. ”Det er det sted, vi eksplicit angår sikkerhed for brugeren, ” sagde han. Disse definerer, hvad en app kan og ikke kan få adgang til, og vi har opfordret læserne til at se dem nøje for at tage gode beslutninger om, hvad de downloader. Ludwig sagde, at det ikke var meningen. "Troede vi, at folk ville tage smarte beslutninger hver gang? Husk, vi ser, hvad folk søger hver dag, " tilføjede han grimt. Han fortsatte med at sige, at tilladelser ikke er så meget for brugere, men for at hjælpe udviklere med at træffe gode beslutninger "det meste af tiden."
Dette passer med en anden af Ludwigs overraskende udsagn: At han ikke ser Android som et operativsystem, men snarere en udviklingsplatform. "[Android] var et sæt API'er, der var beregnet til at skabe kraftfulde applikationer, " sagde han. "Vi leverer tjenester i form af applikationer."
Hvad Google leverer
Mens Ludwig brugte nogen tid på at diskutere, hvordan understøttelsen af Android gjorde platformen sikker - inklusive tak for NSA for SC Linux - berørte han også mere synlige Google-tjenester. For eksempel hævdede han, at Googles bestræbelser på at afsløre malware på Google Play overgår alle AV-brancherne. Selvom han erkendte, at det ikke var ufejlbarligt.
Ud over et andet indlysende værktøj som Android Device Manager pegede Ludwig på Googles verificerede apps-tjeneste, som giver en vis beskyttelse for brugere, der installerer apps uden for Play-butikken. ”Du har sandsynligvis det på din telefon og ved det ikke, for det er sådan vi ruller, ” sagde Ludwig.
Der er også Android-sikkerhedsnet, som Ludwig sagde udvidet realtidsbeskyttelse til enheder selv. Dette ser efter potentielle misbrug, som ofte beder om at sende premium SMS-beskeder - en almindelig taktik, der bruges til at tjene penge på ondsindede apps.
”Jeg bliver nødt til at gætte, at dette er den største installation af sikkerhedstjenester i verden, ” sagde Ludwig.
Mangfoldighed og åbenhed er god
Android er kendt som en åben platform, og Ludwig sagde, at denne tilgang har givet uvurderlige data om gode skuespillere, dårlige skuespillere og normal opførsel på mobile enheder. "Efterhånden som verden bliver mere interaktiv og der flyder flere data frem og tilbage, bliver sikkerheden faktisk bedre." Ludwig mener, at dette i høj grad adskiller sig fra etablerede sikkerhedsstrategier, som han sagde afhænger af isolering.
Åbenhed har betydet en fragmenteret Android, men Ludwig syntes at antyde, at denne mangfoldighed var en god ting. Den enorme mangfoldighed af Android-hardware og -software betyder, at det er meget vanskeligere at påvirke alle enheder. ”En enkelt guldmester med en bug påvirker hundreder af millioner brugere, ” sagde han. "Der er ingen enkelt guldmester [til Android], hver enhed er bygget fra en kilde, der adskiller sig."
At være åben har også givet sikkerhedsfirmaer et sted på Android. "Vi forhindrede dem ikke i at køre på vores platform, " sagde han uden tvivl om at gøre en jab ved Apple. I stedet sagde Ludwig, at Google hilste sikkerhedsfirmaer velkommen ind, og at Android drage fordel af deres arbejde.
Åbenhed letter også akademisk forskning inden for det voksende felt inden for mobil sikkerhed. "Mobilsikkerhed er en eufemisme for Android-sikkerhed, " sagde Ludwig. "Alle papirer handler om Android-sikkerhed, fordi det er det eneste sted [forskere] har adgang på mobilen."
Virker det?
For at demonstrere effektiviteten af Googles tilgang til sikkerhed, løb Ludwig gennem en tidslinje for Masterkey-udnyttelsen, som omhyggelige SecurityWatch-læsere vil huske fra sidste sommer. Han sagde, at Google hurtigt kunne fastslå, at der ikke var nogen sådan udnyttelse i Play-butikken, da de blev informeret om, at den eksisterede. Hvad mere er, efter at Bluebox-forskerne, der opdagede udnyttelsen offentliggjort deres data, sporer Google tilsyneladende kun otte forsøg pr. Million installationer.
Ludwig havde en lignende opfattelse af Android malware som helhed, som er blevet rapporteret bredt at være på stigning. Han tilskrev dette mere til den hurtige spredning af Android-enheder, og de data, han præsenterede, viste en relativt lille forekomst af malware på det enorme univers af Androids. "Du får utrolige overskrifter, hvor stort set ingen bliver berørt."
Det må siges, at Google indtil videre har gjort et fantastisk stykke arbejde med at styre Android-sikkerhed - især i betragtning af hvordan smartphones brast ud på scenen og kom til at dominere moderne computing. Der er dog stadig alvorlige problemer, der skal løses fremover, som lække apps og sikring af personlige data.
Fra Googles perspektiv har Android afbalanceret sikkerhed med nåde. At holde denne balance vil sandsynligvis være, hvordan Android bedømmes, når den modnes.
