Дэйв Клайдермахер, вице-президент службы безопасности Android, Play, ChromeOS
Цель нашей команды проста: обеспечить лучшей защитой более двух миллиардов устройств на Android. Это наша главная задача. Мы постоянно работаем над тем, чтобы пользователи были в безопасности благодаря нашим системам защиты.
Сегодня мы представляем наш четвертый ежегодный обзор систем безопасности ОС Android. Мы готовим этот отчет, чтобы люди узнали о многочисленных уровнях защиты Android, а также могли проследить за нашими усилиями в этой сфере за несколько лет.
Прошлый год стал годом значительных улучшений. Перед вами краткий обзор самых важных (но далеко не всех!) обновлений 2017 года. Если вы хотите узнать больше, ознакомьтесь с полным отчетом: g.co/AndroidSecurityReport2017
Google Play Защита
В мае мы объявили о запуске сервиса Google Play Защита, который объединил в себе функции Android, предназначенные для защиты данных более чем двух миллиардов устройств. Многие функции Play Защиты годами обеспечивали безопасность устройств Android, но мы хотели сделать их более заметными, чтобы пользователи знали: наши системы безопасности непрерывно работают, чтобы их устройства оставались защищенными.
Основная цель Play Защиты проста: оградить пользователей от потенциально вредоносных приложений (ПВП). Ежедневно она автоматически сканирует более 50 млрд приложений, других потенциальных источников ПВП и самих устройств, принимая меры в случае их обнаружения.
Play Защита использует различные тактики, чтобы обеспечить защиту пользователям и их данным. В частности, использование машинного обучения уже показало отличные результаты: 60,3% ПВП были выявлены именно с помощью технологий машинного обучения. И мы рассчитываем, что это число будет увеличиваться в будущем.
Обеспечение безопасности устройств пользователей
Play Защита автоматически проверяет устройства Android на наличие ПВП как минимум раз в день. Пользователи также могут провести дополнительную проверку в любое время для собственного спокойствия. Эти автоматические проверки помогли нам выявить и удалить примерно 39 миллионов ПВП в прошлом году.
Кроме того, мы обновили Play Защиту, чтобы она умела работать с паттернами, которые мы обнаруживаем в экосистеме. Например, мы узнали, что около 35% установок новых ПВП происходили, когда устройство не было подключено к сети или во время перебоев с подключением. Поэтому в октябре мы добавили в Play Защиту офлайн-сканирование и с тех пор предотвратили более 10 миллионов попыток установить ПВП.
Предотвращение загрузки ПВП
У устройств с приложениями, загруженными исключительно из Google Play, шанс скачивания ПВП был в девять раз меньше, чем у устройств с приложениями, загруженными из других источников. Эти показатели продолжают улучшаться в том числе благодаря тому, что Play Защита обращает повышенное внимание на недавно загруженные приложения на Google Play. В этом году Play Защита проанализировала на 65% больше приложений по сравнению с прошлым годом.
Play Защита обеспечивает безопасность не только Google Play, она также помогает защитить более обширную экосистему Android. В значительной степени благодаря Play Защиты уровень загрузки ПВП за пределами Google Play снизился более чем на 60%.
Обновления безопасности
Google Play Защита является отличным щитом от ПВП. При этом мы также сотрудничаем с производителями устройств, чтобы убедиться, что версия ОС Android, установленная на устройствах пользователей, является современной и безопасной.
В течение всего года мы работали над совершенствованием процесса обновлений системы безопасности. За прошлый год на 30% больше устройств получили обновленные патчи безопасности, в сравнении с 2016 годом. Кроме того, ни одно из важных уязвимых мест системы безопасности, которое могло бы повлиять на платформу Android, не было выявлено публично без возможности обновления или устранения на устройствах Android. Это стало возможным благодаря программе Android Security Rewards и сотрудничеству с сообществом исследователей безопасности, а также взаимодействию с отраслевыми партнерами и использованию встроенных систем защиты безопасности для платформы Android.
Обновленная система безопасности в Android Oreo
Мы рассказывали об этих обновлениях в течение года, но некоторые могли остаться незамеченными. Например, мы обновили оверлей API, и теперь приложения не заслоняют весь экран так, что их невозможно закрыть — обычная тактика программ-вымогателей.
Открытость делает Android сильнее
Мы считаем, что открытость платформы Android идет на пользу ее безопасности. За последние несколько лет мы существенно улучшили защиту Android благодаря помощи энтузиастов и исследователей, и в 2017 году это также нам помогало!
Программы вознаграждений за обнаружение уязвимостей
Мы отметили растущий успех программы Android Security Rewards (ASR) (программа вознаграждений за обнаружение уязвимостей в ОС Android), в рамках которой было выплачено 1,28 млн долларов США. Общая сумма выплат с момента запуска программы составила свыше 2 млн долларов США. В рамках программы ASR были увеличены максимальные выплаты за обнаружение уязвимостей, которые подвергали опасности TrustZone и Verified Boot, с 50 тыс. долларов до 200 тыс. долларов, а за обнаружение уязвимостей ядра с помощью удаленного доступа — с 30 тыс. долларов до 150 тыс. долларов.
Мы также представили программу Google Play Security Rewards, чтобы поощрить разработчиков, которые помогают найти пробелы и уязвимости в приложениях в Google Play.
Внешние соревнования по поиску уязвимостей
Наша команда также участвовала во внешних соревнованиях по поиску уязвимостей, например, в Mobile Pwn2Own. В 2017 году в ходе этого соревнования ни одна из вредоносных программ не смогла атаковать систему безопасности Google Pixel. Также ни одна из таких программ, использованных для тестирования устройств на базе Android, не могла нанести вред другим устройствам с установленным исходным кодом Android из проекта Android Open Source Project (AOSP).
Мы видим положительную динамику в работе систем безопасности Android и продолжим работу над ее совершенствованием. Мы никогда не остановимся. Все для того, чтобы нашим пользователям была гарантирована безопасность!