:

Szerző: Hlács Ferenc

2017. március 27. 09:30

Android: erősődő védelem, gyászos frissítések

Egyre biztonságosabb a Play Store, a Google gyártópartnereinek zöme viszont még mindig félvállról veszi az androidos biztonsági frissítéseket. A keresőóriás idén egyszerűbb patchelési folyamattal próbálkozik.

Tavaly is folytatta az androidos kártevők visszaszorítását a Google, a vállalat a mobilos rendszer több védvonalát is megerősítette, illetve a platformot érő sikeres támadások számát is csökkenteni tudta, legalábbis a Play Store-ból érkező fenyegetések terén - derül ki a vállalat frissen közzétett, a tavalyi évre vonatkozó androidos biztonsági jelentéséből. Ugyanakkor míg a vállalat a hazai pályán sikeresen rendet tett, a harmadik féltől származó alkalmazásboltokból számottevően több készülék fertőződött meg, mint a megelőző évben.

A frissítések helyzete még mindig nem rózsás

A Google a jelentésben fenyegetésnek tekint minden potenciálisan káros appot vagy PHA-t (Potentially Harmful App). A cég kiterjedt iparági együttműködésekkel próbálja minél inkább biztosítani a platform biztonságát, amelyekben a készülékgyártók mellett a biztonsági szakértők közösségével is szorosan együtt dolgozik. Ennek eredményei többek között a vállalat által 2015 óta kiadott havi biztonsági frissítések, amelyek elérését tavaly jelentősen sikerült növelni: 2016-ban több mint 200 gyártó, mintegy 735 millió eszközére jutott el a platformot célzó biztonsági frissítés.

Noha ez a szám rendkívül hangzatos, arra a vállalat blogposztjában már nem tér ki, hogy hány eszköz kap rendszeresen javításokat - a rendszeres patchek nélkül ugyanis a legfrissebb biztonsági résekkel szemben az eszközök továbbra is védtelenek maradnak. A havi rendszerességgel kiadott javítások pedig jelenlegi állás szerint legalábbis, sajnos messzire elkerülik az okostelefonok zömét, kiváltképp a belépő-, középkategóriában, ahol a gyártók egyszerűen nem foglalkoznak a már értékesített eszközök biztonságával.

Azt érdemes megjegyezni, hogy a Google ernyője kizárólag azokra az androidos eszközökre terjed ki, amelyek a cég ökoszisztémáját használják, a szabad szoftveres Android (AOSP) forkolásával készített termékek, mint a kínai belpiacos modellek vagy épp az Amazon androidos eszközei ebbe egyáltalán nem tartoznak bele.

A Google persze a házon belül felügyelt eszközökre minden hónapban eljuttatja az aktuális javításokat (így a Nexus, Pixel és egyes Android One eszközökre), amelyeket a gyártók számára is elérhetővé tesz. Ahogy a cég fogalmaz, az év során a 4.4.4-es vagy annál újabb Android verzióhoz adott ki havi patcheket, ezen szoftverváltozatok valamelyike pedig a világszerte aktív androidos eszközök 86,3 százalékán fut. Ez persze távolról sem jelenti, hogy a készülékek nagy része meg is kapta ezeket a havi frissítéseket, mindössze annyit, hogy a gyártók számára elérhetők voltak a patchek.

A Gitlab mint DevSecOps platform (x)

Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

Arról, hogy pontosan milyen gyakorisággal foltozta 2016-ban készülékeit a fentebb említett több mint kétszáz gyártó, a blogposzt mélyen hallgat - nem is beszélve a szolgáltatófüggő eszközökről, ahol egy-egy frissítésnek plusz egy szereplőn is át kell mennie. Annyi mindenesetre még tudható, hogy a Google szolgáltató- és hardverpartnerei 2016 utolsó negyedében világszerte a "top 50 készülék több mint felére" eljuttattak valamilyen frissítést - hogy ezek a frissítések maguk mennyire voltak frissek, továbbra is rejtély. Szerencsére azért nem teljesen példátlan a naprakész frissítéssel érkező készülék sem, csúcsmodelljein az LG a Samsung és a OnePlus is vállalja, hogy a Google által felügyelt készülékekkel egy napon adja ki az aktuális patcheket.

Egyre tisztább Play Store

Az mindenesetre biztos, hogy a keresőóriás a Play Store-ból egyre hatékonyabban ebrudalja ki a PHA-kat: a cég gépi tanulásra és statisztikai analízisre építő védelmének hála a 2015-ös értékekhez képest 51,5 százalékkal kevesebb trójai települt az alkalmazásboltból, ez az összes telepítés 0,016 százalékát jelenti. A kártékony tartalmakat utólag letöltő szoftverek is 54,6 százalékkal kevesebbszer kerültek fel a telefonokra, ezek a telepítések 0,003 százalékáért feleltek tavaly. Ugyanekkora szeletet kanyarított magának a különböző biztonsági réseket, backdoorokat telepítő appok száma, ez 30,5 százalékos csökkenést jelent 2015-höz viszonyítva. A cég a phishing appok sorait is meg tudta ritkítani, azok az összes telepítés 0,0018 százalékát tették ki, ami derekas, 73,4 százalékos javulás az egy évvel korábbi eredményekhez képest.

A vállalat elemezése szerint továbbá 2016 végére harmadára csökkent a PHA-val fertőzött eszközök száma az alkalmazásboltként kizárólag Play Store-t használó készülékek körében. Ezzel utóbbiak jelenleg 0,05 százalékát teszik ki az összes androidos eszköznek. Mindehhez a külső fejlesztők is hozzájárultak, akik a cég SafetyNet API-jaival kínált biztonsági funkciókat is igénybe vették alkalmazásaikhoz. A fejlesztők figyelmét a cég a Play biztonsági újításaira tavaly 18 kampánnyal igyekezett felhívni, amelynek eredményeképp több mint 275 ezer alkalmazásban eszközöltek biztonsági fejlesztéseket. A kampányok mellett a bugbounty programok is jó motivációk a biztonsági rések kiszűrésére, a beküldött sebezhetőségekért tavaly a vállalat összesen közel egymillió dollárt osztott ki.

A Play Store-on kívülről érkező fenyegetésekkel szemben ugyanakkor a Google már kevésbé hatékony, a harmadik féltől származó alkalmazásboltokból vagy egyéb forrásból érkező fertőzések száma 2016-ban jelentősen megnőtt az előző évhez viszonyítva, a 2015-ben mért 0,5 százalékról 0,71-re hízott tavaly. A cég várakozásai szerint ezt idén képes lesz jelentősen visszaszorítani, és megvédeni a felhasználókat, bárhonnan is szerezzék be alkalmazásaikat - hogy ezt az ígéretet sikerül-e beváltani, persze csak jövő ilyenkor derül majd ki.

Az androidos biztonság hiányosságait a javuló tendenciákkal együtt a Google is belátja, főként a biztonsági frissítések gyászos helyzetét. A cég tervei szerint a frissítési programot gördülékenyebbé teszi majd, hogy egyszerűbb legyen azt a gyártóknak saját eszközeikre is eljuttatni, a felhasználók dolgát pedig A/B frissítési rendszerrel könnyíti majd meg, amely gondoskodik róla, hogy az OTA frissítés alatt végig megmarad egy bootolásra képes működő rendszer is a készüléken, így kiküszöbölve az esetleges frissítési hiba miatt elromló, "brickelődő" eszközöket.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek. November 8-ig early bird kedvezménnyel!

a címlapról