Google часто критикуют за то, что обновления для опасных уязвимостей Android появляются недостаточно быстро. Весь последний год компания пыталась исправить этот недочет. Google плотно сотрудничал с производителями и дистрибьюторами смартфонов, пытаясь сделать доставку обновлений как можно более быстрой. Определенного успеха компания все же добилась. Обновления получили около 735 млн устройств от более чем 200 производителей. Но это - всего лишь половина существующих в мире Android-гаджетов.
На прошлой неделе Адриан Людвиг и Мелинда Миллер, ведущие эксперты по безопасности Android, опубликовали ежегодный отчет по состоянию операционной системы. «Нам все еще нужно многое сделать для защиты пользователей Android: по состоянию на конец 2016 года примерно половина используемых Android-устройство не получила важных обновлений безопасности за прошедший год», - пишут Людвиг и Миллер.
Сила и слабость Android
Когда производители смартфонов обнаруживают слабые места в своих продуктах, будь то при помощи независимых экспертов или благодаря внутренним проверкам, они стараются как можно быстрее залатать дыру, прежде чем ее начнут использовать злоумышленники.
Увы, в экосистеме Android все происходит намного сложнее. То же, что делает эту операционную систему самой успешной и популярной, является основной причиной ее слабости и уязвимости. Дело в том, что сотни производителей используют не чистую версию Android, а вносят в него свои изменения, создавая свои уникальные оболочки. И именно производитель смартфона отвечает за регулярные программные обновления, включая и те, которые затрагивают базовые компоненты Android. Таким образом, производитель сперва получает обновление от Google, а затем распространяет его среди своих пользователей. Увы, это происходит далеко не так быстро, как хотелось бы.
На данный момент из всех Android-смартфонов в мире только Pixel и Nexus, произведенные непосредственно Google, получают прямые обновления прямо от компании. Таким образом, эти гаджеты можно считать самыми безопасными из всех. Но большинство сторонних производителей затягивают выход обновления на многие месяцы. Все это время общеизвестные дыры остаются ничем не защищенными.
Решение проблемы
Адриан Людвиг утверждает, что за прошедший год Google добился серьезных успехов в скорости выхода обновлений. По его словам, в 2015 году сторонние производители выкатывали обновления безопасности в течение шести-девяти недель после того, как заплатку выпускал Google. Сегодня задержка составляет несколько дней. Тем не менее, это еще не предел совершенства.
Скорость обновлений Android-устройств возросла с 6-9 недель до нескольких дней
Во-первых, Google изменил подход к производителям смартфонов. Раньше компания давила на производителей, убеждая их, насколько важны те или иные обновления. Но сегодня скорость выхода обновлений безопасности позиционируется как конкурентное преимущество. На рынке присутствуют сотни производителей смартфонов и планшетов. Очевидно, что пользователи будут отдавать предпочтение тем, которые выкатывают обновления быстрее других. Таким образом, безопасность становится вопросом престижа.
Во-вторых, сам Google пытается упрощать задачу для производителей. По словам Людвига, выкатывать частые, но мелкие обновления у них получается гораздо быстрее, чем редкие, но объемные. Учитывая это, сегодня эксперты Google стараются как можно сильнее снижать вес новых заплаток.
Безопасность приложений
Помимо частоты обновлений, Google пытается бороться за чистоту приложений. Контент в магазине Google Play проходит обязательные проверки. Приложения проверяются не только при поступлении в магазин, но и непосредственно при установке пользователем. Сегодня ежедневно автоматика Google Play осуществляет 750 млн проверок. В 2015 году их количество составляло 450 млн.
Усиленные меры безопасности влекут ощутимые результаты. Сегодня лишь при 0,016% установок проверка обнаруживает трояны. Это на 51,5% меньше, чем в 2015. Количество установок вредоносных загрузчиков составляет 0,003% от общего числа. Это на 54,6% меньше прошлогодних показателей. Количество установок фишинговых приложений и вовсе сведено к минимуму - 0,0018% от общего числа, что на 73,4% меньше показателей 2015.
Между тем, количество установок приложений, которые система определяет как потенциально опасные (Potentially Harmful Application) возросло. Сегодня такие приложения установлены на 0,71% Android-устройств, в то время как два года назад, в начале 2015, этот показатель составлял 0,5%. Людвиг и Миллер утверждают, что весь 2016 год команда безопасности Android работала над созданием более совершенного фильтра, так что потенциально опасных приложений вскоре должно стать меньше.
Напомним, ранее ресурс WikiLeaks опубликовал документы, согласно которым ЦРУ преднамеренно разрабатывает уязвимости Android и не сообщает производителям о найденных дырах, чтобы использовать их в собственных целях. Таким образом, в вопросах безопасности разработчикам не приходится полагаться ни на какие спецслужбы.