Google рассказала, как защищает Android от взломов
Безопасность - штука очень условная, особенно, если попытаться примерить ее на операционную систему. Вот взять хотя бы Windows. Несмотря на то что Microsoft явно заинтересована в том, чтобы платформа была безопасной, высокая популярность делает ее востребованной среди вирусописателей и хакеров разных мастей. Похожая ситуация наблюдается и с Android, которая стала жертвой собственной известности, чем спровоцировала множественные вредоносные атаки на своих пользователей. Но Google считает, что достаточно эффективно справляется с обеспечением безопасности своей ОС.
Google непрерывно совершенствует Android, делая операционку более безопасной, а чтобы лучше понимать, в каком направлении развиваться, ведет строгий учет уязвимостей, которые эксплуатируют хакеры и злоумышленники. Это позволяет выстроить долгосрочную стратегию развития защитных механизмов.
Главная проблема Android
Больше всего уязвимостей Android связаны с проблемами памяти
Большая часть уязвимостей, которые обнаруживаются в Android, связана с проблемами памяти. В прошедшем году их удалось насчитать около 59% от общей массы. Несмотря на то что это довольно много, память - слабое место почти всех программных платформ, в том числе десктопных.
Однако недостаточно просто исправлять уязвимости по мере их обнаружения, а потом отчитываться о проведенной работе по улучшению ОС. Поэтому в Google борются с проблемой сразу на нескольких фронтах. Основной - это стимулирование разработчиков переходить на безопасные для памяти языки программирования, такие как Java, Kotlin и Rust.
C и C++ не обеспечивают защиту памяти так же эффективно, как это делают языки вроде Java, Kotlin и Rust. Учитывая, что большинство уязвимостей, которые обнаруживаются в Android, связаны именно с защитой памяти, мы применяем двусторонний подход к обеспечению безопасности: совершенствование C и C++, а также поощрение использования языков программирования, безопасных для памяти, - говорит Google.
Обновления безопасности Android
Однако очень важно работать в режиме многозадачности, когда речь заходит о безопасности операционной системы, считают в Google. Дело в том, что разработчики должны уметь быстро переключать свое внимание с одной проблемы на другую. Во многом благодаря этому они повысили защищенность медиа-платформ Android, где за прошедший год Google не получила ни одного сообщения от исследователей об обнаружении уязвимостей.
Звучит здорово, но только, если учесть, что для устранения всех уязвимостей, которые приходится исправлять Google, владельцам уязвимых смартфонов хорошо бы устанавливать обновления безопасности. Тут к поисковому гиганту не может быть претензий - разработчики компании исправно выпускают патчи с исправлениями багов и брешей. Другое дело - производители, которые в большинстве своем просто игнорируют этот аспект, не торопясь адаптировать апдейты на ежемесячной основе.
В результате мы имеем ситуацию, в которой один в поле не воин. Несмотря на то что Google действительно старается сделать все, чтобы повысить безопасность Android, эти действия практически не находят отклика у производителей. Все, что они делают, - это в лучшем случае выпускают адаптированные версии обновлений раз в 3-6 месяцев, а тех же, кто делает это на постоянной основе, можно пересчитать по пальцам одной руки.
Google не может обязать производителей адаптировать обновления безопасности и устанавливать сроки программной поддержки. В конце концов, каждое устройство уникально и не похоже на другое, несмотря на вроде идентичную аппаратную начинку. Но это благородство, в которое играет Google, боясь установить строгие правила для производителей, в конечном итоге выходит боком пользователям и обесценивает и ее усилия по совершенствованию Android, и саму операционную систему.