فيديو: من زينو نهار اليوم ØµØ Ø¹ÙŠØ¯ÙƒÙ… انشر الÙيديو Øتى يراه كل Ø§Ù„Ø (شهر نوفمبر 2024)
في مؤتمر RSA ، قدم أدريان لودفيج ، المهندس الرئيسي لشركة Google للأمن في نظام أندرويد ، فلسفة الشركة لتأمين نظامها المحمول. إنها طريقة Google المعتادة التي تعتمد على جمع البيانات وخدمات البناء. ولكن في الوقت نفسه يبدو أنه يطير في مواجهة الأمن المحمول التقليدية.
الأمن الخفي
عدة مرات خلال الحديث ، عاد لودفيغ إلى فكرة الأمن خفية. وقال: "الأمن الفعال وغير المرئي يثير الهدوء". كان الهدف هو السماح للمستخدم بالتفاعل مع هواتفهم أو أجهزةهم اللوحية أو أي شيء كان يعمل بنظام أندرويد دون مشاكل أمنية. وقال لودفيج: "عدم الإطراء على الأمن لا يعني أنه غير موجود". "هذا يعني أنها تعمل".
وقال إن هذا النهج يختلف اختلافًا ملحوظًا عن النهج الذي تتبعه صناعة الأمن ككل ، والذي يعتمد اعتمادًا كبيرًا على "المسرح الأمني". وهذا يعني بالنسبة له التطبيقات التي تعلن بصوت عال عن مقدار حمايتها لك. وقال لودفيج في بيان صريح بشكل مدهش في مؤتمر يلبي احتياجات شركات الأمن: "معظم الأمان هو في نهاية المطاف بيع المزيد من الأمن لك".
أذونات كانت الاستثناء الملحوظ. وقال: "إنه المكان الوحيد الذي نتحدث فيه بصراحة حول الأمان للمستخدم". وهي تحدد ما يمكن لأحد التطبيقات الوصول إليه ولا يمكنه الوصول إليه ، وقد شجعنا القراء على النظر إليهم بعناية لاتخاذ قرارات جيدة بشأن ما يقومون بتنزيله. قال لودفيج إن هذا لم يكن النية حقًا. وأضاف بقلق "هل اعتقدنا أن الناس سوف يتخذون قرارات ذكية في كل مرة؟ تذكر ، نرى ما يبحث عنه الناس كل يوم". ومضى يقول إن الأذونات ليست متوفرة للمستخدمين ، ولكن لمساعدة المطورين على اتخاذ قرارات جيدة "في معظم الأوقات".
يتلاءم هذا مع عبارات Ludwig المفاجئة الأخرى: أنه لا يرى أندرويد كنظام تشغيل ، بل هو منصة تطوير. وقال: "كان [Android] مجموعة من واجهات برمجة التطبيقات (APIs) التي تهدف إلى إنشاء تطبيقات قوية". "نحن نقدم الخدمات في شكل تطبيقات."
ما تقدمه جوجل
بينما قضى Ludwig بعض الوقت في مناقشة كيفية جعل الأسس التي يقوم عليها نظام Android تجعل النظام آمنًا - بما في ذلك شكر وكالة الأمن القومي على SC Linux - فقد تطرق أيضًا إلى خدمات Google الأكثر وضوحًا. على سبيل المثال ، ادعى أن جهود الكشف عن البرامج الضارة من Google على Google Play تتجاوز جهود صناعة AV بأكملها. رغم أنه اعترف أنه لم يكن معصومًا.
بالإضافة إلى أداة أخرى واضحة مثل Android Device Manager ، أشار Ludwig إلى خدمة Google Apps التي تم التحقق منها ، والتي توفر بعض الحماية للمستخدمين الذين يقومون بتثبيت التطبيقات من خارج متجر Play. وقال لودفيج: "من المحتمل أن يكون الهاتف موجودًا على هاتفك ولا تعرفه ، لأن هذه هي الطريقة التي نسير بها".
هناك أيضًا Android Safety Net ، الذي قال لودفيج إنه يوفر الحماية في الوقت الفعلي للأجهزة نفسها. يبحث هذا عن انتهاكات محتملة ، مثل الطلب المتكرر لإرسال رسائل SMS متميزة - وهو تكتيك شائع يستخدم في تسييل التطبيقات الضارة.
وقال لودفيج: "علي أن أخمن أن هذا هو أكبر انتشار لأجهزة الأمن في العالم".
التنوع والانفتاح جيد
يُعرف Android باسم النظام الأساسي المفتوح ، وقال لودفيج إن هذا النهج قد وفر بيانات لا تقدر بثمن عن الجهات الفاعلة الجيدة والممثلين السيئين والسلوك العادي على الأجهزة المحمولة. "كلما أصبح العالم أكثر تفاعلًا وهناك المزيد من البيانات تتدفق ذهابًا وإيابًا ، يتحسن الأمن فعليًا." يعتقد لودفيج أن هذا يختلف اختلافًا كبيرًا عن الاستراتيجيات الأمنية المعمول بها ، والتي قال إنها تعتمد على العزلة.
لقد كان الانفتاح يعني أندرويد مجزأ ، لكن يبدو أن لودفيج يشير إلى أن هذا التنوع كان شيئًا جيدًا. يعني التنوع الهائل لأجهزة وبرامج Android أنه من الصعب التأثير على جميع الأجهزة. وقال "سيد ذهبي واحد مع وجود خطأ يؤثر على مئات الملايين من المستخدمين". "لا يوجد سيد ذهبي واحد [لنظام Android] ، كل جهاز مبني من مصدر مختلف."
إن الانفتاح قد أعطى شركات الأمن مكانًا على نظام Android. وقال: "لم نمنعهم من العمل على منصتنا" ، مما لا شك فيه أنهم قاموا بتفكير شركة أبل. بدلاً من ذلك ، قال لودفيج إن جوجل ترحب بشركات الأمن في أندرويد واستفادت من عملها.
الانفتاح يسهل البحث الأكاديمي في مجال الأمن المتنامي المتزايد. وقال لودفيج: "أمن الهاتف هو تعبير ملطف لأمن Android". "جميع الأوراق تدور حول أمن Android لأنه المكان الوحيد الذي يستطيع فيه الباحثون الوصول إلى الهاتف المحمول."
إنه يعمل؟
لإثبات فعالية نهج Google للأمان ، مر لودفيغ بخط زمني لاستغلال برنامج Masterkey ، والذي سيتذكره قراء SecurityWatch بعناية من الصيف الماضي. وقال إن Google استطاعت أن تحدد بسرعة أنه لم يكن هناك مثل هذه الاستغلالات في متجر Play عندما أبلغوا بوجودها. ما هو أكثر من ذلك ، بعد أن قام باحثو Bluebox الذين اكتشفوا الاستغلال بنشر بياناتهم علنًا ، يبدو أن Google لم تتتبع سوى ثماني محاولات لكل مليون عملية تثبيت.
كان لدى لودفيج وجهة نظر مماثلة حول البرمجيات الخبيثة التي تعمل بنظام أندرويد ككل ، والتي تم الإبلاغ عنها على نطاق واسع في ازدياد. وعزا ذلك أكثر إلى الانتشار السريع لأجهزة Android ، وأظهرت البيانات التي قدمها مثيلًا صغيرًا نسبيًا من البرامج الضارة على الكون الهائل لأجهزة Android. "تحصل على عناوين لا تصدق مع عدم تأثر أحد".
يجب القول إن Google قامت حتى الآن بعمل رائع في إدارة أمان Android - خاصة بالنظر إلى كيفية اقتحام الهواتف الذكية للمشهد وهيمنت على الحوسبة الحديثة. ومع ذلك ، لا تزال هناك مشكلات خطيرة يجب معالجتها للمضي قدمًا ، مثل التطبيقات المتسرب منها وتأمين البيانات الشخصية.
من وجهة نظر Google ، يتمتع نظام Android بموازنة الأمان مع النعمة. قد يكون الحفاظ على هذا التوازن هو كيفية تقييم Android عند نضوجه.