Google рассказала, как защищает Android от взломов

Google рассказала, как защищает Android от взломов

12.02.2021      18832

Google опубликовала информацию о том, как компания пытается улучшить безопасность Android, и какие шаги предпринимаются для борьбы с распространенными угрозами. Отчеты об уязвимостях играют в этом значительную роль.

Отчеты об уязвимостях

Чтобы защитить мобильную операционную систему Android, Google использует многосторонний подход: ежемесячные обновления системы безопасности для исправления уязвимостей, обнаруженных в рамках программы вознаграждений за уязвимости (VRP), а также меры по усилению защиты от скрытых уязвимостей.

Все уязвимости, представленные через VRP, анализируются инженерами компании, чтобы определить основную причину каждой уязвимости и ее общую серьезность. Google также полагается на внутренние и внешние отчеты об ошибках для выявления уязвимых компонентов и методов кодирования, которые обычно приводят к ошибкам.

Однако, исследователи безопасности часто изучают те области, где другие уже обнаружили уязвимости. По этой причине внутренние Red Teams в Google анализируют менее изученные или более сложные части Android.

Кроме того, непрерывные автоматизированные фаззеры масштабно работают как на виртуальных машинах Android, так и на физических устройствах. Это дает гарантию обнаружить и исправить ошибки на ранних этапах жизненного цикла разработки. Уязвимости, обнаруженные таким образом, также анализируются на предмет первопричины и серьезности.

Ошибки памяти

Из критических уязвимостей высокой степени серьезности, исправленных в бюллетенях по безопасности Android в 2019 году, на ошибки памяти приходилось 59% всех уязвимостей. За ними следовали ошибки обхода разрешений – 21%.

Типы критических уязвимостей и уязвимостей высокой степени опасности, исправленных в бюллетенях по безопасности Android в 2019 году

Чтобы предотвратить ошибки памяти в будущем, Google поощряет разработчиков переходить на безопасные для памяти языки программирования, такие как Java, Kotlin и Rust.

Проблемы с памятью обычно являются высшей категорией недостатков безопасности на таких платформах, как Java, Windows 10 и Chrome. В прошлом году инженеры Google заявили, что 70% ошибок Chrome связаны с безопасностью памяти. До этого инженеры Microsoft заявляли, что 70% всех ошибок были проблемами памяти или программного обеспечения.

 

 

Команда безопасности Android предоставила дополнительную информацию о том, как работает переход на безопасные для памяти языки, отметив: «C и C++ не обеспечивают безопасность памяти в отличие от языков вроде Java, Kotlin и Rust. Учитывая, что большинство уязвимостей, о которых сообщается в Android, относятся к проблемам с безопасностью памяти, применяется двусторонний подход: повышение безопасности C/C ++, а также поощрение использования языков, безопасных для памяти».

Решения

По словам Google, ее усилия по укреплению инфраструктуры медиа-сервера в Android привели к тому, что в 2020 году компания не получила ни одного отчета об удаленно используемых критических уязвимостях в медиа-фреймворках Android.

Google также рассказала о компромиссах, связанных с безопасностью и производительностью, на которые идут инженеры в процессе выбора дополнительных мер защиты для Android. Выбор усложняется тем, что Android должен поддерживать большой спектр устройств от разных производителей.

Помимо безопасных для памяти языков, к средствам защиты в Android относят песочницу, рандомизацию адресного пространства (ASLR), целостность потока управления (CFI), Stack Canaries и тегирование памяти.

«Добавление больших накладных расходов к некоторым компонентам или всей системе может негативно повлиять на взаимодействие с пользователем, сократив время автономной работы и сделав устройство менее отзывчивым. Это особенно верно для устройств начального уровня, которые также должны получить выгоду от усиления защиты. Поэтому мы хотим уделить первостепенное внимание инженерным усилиям по эффективному снижению рисков с приемлемыми накладными расходами», – отмечает Google.

Напомним, что Google работает над новой мобильной операционной системой для повышения безопасности использования устройств.


Источник: https://infostart.ru/journal/news/tekhnologii/google-rasskazala-kak-zashchishchaet-android-ot-vzlomov_1383556/
Автор:
Сергей Кравченко Обозреватель


В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
В этой теме еще нет сообщений.
Оставьте свое сообщение

См. также

В Google Play добавили новый раздел для разработчиков

Новость Android Google ИТ-новость Мобильные приложения Новости компаний

В мае Google объявил о новом требовании для Android-приложений, которые будут публиковаться в официальном магазине. Теперь для этого в Google Play Console появился соответствующий раздел Data safety (безопасность данных).

вчера в 15:41    2968    user1015646    1       

Новости Windows 11: первое обновление и свежие параметры безопасности

Новость Windows Безопасность ИТ-новость

Компания Microsoft представила первое обновление свежей операционной системы. Кроме того, официально опубликовали финальную версию базовых параметров безопасности для установки Windows 11.

вчера в 13:16    1828    user1015646    3       

Google Chrome больше не сможет использовать протокол FTP

Новость Google Безопасность Интернет ИТ-новость

Разработчики браузерного движка Chromium к релизу Chrome 95 полностью отключили поддержку устаревшего протокола передачи файлов FTP. Другие браузеры отказались от него еще раньше.

вчера в 11:41    1248    VKuser24342747    0       

Microsoft начала тестировать запуск Android-приложений в Windows 11

Новость Windows Android ИТ-новость Мобильные приложения Новости компаний

Microsoft разрешила участникам предварительного тестирования Windows 11 устанавливать приложения для Android через Windows Store. Пока доступен только ограниченный набор программ.

26.10.2021    1042    VKuser24342747    0       

«Яндекс» разработал протокол для ускорения работы поисковых систем

Новость Интернет Искусственный интеллект ИТ-новость Яндекс

«Яндекс» совместно с Microsoft создали протокол IndexNow, который позволяет сайтам оповещать поисковые системы об изменениях. Технология поддерживается только в Bing и в поиске «Яндекса».

26.10.2021    1459    VKuser24342747    0       

Microsoft представила веб-версию редактора кода VS Code

Новость ИТ-новость Новости компаний Облачные технологии

Microsoft выпустила браузерный вариант приложения VS Code, который позволяет писать код онлайн. Для работы программы не потребуется установка дополнительных расширений.

25.10.2021    12023    VKuser24342747    6       

«Ростелеком» запустит облако на процессорах «Эльбрус»

Новость Импортозамещение ИТ-новость Микроэлектроника Новости компаний Облачные технологии

«Ростелеком» создаст облачную платформу на «Эльбрусах» для государственных предприятий и бизнеса. Организации смогут получить частное облако, работающее на полностью российских технологиях.

25.10.2021    3650    VKuser24342747    0       

GitLab вышел на биржу с капитализацией 11 млрд долларов США

Новость git ИТ-новость Новости компаний

Компания GitLab, которая разработала одноименную систему управления git-репозиториями, провела первичное размещение акций (IPO) на бирже Nasdaq. Капитализация разработчика достигла 11 млрд долларов США.

22.10.2021    1726    user1015646    1       

В России создали лицензию для свободного ПО

Новость Импортозамещение ИТ-новость Минкомсвязь

Специалисты Минцифры разработали государственную открытую лицензию для программного обеспечения. Официальной презентации документа не проводили – текст документа обнаружили в Git-репозитории.

21.10.2021    2117    user1015646    1       

Депутаты Госдумы предложили Google и YouTube обсудить исполнение российских законов

Новость Google Законодательство ИТ-новость Новости компаний

Депутаты Госдумы пригласили Google и YouTube 25 октября в формате видеоконференции обсудить соблюдение российского законодательства. ИТ-компании приняли предложение.

19.10.2021    2552    VKuser24342747    9       

Разработчик создал язык Ć для написания кода на С, Python и JavaScript одновременно

Новость ИТ-новость Языки программирования

Разработчик из Польши Петр Фусик представил язык программирования Ć. Главная особенность технологии – возможность транслировать написанный код на С, С++, Java, Python и другие языки.

19.10.2021    13178    VKuser24342747    3       

Microsoft добавила подсистему Windows для Linux в Microsoft Store

Новость Windows ИТ-новость Новости компаний

Пользователям Windows 11 стала доступна предварительная версия подсистемы Windows для Linux (WSL). Ее можно установить из Microsoft Store.

18.10.2021    7946    SKravchenko    5       

Python вытеснил C с первого места в рейтинге языков программирования за октябрь

Новость ИТ-новость Рейтинг Языки программирования

Python впервые за 20 лет сумел обогнать Java и C по популярности и занять первую строчку в рейтинге TIOBE. Автор языка программирования Гвидо ван Россум поблагодарил сообщество за поддержку.

18.10.2021    5328    VKuser24342747    4       

Google сказал «SOS»: интернет-гигант поддержит новую программу вознаграждений

Новость Google ИТ-новость

Компания Google объявила о поддержке пилотной программы вознаграждений за поиск уязвимостей в софте с открытым исходным кодом. Ее назвали SOS (Secure Open Source, безопасное открытое ПО).

15.10.2021    2739    user1015646    0       

Samsung по ошибке предложил британцам предустановить российское ПО

Новость Импортозамещение ИТ-новость Мобильные приложения Новости компаний

Samsung в описании обновления для пользователей из Великобритании упомянула о том, что на устройства будут предустановлены российские мобильные приложения. Позже компания признала сообщение техническим сбоем.

14.10.2021    3337    VKuser24342747    2       

PostgreSQL 14: встречаем новую версию популярной СУБД с открытым кодом

Новость PostgreSQL ИТ-новость

Разработчики представили крупное обновление СУБД PostgreSQL. В свежей 14-й версии упростили доступ к информации в JSON-формате и добавили поддержку несмежных диапазонов, улучшили производительность и работу с распределенными данными.

13.10.2021    3670    user1015646    1       

Новые возможности Microsoft Office 2021

Новость ИТ-новость Новости компаний

5 октября Microsoft выпустила новую версию офисного пакета приложений Office 2021. Он предназначен для предприятий и пользователей, которые не хотят покупать Office 365, доступный только по подписке.

12.10.2021    16436    SKravchenko    0       

МГУ представил первый национальный стандарт для ИИ и больших данных

Новость Искусственный интеллект ИТ-новость

Национальный центр цифровой экономики МГУ подготовил к публичному обсуждению первую редакцию отечественного стандарта для работы с большими данными и нейросетями.

12.10.2021    4785    VKuser24342747    1       

Минцифры намерено встроить электронную подпись в SIM-карту

Новость ИТ-новость Минкомсвязь Цифровая подпись

Минцифры совместно с ФСБ, провайдерами и научными организациями разрабатывают технологию, которая позволит использовать электронную подпись при помощи стандартной SIM-карты.

11.10.2021    8722    VKuser24342747    2       

Крупнейшие российские ИТ-разработчики объединятся для развития Open Source

Новость Импортозамещение ИТ-новость Цифровая экономика

В Москве прошел форум Russia Open Source Summit. На нем лидеры российской ИТ-отрасли презентовали стратегию развития Open Source до 2024 года и анонсировали создание некоммерческой организации Russian Open Source Foundation.

11.10.2021    11083    ЕленаЧерепнева    2       

Язык программирования Python получил масштабное обновление

Новость ИТ-новость Языки программирования

В официальном блоге Python представлена последняя стабильная версия языка под номером 3.10.0. Из новинок – улучшенное отображение ошибок, поддержка структурного сопоставления и более строгого итерирования.

08.10.2021    14326    VKuser24342747    8       

Microsoft официально выпустила релизную версию Windows 11

Новость Windows ИТ-новость Новости компаний

Бесплатное обновление Windows 10 до одиннадцатой версии доступно для всех владельцев системы. Главные изменения – повышенная безопасность и улучшение дизайна.

07.10.2021    5476    VKuser24342747    7       

Крупное обновление для Ubuntu стало доступно для бета-тестирования

Новость Ubuntu ИТ-новость

Разработчики представили бета-версию Ubuntu 21.10 под названием Impish Indri. Последний раз операционная система получала крупный апдейт весной 2021 года.

05.10.2021    17021    VKuser24342747    4       

Привет, Java 17: что нового

Новость ИТ-новость Языки программирования

Вышла новая версия Java 17. Три ключевых изменения: использование только строгой семантики чисел с плавающей точкой, единый API (прикладной программный интерфейс) для генераторов псевдослучайных чисел и отдельный API сторонних функций и памяти.

04.10.2021    10143    user1015646    0       

Исследователи нашли способ передавать данные через полое оптоволокно

Новость Интернет ИТ-новость Телекоммуникации

Британская компания BT заявила о создании пустотелого оптического волокна, заполненного воздухом. Технология может применяться для передачи данных, в том числе использующих квантовое шифрование.

04.10.2021    9581    VKuser24342747    2