Google рассказала, как защищает Android от взломов

Google рассказала, как защищает Android от взломов

12.02.2021      20681

Google опубликовала информацию о том, как компания пытается улучшить безопасность Android, и какие шаги предпринимаются для борьбы с распространенными угрозами. Отчеты об уязвимостях играют в этом значительную роль.

Отчеты об уязвимостях

Чтобы защитить мобильную операционную систему Android, Google использует многосторонний подход: ежемесячные обновления системы безопасности для исправления уязвимостей, обнаруженных в рамках программы вознаграждений за уязвимости (VRP), а также меры по усилению защиты от скрытых уязвимостей.

Все уязвимости, представленные через VRP, анализируются инженерами компании, чтобы определить основную причину каждой уязвимости и ее общую серьезность. Google также полагается на внутренние и внешние отчеты об ошибках для выявления уязвимых компонентов и методов кодирования, которые обычно приводят к ошибкам.

Однако, исследователи безопасности часто изучают те области, где другие уже обнаружили уязвимости. По этой причине внутренние Red Teams в Google анализируют менее изученные или более сложные части Android.

Кроме того, непрерывные автоматизированные фаззеры масштабно работают как на виртуальных машинах Android, так и на физических устройствах. Это дает гарантию обнаружить и исправить ошибки на ранних этапах жизненного цикла разработки. Уязвимости, обнаруженные таким образом, также анализируются на предмет первопричины и серьезности.

Ошибки памяти

Из критических уязвимостей высокой степени серьезности, исправленных в бюллетенях по безопасности Android в 2019 году, на ошибки памяти приходилось 59% всех уязвимостей. За ними следовали ошибки обхода разрешений – 21%.

Типы критических уязвимостей и уязвимостей высокой степени опасности, исправленных в бюллетенях по безопасности Android в 2019 году

Чтобы предотвратить ошибки памяти в будущем, Google поощряет разработчиков переходить на безопасные для памяти языки программирования, такие как Java, Kotlin и Rust.

Проблемы с памятью обычно являются высшей категорией недостатков безопасности на таких платформах, как Java, Windows 10 и Chrome. В прошлом году инженеры Google заявили, что 70% ошибок Chrome связаны с безопасностью памяти. До этого инженеры Microsoft заявляли, что 70% всех ошибок были проблемами памяти или программного обеспечения.

 

 

Команда безопасности Android предоставила дополнительную информацию о том, как работает переход на безопасные для памяти языки, отметив: «C и C++ не обеспечивают безопасность памяти в отличие от языков вроде Java, Kotlin и Rust. Учитывая, что большинство уязвимостей, о которых сообщается в Android, относятся к проблемам с безопасностью памяти, применяется двусторонний подход: повышение безопасности C/C ++, а также поощрение использования языков, безопасных для памяти».

Решения

По словам Google, ее усилия по укреплению инфраструктуры медиа-сервера в Android привели к тому, что в 2020 году компания не получила ни одного отчета об удаленно используемых критических уязвимостях в медиа-фреймворках Android.

Google также рассказала о компромиссах, связанных с безопасностью и производительностью, на которые идут инженеры в процессе выбора дополнительных мер защиты для Android. Выбор усложняется тем, что Android должен поддерживать большой спектр устройств от разных производителей.

Помимо безопасных для памяти языков, к средствам защиты в Android относят песочницу, рандомизацию адресного пространства (ASLR), целостность потока управления (CFI), Stack Canaries и тегирование памяти.

«Добавление больших накладных расходов к некоторым компонентам или всей системе может негативно повлиять на взаимодействие с пользователем, сократив время автономной работы и сделав устройство менее отзывчивым. Это особенно верно для устройств начального уровня, которые также должны получить выгоду от усиления защиты. Поэтому мы хотим уделить первостепенное внимание инженерным усилиям по эффективному снижению рисков с приемлемыми накладными расходами», – отмечает Google.

Напомним, что Google работает над новой мобильной операционной системой для повышения безопасности использования устройств.


Источник: https://infostart.ru/journal/news/tekhnologii/google-rasskazala-kak-zashchishchaet-android-ot-vzlomov_1383556/
Автор:
Сергей Кравченко Обозреватель


В избранное Подписаться на ответы Сортировка: Древо свернутое
В этой теме еще нет сообщений.
Оставьте свое сообщение

См. также

Лаборатория Касперского представила бесплатную ОС

Новость ОС Безопасность ИТ-новость Новости компаний

«Лаборатория Касперского» выпустила собственную операционную систему. На базе KasperskyOS можно создать решения, которые защищены от многих видов кибератак.

вчера в 17:27    4860    user1015646    0       

«Яндекс» представил сервис для сканирования документов

Новость ИТ-новость Новости компаний Яндекс

В приложениях «Яндекс.Почта» и «Яндекс.Диск» появился новый сервис «Сканер». Он при помощи искусственного интеллекта обрабатывает фотографию документа, улучшает ее качество и выдает в результате «отсканированный» файл.

вчера в 15:58    5635    VKuser24342747    0       

OpenAI открывает доступ к API GPT-3

Новость Искусственный интеллект ИТ-новость Новости компаний

Компания OpenAI предоставила доступ к API (прикладному программному интерфейсу) алгоритмов обработки естественного языка GPT-3. Это открывает новые возможности для экспериментов с умными системами, которые могут имитировать человеческие возможности – например, писать стихи или отвечать на вопросы.

29.11.2021    4409    user1015646    0       

Компания JetBrains представила легковесный редактор Fleet

Новость ИТ-новость Новости компаний

Разработчики нового продукта пообещали своим пользователям поддержку инструментов коллективной разработки, удаленный доступ к проектам, а также возможность трансформации редактора в полноценную IDE.

29.11.2021    4705    ЕленаЧерепнева    8       

Разработчики Astra Linux создали аналог Microsoft Active Directory

Новость Linux Безопасность Импортозамещение ИТ-новость Новости компаний

Группа компаний «Астра» представила службу ALD Pro, которая замещает в российской ОС Astra Linux решение Microsoft Active Directory. Поддержку этой функции от системы часто требуют госзаказчики.

29.11.2021    5462    VKuser24342747    1       

Специальный алгоритм очистит данные переписи населения

Новость Искусственный интеллект ИТ-новость

В России завершился первый этап Всероссийской переписи населения. Росстат будет в автоматическом режиме очищать собранные данные от продублированных записей при помощи российской BI-системы.

26.11.2021    5190    VKuser24342747    0       

В офисах Google появились универсальные роботы

Новость Автоматизация ИТ-новость Новости компаний

Офисы Google в Маунтин Вью, штат Калифорния, теперь станут гораздо чище. К уборке привлекли универсальных роботов, разработанных X Company, которая, как и поисковый гигант, входит в состав холдинга Alphabet.

25.11.2021    5042    user1015646    2       

Вышло крупное обновление для TypeScript с автодополнением кода

Новость ИТ-новость Языки программирования

Команда разработки TypeScript представила версию языка под номером 4.5. В ней улучшена производительность технологии, расширены возможности автодополнения и упрощено переподключение библиотек.

24.11.2021    7703    VKuser24342747    4       

GitHub назвал три ключевых тренда в разработке за 2021 год

Новость GitHub Аналитика ИТ-новость

GitHub провел традиционное ежегодное исследование Octoverse, чтобы определить основные направления развития ИТ-индустрии. В 2021 году актуальными стали вопросы быстрого написания кода и подготовки документации.

24.11.2021    7352    VKuser24342747    0       

Рособрнадзор прекратит использовать Windows при проведении ЕГЭ

Новость Импортозамещение ИТ-новость

Единый государственный экзамен к концу 2024 года будет проходить без использования ОС Windows во всех местах, где можно сдать тестирование. Вместо нее будет установлена российская система.

23.11.2021    5595    VKuser24342747    5       

Google выпустил версию браузера Chrome 96

Новость Интернет ИТ-новость Новости компаний

Новая актуальная версия Google Chrome 96 получила расширение инструментов для веб-разработчиков и экспериментальные функции в мобильной версии.

23.11.2021    4782    VKuser24342747    1       

Через Госуслуги компании подтвердили 13,3 млн корпоративных SIM-карт

Новость Безопасность ИТ-новость Телекоммуникации

Министерство цифрового развития сообщило, что компании соблюдают новые требования закона «О связи» и уже зарегистрировали на портале госуслуг 13,3 млн рабочих SIM-карт.

22.11.2021    6935    VKuser24342747    1       

Visual Studio 2022 и .NET 6: что нового

Новость ИТ-новость Новости компаний Языки программирования

Microsoft выпустила свежий релиз одной из самых популярных сред разработки. Вместе с Visual Studio 2022 представили обновленную платформу .NET 6.

22.11.2021    8274    user1015646    0       

Программист разработал поисковую систему без слежки за пользователями

Новость Безопасность Интернет ИТ-новость

Бывший разработчик из компании Salesforce Ричард Сокер открыл публичный доступ к своему поисковому сервису You. В нем нет никаких трекеров личных данных и рекламных материалов.

18.11.2021    5618    VKuser24342747    3       

«Сбер» обучил нейросеть ruGPT-3 генерировать программный код

Новость Искусственный интеллект ИТ-новость Новости компаний

Новая функция самой большой генеративной AI-модели для русского языка получила название JARVIS. Сейчас сервис способен работать с языками программирования Java, Python и JavaScript.

18.11.2021    5480    VKuser24342747    2       

Университет Иннополис создал уникальный российский индустриальный блокчейн

Новость Блокчейн ИТ-новость

В России разработан блокчейн InnoChain, который предназначен для использования в закрытых сетях. С его помощью можно подписывать договоры и планировать объемы продаж.

17.11.2021    6270    VKuser24342747    0       

В Dropbox появились «автоматизированные папки» и новая система тегов

Новость ИТ-новость Облачные технологии

Dropbox добавил в свой облачный сервис функции, которые позволят автоматизировать работу с общими папками и файлами. К ним относятся автоматизированные папки, автоматизированная панель инструментов, соглашения об именах и многофайловая организация.

17.11.2021    5591    SKravchenko    1       

Microsoft выпустит платформу Defender for Business

Новость ИТ-новость Новости компаний

Microsoft Defender for Business станет частью комплексного решения Microsoft 365 Business Premium, которое объединяет Microsoft Teams и Office 365 с основными инструментами безопасности для малого и среднего бизнеса.

16.11.2021    3541    SKravchenko    0       

Adobe Photoshop и Illustrator стали доступны онлайн

Новость

У популярных графических редакторов появились веб-версии. Они позволяют редактировать фото, не устанавливая требовательные к ресурсам приложения на компьютер или смартфон, и включают достаточно широкий набор инструментов.

11.11.2021    4815    user1015646    0       

Что нового в SQL Server 2022

Новость СУБД MS SQL ИТ-новость Новости компаний

Microsoft на ежегодной конференции Microsoft Ignite анонсировала предварительную версию SQL Server 2022 – теперь СУБД включает интеграцию с базой Azure SQL, службой аналитики Azure Synapse Analytics и платформой управления данными Azure Purview.

11.11.2021    9501    SKravchenko    0       

«Сбер» представил нейросеть для генерации картинок по описанию

Новость Искусственный интеллект ИТ-новость

Сервис ruDALL-E способен генерировать изображения с нуля по текстовому описанию на русском языке. Авторы полагают, что модель будет полезна для создания рекламного, архитектурного и промышленного дизайна.

11.11.2021    6327    VKuser24342747    10       

Правительство собирается определить главный российский процессор

Новость Импортозамещение ИТ-новость

Минцифры и Минпромторг намерены выбрать приоритетную российскую микропроцессорную платформу. Разработчики отечественного ПО будут обязаны поддерживать ее.

10.11.2021    5873    VKuser24342747    4       

Первая стабильная версия Microsoft Edge стала доступна для Linux

Новость Linux Интернет ИТ-новость

В репозиториях Linux на портале Microsoft появилась стабильная версия браузера Edge. Пакет под названием microsoft-edge-stable_95 доступен для пользователей Ubuntu, Debian, Fedora и openSUSE.

10.11.2021    5924    VKuser24342747    0       

Microsoft выпустит версию Windows 11 для слабых компьютеров

Новость Windows ИТ-новость

Microsoft намерена представить ОС Windows 11 SE для устройств начального уровня. Для работы операционной системы будет достаточно ноутбука на базе процессора Intel Celeron.

08.11.2021    4663    VKuser24342747    3       

Нейросеть GitHub Copilot стала доступна в Neovim и разработках JetBrains

Новость GitHub Искусственный интеллект ИТ-новость

Ассистент программиста GitHub Copilot, генерирующий код при помощи ИИ, включен в последние версии редактора кода Neovim, а также в IDE IntelliJ и PyCharm от компании JetBrains.

08.11.2021    7861    VKuser24342747    1