16 декабря 2014

Функции безопасности в Android 5.0

Бизнес

Мы разобрали функции безопасности Android 5.0 Lollipop, в частности, корпоративно-ориентированные функции, которых предложено довольно мало.

Проблемы безопасности Android

Android имеет репутацию самой подверженной атакам вредоносных программ мобильной операционной системы. Отчасти это связано с его популярностью как «дешевой альтернативы» устройствам на iOS и в каком-то смысле — с прошлыми ошибками в коде и продолжающимся использованием унаследованных устройств. Существование сторонних магазинов приложений с недостаточно хорошо контролируемым содержанием также является важным фактором.

В то время как инженеры Google утверждают, что проблемы безопасности Android преувеличены, последний совместный отчет, опубликованный в октябре «Лабораторией Касперского» и Интерполом, показывает, что чуть более 98% мобильных вредоносных программ нацелены на Android-устройства по всему миру, а с ростом пользовательской базы растут и угрозы.

Тем не менее, было бы несправедливо говорить, что Google никак с этим не борется. На самом деле компания делает многое. Android 4.2 Jelly Bean, выпущенный в 2012 году, уже имел массу расширенных функций безопасности, в том числе встроенный сканер вредоносных программ, который работает в сопряжении с Google Play, но также способен сканировать приложения, установленные из сторонних источников, а также систему оповещения, которая уведомляет пользователя, как только приложение пытается отправить текстовое сообщение, блокируя его, пока пользователь сам не авторизует отправку.

А что же поставляется с Lollipop?

wide

Цветы безопасности

В число новых функций безопасности Android 5.0 входят:

  1. Принудительный режим SELinux для всех приложений на всех устройствах

SELinux означает Security Enhanced Linux (Linux повышенной безопасности): Android выстраивали на его основе с прошлого года. Согласно официальному блогу Google Android, SELinux «навязывает исполнение модели безопасности Android глубже в ядре операционной системы, облегчает аудит и контроль, тем самым, оставляя меньше пространства для нападения». Проще говоря, проверка безопасности осуществляется на уровне ядра. Не вполне «корпоративно ориентированная» особенность, зато чрезвычайно важная.

  1. Полное шифрование устройства с самого начала

Ранее оно по умолчанию было отключено, и пользователю приходилось покопаться в настройках устройства, чтобы найти его, а затем подождать, пока все данные устройства не зашифруются, так как эта задача отнимает много времени.

На этот раз Android предлагает включить шифрование при первой загрузке нового устройства под управлением Lollipop, а так как в новом устройстве, по большому счету, не должно быть данных, шифрование пройдет быстро и гладко. Новые данные будут шифроваться по мере поступления. Эта функция имеет первостепенное значение для корпоративной безопасности, а также для защиты персональных данных пользователей.

  1. Smart Lock, умный и знающий

При всех неприятностях, которые могут доставить вредоносные программы, возможность потери или кражи устройства является куда более непосредственной угрозой. То, что предлагает в этом плане Google, выглядит странно, но интересно. Функция Smart Lock, согласно Google, «позволяет вам разблокировать телефон с помощью Bluetooth, ближней бесконтактной связи или просто улыбки – быстрее прежнего».

Это, в сущности, означает, что устройство разблокируется, как только обнаружит определенный «маяк безопасности» — конкретное устройство Bluetooth или метку ближней бесконтактной связи NFC, которая обозначает безопасную среду.

Насколько этот подход безопасен? Связность по безопасности — это хорошая тенденция, вполне в духе парадигмы «интернета вещей», хотя и есть разумные основания для опасений по поводу возможных уязвимостей в некоторых устройствах и в процессе внедрения протокола подключения.

Интересно, что, согласно Computerworld, Google и далее намерена продвигать такой подход. Новые возможности добавят в текущую функциональность Smart Lock через Google Play (так что не придется для них ждать следующего крупного релиза).

А как же насчет «улыбки»? Функция Trusted Face разблокирует устройство посредством распознавания лица. На самом деле она появилась еще в Android 4.0, но едва ли была пригодной для использования. Теперь она кажется практичнее.

  1. Одалживать устройство, а не данные

Android 5.0 предлагает набор функций для общих устройств, например, для смартфонов, которые используют несколько человек.

Во-первых, доступен режим гостевого пользователя телефона и планшета. Гость может задействовать основные функции устройства, но не получит доступа к персональным данным владельца.

Другая функция поинтереснее. Если вы забыли свой телефон, то всё равно сможете позвонить кому-либо или получить доступ к своим сообщениям и фотографиям, залогинившись на другом устройстве с Lollipop. По существу, это означает, что данные хранятся в облаке и доступны с любого устройства на Lollipop. Этот подход аналогичен тому, который Google предлагает с браузером Chrome. Установите свежую копию браузера на новом компьютере, и, после того как вы войдете в свой аккаунт Google, все ваши закладки и настройки импортируются автоматически.

Google недавно дополнительно ужесточил правила безопасности Chrome и аккаунтов Google, предотвращая — по умолчанию — попытки доступа с «небезопасных» приложений и устройств. Например, всего несколько дней назад попытка автора этой статьи войти в Google Talk с iPad провалилась, и в Chrome  появилось предупреждение системы безопасности. Тем не менее, после установки Google Hangouts проблема разрешилась без изменения этих новых настроек по умолчанию.

  1. На удалении

При условии, что потеря устройства является одной из основных проблем безопасности, мобильной ОС просто необходимо иметь функции удаленного контроля устройства. Android предлагает полный спектр таковых. С 2013 года ОС оснащена функцией Android Device Manager, которая позволяет найти потерянное устройство, обнаружить его на карте и, если нет никакой возможности быстро его вернуть, стереть все данные, предотвращая их попадание в чужие руки.

Это особенность особенно важна для бизнеса. Слишком часто важные данные хранятся на мобильных устройствах, которые легко теряются. Взлом этих устройств может грозить долгосрочными и разрушительными последствиями.

Существует также Factory Reset Protection, несколько эвфеместично называющаяся функция удаленного отключения устройства. Без пароля украденный смартфон или планшет будет не пригоден для использования и, что еще важнее, его нельзя будет очистить. Это должно обескуражить воров, поскольку они не смогут получить доступ к данным или продать его как новое устройство.

  1. Android для работы

В Lollipop добавлен ряд корпоративно ориентированных функций на уровне системы. Samsung, которая предоставляет аппаратную основу Android, добавила свою систему безопасности Knox для разделения личных и рабочих данных в устройстве вместе с несколькими соответствующими API для управления средой. ИТ-персонал сможет разворачивать приложения оптом на устройствх бизнес-пользователей и осуществлять централизованный контроль за критическими функциями, что обязательно для поддержания BYOD в добром здравии и избавляет администраторов от лишней головной боли.

  1. Нужные штуки

Google делает большую работу по повышению безопасности. Это, однако, не означает, что все проблемы безопасности Android после 5.0 начисто отпадут.

Во-первых, как известно, темпы перехода на новые версии Android низки. Самой популярной версией на сегодняшний день является прошлогодний Kitkat (4.4) с 30,2% доли распределения на рынке, но Jelly Bean 4.1.x и 4.2.x, выпущенный в июле и ноябре 2012 года, удерживает 22,8% и 20,8%, соответственно (вместе набирая более 40%). А старые и слабые версии Gingerbread 2.3.x до сих пор занимают долю чуть менее 10%.

Все старые версии оставляли желать много лучшего в плане безопасности — всего неделю назад была обнаружена новая критическая уязвимость, затрагивающая все версии Android ниже 5.0. В конце концов, мы, скорее всего, узнаем и о каких-нибудь критических багах в Lollipop, так как никакое программное обеспечение не бывает безупречным.

Но «живучесть» старых версий — чисто человеческий фактор, как и халатность пользователей, которые игнорируют средства безопасности и шифрования в своих устройствах.

Человеческий фактор на самом деле является основной проблемой безопасности повсеместно, но долговечность и безопасность программной платформы тоже важна. Microsoft продолжает делать свою работу путем улучшения безопасности Windows, которая всегда была наиболее атакуемой операционной системой для ПК. Google следует по тому же пути сейчас с Android, хотя и с гораздо более высокой скоростью. Очень отрадно видеть, как быстро повышается безопасность Android, остаётся только надеяться, что Google продолжит своё доброе дело.