Google рассказала, как защищает Android от взломов

Google рассказала, как защищает Android от взломов

12.02.2021     

Google опубликовала информацию о том, как компания пытается улучшить безопасность Android, и какие шаги предпринимаются для борьбы с распространенными угрозами. Отчеты об уязвимостях играют в этом значительную роль.

Отчеты об уязвимостях

Чтобы защитить мобильную операционную систему Android, Google использует многосторонний подход: ежемесячные обновления системы безопасности для исправления уязвимостей, обнаруженных в рамках программы вознаграждений за уязвимости (VRP), а также меры по усилению защиты от скрытых уязвимостей.

Все уязвимости, представленные через VRP, анализируются инженерами компании, чтобы определить основную причину каждой уязвимости и ее общую серьезность. Google также полагается на внутренние и внешние отчеты об ошибках для выявления уязвимых компонентов и методов кодирования, которые обычно приводят к ошибкам.

Однако, исследователи безопасности часто изучают те области, где другие уже обнаружили уязвимости. По этой причине внутренние Red Teams в Google анализируют менее изученные или более сложные части Android.

Кроме того, непрерывные автоматизированные фаззеры масштабно работают как на виртуальных машинах Android, так и на физических устройствах. Это дает гарантию обнаружить и исправить ошибки на ранних этапах жизненного цикла разработки. Уязвимости, обнаруженные таким образом, также анализируются на предмет первопричины и серьезности.

Ошибки памяти

Из критических уязвимостей высокой степени серьезности, исправленных в бюллетенях по безопасности Android в 2019 году, на ошибки памяти приходилось 59% всех уязвимостей. За ними следовали ошибки обхода разрешений – 21%.

Типы критических уязвимостей и уязвимостей высокой степени опасности, исправленных в бюллетенях по безопасности Android в 2019 году

Чтобы предотвратить ошибки памяти в будущем, Google поощряет разработчиков переходить на безопасные для памяти языки программирования, такие как Java, Kotlin и Rust.

Проблемы с памятью обычно являются высшей категорией недостатков безопасности на таких платформах, как Java, Windows 10 и Chrome. В прошлом году инженеры Google заявили, что 70% ошибок Chrome связаны с безопасностью памяти. До этого инженеры Microsoft заявляли, что 70% всех ошибок были проблемами памяти или программного обеспечения.

 

 

Команда безопасности Android предоставила дополнительную информацию о том, как работает переход на безопасные для памяти языки, отметив: «C и C++ не обеспечивают безопасность памяти в отличие от языков вроде Java, Kotlin и Rust. Учитывая, что большинство уязвимостей, о которых сообщается в Android, относятся к проблемам с безопасностью памяти, применяется двусторонний подход: повышение безопасности C/C ++, а также поощрение использования языков, безопасных для памяти».

Решения

По словам Google, ее усилия по укреплению инфраструктуры медиа-сервера в Android привели к тому, что в 2020 году компания не получила ни одного отчета об удаленно используемых критических уязвимостях в медиа-фреймворках Android.

Google также рассказала о компромиссах, связанных с безопасностью и производительностью, на которые идут инженеры в процессе выбора дополнительных мер защиты для Android. Выбор усложняется тем, что Android должен поддерживать большой спектр устройств от разных производителей.

Помимо безопасных для памяти языков, к средствам защиты в Android относят песочницу, рандомизацию адресного пространства (ASLR), целостность потока управления (CFI), Stack Canaries и тегирование памяти.

«Добавление больших накладных расходов к некоторым компонентам или всей системе может негативно повлиять на взаимодействие с пользователем, сократив время автономной работы и сделав устройство менее отзывчивым. Это особенно верно для устройств начального уровня, которые также должны получить выгоду от усиления защиты. Поэтому мы хотим уделить первостепенное внимание инженерным усилиям по эффективному снижению рисков с приемлемыми накладными расходами», – отмечает Google.

Напомним, что Google работает над новой мобильной операционной системой для повышения безопасности использования устройств.


Источник: https://infostart.ru/journal/news/tekhnologii/google-rasskazala-kak-zashchishchaet-android-ot-vzlomov_1383556/
Автор:
Сергей Кравченко Обозреватель


В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
В этой теме еще нет сообщений.
Оставьте свое сообщение

См. также

У Google Docs появился российский конкурент

Новость Интернет ИТ-новость

Разработчики офисного пакета «Мой офис» представили бесплатные версии текстового редактора и электронных таблиц. Пользоваться ими можно прямо в браузере.

16.04.2021    1416    user1015646    1       

Microsoft планирует вносить свой вклад в экосистему Java

Новость ИТ-новость

Американская компания представила тестовый бесплатный дистрибутив OpenJDK с открытым исходным кодом. В скором времени ИТ-гигант обещает представить релизную версию продукта.

16.04.2021    849    VKuser24342747    0       

Google Database Migration Service стал доступен для всех

Новость MySQL PostgreSQL Google Интеграция Интернет ИТ-новость

Компания Google открыла всем пользователям бесплатный доступ к сервису Database Migration Service. Это позволит компаниям провести миграцию своих баз из MySQL. PostgreSQL и других платформ в облако Cloud SQL без выделения дополнительных ресурсов.

15.04.2021    2467    user1015646    0       

Российские разработчики представили бесплатный онлайн-редактор кода

Новость Mail.Ru ИТ-новость

Компания Mail.Ru запустила онлайн-сервис для совместной работы с кодом на базе платформы All Cups. Он поддерживает Python, C++, Java и еще шесть популярных языков программирования.

14.04.2021    1675    user1015646    5       

Rust станет одним из основных языков разработки Android

Новость Android ИТ-новость Мобильные приложения Языки программирования

С целью уменьшения количества ошибок, связанных с безопасностью памяти, Google объявил, что Android будет поддерживать Rust в низкоуровневом системном коде ОС. Об этом 6 апреля сообщили члены команды разработчиков Android в блоге Google Security.

14.04.2021    1395    SKravchenko    3       

Минпромторг готов выделять по 500 млн рублей в год на разработку ИИ

Новость Искусственный интеллект ИТ-новость Минпромторг Цифровая экономика

Минпромторг подготовил проект постановления для поддержки разработчиков решений на базе ИИ. Компании смогут получить до 3 млрд рублей на пять лет, по 500 млн каждый год.

13.04.2021    918    VKuser24342747    2       

ARM представила новую процессорную архитектуру v9

Новость ИТ-новость Микроэлектроника

Компания ARM разработала инновационную процессорную архитектуру v9. Она обладает масштабным потенциалом и будет использоваться для систем искусственного интеллекта и безопасности, мобильных устройств и специализированных вычислений.

12.04.2021    1042    user1015646    0       

Microsoft разделит ключевые компоненты Windows

Новость Windows ИТ-новость

Модули Windows 10 становятся всё более независимыми. Меню «Пуск» стало отдельным компонентом около двух лет назад. Теперь пришёл черёд отделить панель задач – это должно исправить проблему с зависаниями системы.

09.04.2021    3745    user1015646    0       

Правительство начнет регулировать цифровые экосистемы

Новость Импортозамещение ИТ-новость Новости компаний Цифровая экономика

Правительство готовит концепцию регулирования для быстро развивающихся цифровых экосистем, таких как Сбер, Яндекс, Тинькофф и других. Цель – повысить конкурентоспособность экосистем за рубежом.

08.04.2021    6727    mouse187    1       

Ремонтировать технику Apple в России станет проще

Новость iOS ИТ-новость Новости компаний

Компания Apple расширила программу независимого ремонта своей техники. В список стран, где она теперь доступна, попала и Россия.

08.04.2021    8282    user1015646    0       

Треть пользователей готова избавиться от предустановленного отечественного ПО

Новость Импортозамещение ИТ-новость Мобильные приложения

Компания ESET провела опрос, в котором 29% респондентов заявили о своем желании удалить предустановленные российские приложения со смартфонов, ноутбуков и телевизоров.

07.04.2021    2318    VKuser24342747    2       

Google начала тестировать FLoC – технологию-убийцу cookies в Chrome

Новость Google Безопасность Интернет ИТ-новость

Google продолжает разрабатывать альтернативу cookie-файлам. Поисковый гигант уже приступил к тестированию технологии, позволяющей хранить данные о пользователе браузера в обезличенном виде.

06.04.2021    5487    VKuser24342747    0       

В России пройдет закрытое тестирование электронной почты с кириллицей в адресах

Новость Импортозамещение Интернет ИТ-новость

Проект поддержки доменных имен на национальных языках и регистратор доменных имен начали проект по тестированию работы электронной почты с кириллице в адресах.

02.04.2021    2302    Senator_I    1       

Crystal – простой, как Ruby, и «быстрый», как C

Новость ИТ-новость Языки программирования

Вышел первый стабильный релиз языка Crystal. Синтаксис Crystal схож с Ruby, что делает язык легким для чтения и записи и снижает кривую обучения для опытных разработчиков.

02.04.2021    2853    SKravchenko    1       

Платежная система Visa разрешит платежи в криптовалюте

Новость Безопасность Блокчейн ИТ-новость Онлайн-торговля

Крупнейшие поставщики платежных услуг для банковских карт выходят на криптовалютный рынок. Visa вслед за Mastercard сообщила, что начнет поддерживать транзакции в цифровых токенах.

02.04.2021    2231    VKuser24342747    1       

Samsung стала предустанавливать на смартфоны неудаляемые приложения. Яндекс против

Новость Импортозамещение ИТ-новость Мобильные приложения Новости компаний Яндекс

С 1 апреля в России вступает в силу закон об обязательной предустановке отечественных приложений. Samsung стала инсталлировать ПО Яндекса на свои устройства без возможности удаления. Российский ИТ-гигант призвал производителя не делать этого.

01.04.2021    2548    user1015646    0       

Линус Торвальдс рассказал о том, где Rust впишется в Linux

Новость Linux ИТ-новость Языки программирования

Медленно, но верно язык Rust проникает в Linux. Линус Торвальдс и Грег Кроа-Хартман поделились своим мнением насчет перспектив Rust в Linux.

31.03.2021    2545    SKravchenko    0       

В России создали невидимые этикетки

Новость ИТ-новость

Специалисты из Университета ИТМО и Санкт-Петербургского академического университета представили новую технологию создания этикеток. Она призвана защитить рынок от распространения контрафакта.

30.03.2021    1413    user1015646    8       

Google и Microsoft начали совместную работу над совместимостью браузеров

Новость Google Интернет ИТ-новость Новости компаний

Компании Google, Microsoft и Igalia объявили о запуске совместного проекта Compat2021. С его помощью будет улучшена совместимость браузеров Chrome, Edge, Firefox и Safari.

30.03.2021    1542    VKuser24342747    0       

Представлен Windows Community Toolkit v7.0: что нового

Новость ИТ-новость Новости компаний Языки программирования

Компания Microsoft выпустила новую версию Windows Community Toolkit v7.0. Это коллекция расширений, инструментов помощи и настраиваемых кнопок для разработки UWP- и .NET-приложения для Windows 10.

29.03.2021    7721    user1015646    1       

Google Chrome начнет автоматически добавлять https:// ко всем веб-адресам

Новость Google Безопасность Интернет ИТ-новость

В новой версии браузера Google Chrome будет отключен редирект с http:// на https://. Веб-обозреватель будет сразу загружать сайт через защищенный протокол, уже ставший стандартом.

29.03.2021    3275    VKuser24342747    0       

Разработчик придумал фейковый язык программирования MOVA, чтобы отсеивать лживые резюме

Новость ИТ-новость Языки программирования

MOVA – язык программирования, который предлагает способ представления независимо изменяющихся объектов без обращения к какой-либо схеме для назначений. Такая парадигма могла бы быть увлекательной, если бы MOVA не был фейком.

26.03.2021    2608    SKravchenko    4       

Фонд свободного программного обеспечения назвал лауреатов премии Free Software Awards 2020

Новость ИТ-новость

Фонд свободного программного обеспечения (FSF) ежегодно вручает награды разработчикам, повлиявшим на развитие open source решений. В этом году премия была присуждена троим номинантам.

25.03.2021    5302    VKuser24342747    0       

В ногу с Apple: Google снизила комиссию с разработчиков приложений

Новость Android iOS Google ИТ-новость Мобильные приложения Новости компаний

Корпорация Google уменьшила комиссию с разработчиков в официальном магазине приложений Google Play с 30% до 15%. Аналогичный шаг в прошлом году сделала Apple.

24.03.2021    1231    user1015646    10       

Apple согласилась предустанавливать российское ПО

Новость iOS Гаджеты Импортозамещение ИТ-новость Мобильные приложения

Минцифры обязало производителей техники устанавливать софт из реестра отечественного ПО на устройства для рынка РФ. Компания Apple ранее выступала резко против этой инициативы, но теперь, похоже, решила пойти на компромисс.

23.03.2021    3862    user1015646    1