Зміст

• Що таке оновлення безпеки Android?
• Чому важливі виправлення безпеки?
• Які телефони отримують оновлення безпеки?
• Кращі практики безпеки Android
• А як щодо вразливості з нульовим днем ​​та подвигів з нульовим днем?
• Підбивання

Можливо, ви помітили, що час від часу ваш смартфон Android пропонує вам завантажити та встановити нову версію його прошивки. Можливо, вперше це сталося, ви думали, що отримуєте оновлення до останньої версії Android, або, можливо, були додані якісь нові акуратні функції. Але врешті-решт це виявилося "нудним" оновленням безпеки Android! Хоча оновлення безпеки Android справді нудні, вони дуже важливі.

Давайте подивимося на ці виправлення безпеки та безпеку Android взагалі, щоб побачити, у чому вся суєта!

Що таке оновлення безпеки Android?

Часто говорили, що "помилятися - це людина", і поки, як каже Олександр Папа, "прощати божественно", ви виявите, що комп'ютери та хакери не дуже прощають! Кожного разу, коли програмне забезпечення написане, воно по суті містить помилки або помилки, як розробники люблять їх називати. Намагання зменшити кількість цих помилок є однією з ключових цілей інженерів програмного забезпечення. По-перше, намагаючись зловити помилки під час написання програмного забезпечення. По-друге, виправляючи помилки, як тільки вони були знайдені.

Існує два типи помилок. По-перше, помилки, через які програмне забезпечення поводиться неправильно. Скажімо, ви вводите "001.300 * 02.7000" у додаток для калькулятора, і це дає відповідь 2,51. Ясна річ, щось не так, можливо, ці зайві нулі спричинили поводження програмного забезпечення несподівано? Після виявлення проблеми програмне забезпечення можна виправити та оновлення надсилати користувачам. Ці помилки, як правило, викликають неприємності, і якщо вони досить серйозні, можуть вплинути на продаж / репутацію торгової марки тощо, але вони, як правило, не небезпечні (але про це детальніше за мить).

Друга категорія помилок - це та, яка впливає на безпеку програмного забезпечення та пристрою, на який він встановлений. Отже, як простий приклад, програма може запитати ім’я користувача та пароль. Помилка може існувати там, де якщо користувач вводить правильне ім’я, але залишає пароль порожнім, тоді користувачеві надається доступ. Це може здатися дурним, але насправді це сталося. Зараз є помилка, яка дозволяє несанкціонований доступ до приватних даних. Більшість помилок у безпеці набагато складніші та більш нюансовані. Але по суті, помилка в програмі дозволяє сторонній стороні отримати доступ, який вони не повинні мати. Після виявлення цих помилок їх потрібно швидко виправити та розгорнути для захисту користувачів.

Іноді помилками першої категорії, помилками несподіваної поведінки, можна маніпулювати таким чином, що вони стають помилками другої категорії.

Отже, оновлення безпеки Android - це накопичувальна група виправлень помилок, які можна надсилати по повітрю на пристрої Android для виправлення помилок, пов’язаних із безпекою.

Чому важливі виправлення безпеки?

Після того, як на вашому пристрої буде встановлений новий патч безпеки, ви не побачите абсолютно ніякої різниці в його функціональності! Майже здається, що оновлення нічого не досяг. Але це, звичайно, характер виправлень помилок безпеки. Ви їх не помічаєте, оскільки вони захищають отвори, часто дуже маленькі отвори, в безпеці пристрою.

Наприклад, може виникнути вразливість, коли якщо ви отримаєте SMS із змішаними корейськими та російськими символами довжиною рівно 160 символів, то розумне складання тексту в банці може викликати помилку, яка, в свою чергу, може бути використана для відкриття отвору в захисних пристроях вашого пристрою. Я не отримую багато подібного, тому якби помилка була знайдена та виправлена, я був би не мудрішим. Але ось у чому річ: коли хакери дізнаються про ці езотеричні помилки, вони створюють спеціальні s та надсилають їх націленим людям з метою отримати доступ до своїх пристроїв. Ті, кого націлено, вразливі до махінацій цих кіберзлочинців. В кінці ви побачите дивний SMS, трохи нахмурившись і видаліть його. Але ви не знаєте, що ваш телефон зламаний.

Після того, як на вашому пристрої буде встановлений новий патч безпеки, ви не побачите абсолютно ніякої різниці в його функціональності!

Тому патчі безпеки є важливими, оскільки вони захищають ваш телефон від потенційних хакерів, які хочуть отримати доступ до вашого пристрою. Просто уявіть всі дані, які є на вашому телефоні. Забудьте про фотографії та WhatApps s. А як щодо банківської справи? Шопінг в Амазонії? eBay? Google Pay? Існує довгий перелік речей, які б зацікавили хакера.

Які телефони отримують оновлення безпеки?

Теоретично, всі смартфони Android мають оновлюватись за два роки безпеки. Однак реальність часто дуже різна. Як це повинен робота така: Google виправляє помилку щодо безпеки в Android. Google розміщує ці зміни на AOSP та / або сповіщає своїх партнерів (кожен OEM, який має сертифікований Google Android пристрій). Google насправді робить це щомісяця. Потім виробники смартфонів включають ці виправлення у свою прошивку і, якщо потрібно, надають копію носіям. Потім оператори затверджують виправлення і, нарешті, випуск надсилається на пристрої по повітрю.

Це дуже добре працює на таких телефонах Google, як діапазон Pixel. Він також добре працює на пристроях Android One, які в основному підтримує Google. Він також добре працює для великих брендів. Наприклад, Samsung Galaxy Note 8 був запущений у серпні 2017 року. У мене є такий, і я можу підтвердити, що він отримував регулярні (майже щомісячні оновлення). Насправді він також був оновлений до Android 9.0 Pie.

Але для деяких середніх брендів оновлення можуть бути більш епізодичними, тоді як для менших брендів вони часто відсутні! Відсутність оновлень безпеки може бути справжньою проблемою. Схоже, деякі виробники смартфонів мають менталітет "продати його і забути". Це означає, що в руках споживачів є мільйони поточних (менше 2 років) телефонів Android, які не отримують жодних оновлень безпеки, залишаючи їх потенційно підданими різного роду атак. З іншого боку, Google знає, що це проблема, і хоче її виправити!

Кращі практики безпеки Android

Незалежно від того, як часто ваш пристрій отримує патчі безпеки, варто відзначити наступні кращі практики безпеки Android:

• Не натискайте на посилання в електронних листах, WhatsApp, Facebook Messenger або SMS, якщо ви не впевнені в джерелі посилання та куди воно вас переведе.
• Переконайтеся, що ви постійно оновлюєте свої програми, включаючи Chrome та інші програми Google.
• Використовуйте унікальні паролі. Не використовуйте один і той же пароль у кількох облікових записах. Це так, як використовувати один ключ для декількох будинків: це збільшує ваш ризик безпеки. Якщо це звучить як занадто багато клопоту, то використовуйте диспетчер паролів.
• Захистіть свої облікові записи за допомогою двоетапної перевірки: Навіть якщо ваше ім’я користувача та пароль вкрадено, увімкнено двоетапну перевірку, яка допоможе уникнути зловмисників.
• Візьміть перевірку безпеки Google: це легко зробити (g.co/securitycheckup) та аналізує стан безпеки вашого облікового запису Google.

А як щодо вразливості з нульовим днем ​​та подвигів з нульовим днем?

Є один аспект безпеки Android, який не охоплюється щомісячними оновленнями безпеки. Нульові вразливості. Це помилки, про які Google не знає, але це робить хтось інший. Вони є помилками безпеки, які у Google було нульових днів, щоб спробувати виправити. Тут відбувається те, що так звані компанії з дослідження безпеки або кіберзлочинці намагаються знайти помилки в Android, а потім виявили, що вони нікому не скажуть. Вони стають таємним арсеналом, який можна використовувати для нечесних засобів.

Оскільки цей арсенал є секретним і його важко придбати, ці вразливості, що існують за нульовий день, дуже дорожать. Вони звикають одним із двох способів. Вони або продаються суб'єктам господарювання з великою кількістю грошей, як, наприклад, силовим структурам національної держави, або їх використовують кіберзлочинці безпосередньо в масовій атаці, щоб спробувати обманути людей.

У будь-якому випадку вони можуть бути смертельними, буквально, як ми нещодавно бачили зі смертю Джамала Хашоггі. Після того, як ці вразливі місця з нульовим днем ​​почнуть використовуватись публічно (у дикій природі), то Google часто не задовго до того, як Google зможе вирішити проблему та виправити виправлення. Знову ж таки, підкреслюючи необхідність постійно оновлювати телефон за допомогою щомісячних патчів безпеки.

Підбивання

Безпека, як і резервне копіювання, може бути нудною. Проблема з резервними копіями полягає в тому, що більшість людей не замислюються про них, поки не втратять усі свої дані. Так само більшість людей не замислюються про безпеку, поки не буде взламана їх електронна пошта або не буде здійснено шахрайські звинувачення через їх Інтернет-банкінг.

Завжди буде елемент ризику, але оновлення безпеки Android - це спосіб зменшити цей ризик, а також покращити стабільність та надійність вашого пристрою. Підсумок, щоразу, коли ваш телефон каже, що має оновлення, встановіть його.