Velika većina IT kompanija je uvidjela kakvu katastrofu može uzrokovati bilo kakav sigurnosni propust, pa sada pokušavaju popraviti štetu tako što će više pozornosti pridati sigurnosti. Naravno, korisnici im mogu, ali i ne moraju vjerovati. Mi vjerujemo da Google ipak stoji iza svoji riječi i da će Android O (ubacite ime nekog deserta na “O”) ipak biti mnogo sigurniji nego prijašnje verzije.
Inače, Android O će biti Android 8.0 kada se pojavi na tržištu. Na nedavno održanoj Google I/O konferenciji prikazana je druga developerska verzija spomenutog operativnog sustava, te su napravljene paralele sa prvom verzijom, ali je bilo riječi i o tome što će još biti dio Androida 8.
Biti će tu puno novih mogućnosti, ali kao što smo spomenuli i hrpa novih sigurnosnih mehanizama koje bi trebali spriječiti bilo kakvu mogućnost narušavanja privatnosti korisnika i njihovih podataka. Jedan dobar primjer je nedavni Ransomware WannaCry koji je zarazio mnoga Windows računala.
Sličan scenarij u budućnosti bi mogli vidjeti i u “mobilnom svijetu”, ako se sigurnost stvarno ne pojača. Ako se pitate kada bi Android O mogao ugledati svjetlo dana, odgovor na to pitanje je treći kvartal ove godine. Naravno, to ne znači da ćete ga i vi moći instalirati na svoje mobitele.
Neki će moći, neki neće. Ovisi kakav mobitel imate i kada ste ga kupili. Oni sa novijim modelima će imati velike šanse da im se “pusti instalacija”, dok će drugi morati koristiti starije verzije Androida dok ne kupe noviji model mobitela. No, to je tema za neki drugi puta. Pogledajmo kako Google misli zaštititi svoje korisnike.
Google Play Protect
Najlakši način da zarazite mnogo Android uređaja je da u svoju aplikaciju na Google Playu stavite malware koji će vam dati pristup tuđim uređajima i zato je Google tu odlučio napraviti prvu crtu obrane. Konkretno riječ je o mehanizmu nazvanom “Google Play Protect” koji je mnogima zapeo za oko.
Dotična zaštita bi trebala dnevno skenirati preko 500.000 aplikacija, a Google je za to rezervirao serversku sobu sa preko 20.000 dediciranih procesora koji će raditi samo to. Samo će skenirati aplikacije, tražiti sigurnosne rupe i malware u njima.
Adrian Ludwig, šef sigurnosti za Android, kaže da se taj sustav u tajnosti razvija već godinama i da će uskoro biti spreman za svakodnevne zadaće. Uz to, apelirao je na korisnike da aplikacije skidaju sa Google Playa, a ne sa Interneta (op.a. možete skinuti APK datoteku sa Interneta i ručno instalirati aplikacije na svoj Android uređaj) i da ste već tada 95 posto sigurniji.
No, onih 5 posto će morati odraditi Google. Svaka aplikacija na Google Playu koja bude skenirana, dobiti će oznaku da je sigurna, skenirana i da ju bez straha možete skinuti i instalirati na svoj uređaj.
Ipak, Google već ima u upotrebi mehanizam Safety Net koji je pazi na vaše uređaje, posebice onih korisnika koji nemaju pristup Google Playu, a imaju Android uređaje pa aplikacije skidaju sa Interneta.
“O” kao sigurnosni botovi?
Ono što će direktno biti implementirano u Android O će biti sigurnosni botovi koji će skenirati vaš mobitel svakog dana i prilikom svakog bootanja. Točnije, sigurnosni bootovi će paziti na vaše kriptografske ključeve koje imate u Androidu, te će moći vidjeti ako nešto nije u redu ili je mobitel vraćen na neku od starijih i nesigurnijih verzija.
Tu će biti i zaštita koja će paziti da se ne iskoriste sigurnosni propusti hardvera, te će se i takvi pokušaji spriječiti ovim botovima. Kako će to točno funkcionirati, ne znamo jer nemamo sve detalje, ali nas Google uvjerava da će biti mnogo slojeva zaštite koji će zajedno raditi kako malware, ransomware ili kakvo drugo smeće ne bi narušilo integritet vašeg uređaja i vaših podataka.
Ono što mi vidimo kao problem je što prilikom instalacije aplikacije morate dati dopuštenje da vam aplikacija ima pristup određenim resursima. Tako smo znali viđati aplikacije koje nisu bile ništa posebno, a zahtjevale su od vas da im da te pristup geolokaciji, vašem imeniku i mnogim drugim resursima.
Sada bi se i taj problem trebao riješiti i Android bi trebao paziti da vam aplikacija nema pristup kritičnim točkama i da vam ne može “preuzeti” mobitel. Kao što neće moći ni dobiti Device Admin prava i to je reducirano na najmanju moguću mjeru.
Sandbox u tri razine
Osim Google Play Protecta, spominje se Project Treble. Riječ je o troslojnoj sandbox zaštiti – jedna koja će “zatvoriti” aplikaciju da nema pristup ključnim i kritičnim Android processima, jedna koja će štititi Android OS, te jedna zaštita za vendore, odnosno proizvođače mobitela. Prvu smo objasnili i prva zaštita je svima jasna.
Aplikacija će se vrtjeti zaštićena i “sama” kako ne bi mogla naškoditi drugim aplikacijama ili samom operativnom sustavu. To je nešto što podržavamo i voljeli bismo sandbox način rada vidjeti i na drugim operativnim sustavima.
Druga zaštita će naravno štiti Android kao takav da mu bilo kakve modifikacije ne mogu naštetiti i da proizvođači koji rade mobitele ne mogu previše utjecati na sam Android OS. Tu se nadovezuje i treća zaštita “vendor sandbox” koji će dozvoliti proizvođačima mobitela da brže i češće na svoje mobitele izbacuju nadogradnje.
Svi znate da kad dođe nova verzija Androida morate ju čekati tjednima, a nekad i mjesecima, dok ju proizvođač mobitela, ali i vaš operater, ne odobre. Sada bi se i taj dio trebao riješiti i ubrzati, a to ćemo vidjeti već sa prvim nadogradnjama ‘osmice’.
Instant aplikacije i sigurnosni ključevi
I za kraj nam ostaju još Instant aplikacije. To je novi koncept korištenja aplikacija koji Google želi uvesti, a radi se zapravo o tome da možete koristiti dio funkcionalnosti aplikacije bez da ju instalirate. Recimo da netko razvije super aplikaciju za kupnju.
No, ne želite ju na mobitelu jer ju koristite jednom u mjesec dana. Tada ćete ju pokrenuti kao “instant” aplikaciju, a ona će vam se otvoriti u web pregledniku, koristiti ćete ju i nakon što zatvorite web preglednik, nje više nema. Super koncept, no potencijalno jako opasan zbog preusmjeravanja URL-a i mogućih sigurnosnih propusta.
Te aplikacije će moći koristiti jako malo vaših resursa, imati će jako ograničen pristup uređaju, morati će koristiti HTTPS protokol i slično. Kada zaživi ovaj koncept, tek ćemo onda vidjeti da li je dobar ili ne, no ovako na prvu nam se čini kao jako koristan i praktičan.
Napomenimo da će Google uključiti i 2FA (two factor authentication), ali sa fizičkim uređajima. Na taj način nećete morati koristiti SMS kod kao sredstvo za autentifikaciju nego spomenuti fizički uređaj. Navodno bi to trebalo biti izuzetno sigurno, pitanje je samo koliko će biti praktično sa sobom nositi uređaj kao što je token da biste mogli koristiti određene aplikacije.
U svakom slučaju, čini nam se da je Google odlučio stati na kraj svim mogućim oblicima prijevare i malicijoznom kodu i moramo reći da smo jako optimistični u vezi toga. Ako se ostvari samo pola od ovih stvari koje su nabrojali, podići će sigurnost na jednu novu razinu.
Piše: B.P.
