Hlavní navigace

René Mayrhofer (Google): Roztříštěnost Androidu má i své výhody

Karel Wolf

O bezpečnosti v Androidu a výhodách a nevýhodách velké roztříštěnosti platformy jsme mluvili s René Mayrhoferem, vedoucím týmu Android Platform Security v Googlu.

Doba čtení: 6 minut

Sdílet

Profesor René Mayrhofer vede v Google Android Platform Security team, zároveň je také (jednou nohou na odchodu) akademickým pracovníkem Síťového institutu na univerzitě Johannese Keplera v Linci, kde vede magisterské a postgraduální studenty.

Dříve působil jako profesor Mobile Computingu na univerzitě aplikovaných věd v Horním Rakousku, hostující profesor na Vídeňské univerzitě a coby „Marie Curie Fellowship“ na univerzitě v Lancasteru. Mezi jeho výzkumné zájmy patří počítačová bezpečnost, mobilní zařízení, síťová komunikace a strojové učení. Mimo akademický svět můžeme nalézt Reného podpis například na open source projektech, jako je linuxová distribuce Debian.

Jak velký bezpečnostní problém pro Android dnes představuje roztříštěnost?

Odpověď na tuto otázku je popravdě řečeno trochu komplexnější. V první řadě nevnímám tento fakt vyloženě negativně. To, že je platforma roztříštěná, přináší z bezpečnostního hlediska i určité výhody. Nejde přitom jen o různé verze systému samotného, ale také o obrovskou škálu unikátních zařízení hodně široké skupiny výrobců.

Na roztříštěnou platformu se útočí o poznání komplikovaněji než na homogenní, ale také jde o to, že mnoho vylepšení bezpečnosti Androidu iniciují samotní výrobci. Jako příklad mohu uvést Samsung, díky jehož experimentům s vrstvou Samsung Knox se mohlo v poměrně malém, takřka laboratorním prostředí otestovat několik bezpečnostních prvků, které si později našly cestu do hlavní verze Androidu.

To je jeden aspekt. Když se podíváte na trh s exploity a malwarem, tak minimálně v současnosti (poslední rok) se drží ceny exploitů pokrývajících celý ekosystém Androidu výrazně výše než u jiných, více homogenních platforem (z těch srovnatelných třeba iOS). Je to dáno tím, že cena za stále vzrůstající diverzitu variant systému a zařízení (zejména díky OEM výrobcům) výrazně stoupla. Udržovat řetězec exploitů je pro útočníky těžší než kdykoli dříve a lepší situace v dohledné době pro ně nebude. Diverzita tedy nepředstavuje pouze problém.

Říkáte, že nepředstavuje pouze problém, kde je tedy onen hlavní háček?

Jsou tady samozřejmě i negativní aspekty, jako nemožnost rychle rozšířit nové bezpečnostní updaty na všechna dostupná zařízení. Otázka ale zní, co z toho přináší větší rizika. V Googlu samozřejmě tento problém nepodceňujeme a s každým novým releasem se snažíme doručit nová vylepšení systému do co největšího počtu zařízení. Projekty Treble a Mainline, které jsme za tímto účelem spustili, pomalu začínají mít reálný dopad a spolu s výrobci hardware i s OEM výrobci se nám daří dostávat poslední verze systému rychleji na více zařízení a zasahovat bezpečnostními updaty mnohem více uživatelů.

Jde například o zjednodušení distribuce image systému a aktualizací. Projekt Mainline například umožnil aktualizovat jádrové části operačního systému stejným způsobem, jakým aktualizujete aplikace v Google Play. Díky tomu jsem schopní distribuovat vybrané AOSP (Android Open Source Project) komponenty do zařízení rychleji a po delší dobu, protože již nezávisíme na plné aktualizaci OTA (over the air) od výrobce telefonu. Komponenty zahrnuté v Mainline přitom stále zůstávají plně open source a úzce spolupracujeme s partnery jak co do kontribuce kódu, tak při jejich testování. Právě výrobci zařízení tvoří významné přispěvatele do kódu.

Znamená to, že tradiční problém Androidu, tedy že výrobce garantuje zpravidla jeden systémový upgrade a po dvou až třech letech na trhu nechává zařízení bez možnosti dalších systémových i bezpečnostních aktualizací pomalu umírat, je minulostí?

Ještě ne tak docela. Dnes je stále řada kernel zdrojových větví udržována výrobci chipsetů, protože každý hardware má svá specifika a plynulý běh na řadě zařízení vyžaduje hodně optimalizace. To ale do budoucna není ideální stav, protože se ukazuje, že není většinou v ekonomickém zájmu výrobců udržovat tyto větve příliš dlouho aktualizované. Speciálně to platí, pokud se bavíme o té nejlevnější sortě chipsetů.

Když zmiňujete levná zařízení, na trhu je stále aktivních mnoho levných starých Android zařízení, která budou mít jejich majitelé zřejmě až do fyzické smrti přístroje. Běžně se setkávám například s Androidem Jelly Bean nebo KitKat. Dá se nějak pomoci i jim? 

Naše schopnost rychleji a déle updatovat systémové komponenty je závislá na stáří systému, čím starší verze, tím méně jsme toho schopni dělat. Telefony s Jelly Bean či KitKat téměř na 100 % dnes nemají bezpečnostní updaty od výrobce, protože to pro něj představuje pouze zátěž. Hranice takové klinické smrti přístroje je šest let. My pochopitelně nemáme na výrobce žádné páky, jak je k tomu donutit. Jedinou možností, jak by se toho dalo dosáhnout, je, že k tomu budou přinuceni regulátory trhu.

Pokud mohu mluvit za sebe jakožto soukromou osobu, ani bych si nepřál, aby byla tato zařízení ve jménu homogenity okamžitě zahozena. Jak jsem již říkal, diverzita přináší i určité bezpečnostní výhody. Navíc existují uživateli (často neziskovými organizacemi) vyvíjené Android OSP verze, které řeší některé problémy velmi starých zařízení. Netvrdím samozřejmě, že řeší všechny problémy. Užívání zařízení, dokud fungují, je rozhodně sympatické také z ekologického hlediska. Uživatelé tato zařízení také často využívají jen k nějakému specifickému účelu, který zařízení plní stále spolehlivě a nedává smysl jej zbytečně měnit.

Jak se co do adopce ve srovnání s předchozími dvěma verzemi daří Androidu 10?

Myslím, že je ještě příliš brzy to hodnotit. Dva měsíce je průměrná náběhová doba po uvolnění nové hlavní verze Androidu, takže se nám čísla teprve scházejí. Nicméně předpokládáme signifikantně rychlejší adopci (na straně koncových zařízení), než jaká byla u Androidu 8 a 9. Výrobci jsou v tomto směru také poměrně aktivní, něco málo přes 10 OEM dodavatelů vydalo před samotným releasem Androidu 10 vlastní betaverzi systému, aby bylo množné otestovat chování systému na jejich zařízení. Než bude možné smysluplně porovnat čísla, chtělo by to dát systému ještě dalších několik měsíců.

Může Google nějakým způsobem donutit výrobce, aby na stále populárních starších zařízeních vydal více jak obligátní dvě verze operačního systému?

Tento problém jsme řešili mnohokrát, a to zejména u řady zařízení Pixel, víceméně zde platí vše, co již bylo řečeno výše. Jediný způsob, jak k tomu výrobce donutit, je jim takovýto krok maximálně zjednodušit, což děláme. Druhá věc je, že zde existují i určitá omezení například u zařízení, která jsou určena pro korporátní segment. Tato třída zařízení má striktní pravidla, co se týče bezpečnosti, a ta definují například to, jak dlouho, jak rychle a jak často musejí pro daná zařízení bezpečnostní updaty vycházet, a není v našich silách toto u nových verzí u výrobců vynutit. Co můžeme, je snažit se prodloužit životnost těchto zařízení alespoň na chvilku.

NMI20

Podle bezpečnostních společností, jako Kaspersky nebo Check Point, za poslední půlrok masivně vzrostl počet aktivního malwaru pro mobilní zařízení. Má tento fakt nějaký vliv na vaši práci a další uvažování o bezpečnosti Androidu?

Myslím, že bezpečnost Androidu s verzí 10 obrovským způsobem vzrostla a již delší dobu je vidět, že čím bezpečnější je platforma, tím více se útočníci spíše než na systém samotný soustředí na jiný slabý článek, kterým jsou v tomto případě například aplikace. Bezpečnostní politika Google se tomu pochopitelně přizpůsobuje, například se více soustředíme na reportování.