비디오: 🏃💨 Subway Surfers - Official Launch Trailer (십월 2024)
RSA 컨퍼런스에서 Google의 Android 보안 수석 엔지니어 Adrian Ludwig는 모바일 플랫폼 보안에 대한 회사의 철학을 발표했습니다. 일반적으로 데이터 수집 및 서비스 구축에 의존하는 Google의 접근 방식입니다. 그러나 동시에 기존의 모바일 보안에 직면 한 것으로 보입니다.
보이지 않는 보안
대화 중 여러 차례 루드비히는 미묘한 안보에 대한 생각으로 돌아 왔습니다. "효과적이고 보이지 않는 보안은 침착 함을 불러 일으킨다"고 그는 말했다. 보안 문제없이 사용자가 휴대 전화, 태블릿 또는 Android를 실행중인 모든 항목과 상호 작용할 수 있도록하는 것이 목표였습니다. 루드비히는 "보안을 위협하지 않는다고해서 보안이 존재하지 않는다"는 것은 아니다. "그것은 작동하고 있다는 것을 의미합니다."
그는 이러한 접근 방식이 보안 산업과는 크게 다르며 "보안 극장"에 크게 의존하고 있다고 그는 말했다. 그에게 이것은 귀하를 얼마나 보호하고 있는지를 크게 선포하는 앱을 의미합니다. "가장 많은 보안은 궁극적으로 더 많은 보안을 판매하는 것에 관한 것"이라고 Ludwig는 보안 회사를위한 회의에서 놀랍게도 솔직한 진술로 말했다.
권한은 주목할만한 예외였습니다. "이것은 우리가 사용자의 보안에 대해 명백한 곳"이라고 그는 말했다. 이것들은 앱이 액세스 할 수있는 것과 액세스 할 수없는 것을 정의하며, 독자가 앱을 다운로드 할 때 올바른 결정을 내릴 수 있도록주의 깊게 살펴볼 것을 권장했습니다. 루드비히는 그런 의도가 아니라고 말했다. "우리는 사람들이 매번 현명한 결정을 내릴 것이라고 생각 했는가? 사람들이 매일 무엇을 검색하는지 봅니다." 그는 사용자에게는 권한이 많지 않지만 개발자가 "대부분의 시간"에 대한 올바른 결정을 내리는 데 도움이되었다고 말했습니다.
이것은 Ludwig의 놀라운 또 다른 진술과 일치합니다.Android를 운영 체제로 보지 않고 개발 플랫폼이라고 생각합니다. "[Android]는 강력한 애플리케이션을 개발하기위한 API 세트였습니다." "우리는 응용 프로그램 형태로 서비스를 제공합니다."
Google이 제공하는 것
Ludwig는 Android의 기반이 어떻게 NSA에 SC Linux에 대한 감사를 포함하여 플랫폼을 안전하게 만들 었는지 논의하는 데 많은 시간을 보냈지 만 더 눈에 띄는 Google 서비스에 대해서도 언급했습니다. 예를 들어, 그는 구글 플레이에 대한 구글의 악성 코드 탐지 노력이 전체 AV 산업의 악성 코드 탐지 노력을 능가한다고 주장했다. 그는 그것이 완전하지 않다는 것을 인정했지만.
Ludwig는 Android 기기 관리자와 같은 또 다른 확실한 도구 외에도 Google의 검증 된 앱 서비스를 지적했습니다.이 서비스는 Play 스토어 외부에서 앱을 설치하는 사용자를 보호합니다. 루드비히는“아마도 휴대 전화에 넣었을 지 모른다.
Ludwig는 장치 자체에 대한 실시간 보호 기능을 확장했다고 Android Safety Net도 있습니다. 이는 악의적 인 앱에서 수익을 창출하는 데 사용되는 일반적인 전술 인 프리미엄 SMS 메시지를 자주 요청하는 것과 같은 잠재적 인 악용을 찾습니다.
Ludwig는“이것이 세계에서 가장 큰 보안 서비스 배포 인 것으로 추측해야합니다.
다양성과 개방성이 좋다
안드로이드는 개방형 플랫폼으로 알려져 있으며 Ludwig는 이러한 접근 방식이 좋은 배우, 나쁜 배우 및 모바일 장치에서의 정상적인 행동에 대한 귀중한 데이터를 제공했다고 말했다. "세상이 대화식이되고 데이터가 더 많이 흐르면서 보안이 실제로 향상됩니다." Ludwig는 이것이 기존의 보안 전략과 크게 다르며 격리에 의존한다고 말했다.
개방성은 조각난 안드로이드를 의미했지만 Ludwig는 이러한 다양성이 좋은 것이라고 제안했습니다. 안드로이드 하드웨어와 소프트웨어의 다양성은 모든 기기에 영향을 미치는 것이 훨씬 어렵다는 것을 의미합니다. "버그가있는 단일 골드 마스터는 수억 명의 사용자에게 영향을 미칩니다." "[Android 용] 단일 골드 마스터가 없으며 모든 기기가 다른 소스로 제작되었습니다."
또한 보안 회사는 개방되어 Android에 자리를 마련했습니다. "우리는 그들이 우리 플랫폼에서 실행되는 것을 막지 않았다"고 애플은 의심 할 여지없이 말했다. 대신 Ludwig는 Google이 보안 회사를 환영했으며 Android는 업무의 혜택을 누렸다 고 말했다.
개방성은 또한 성장하는 모바일 보안 분야에서 학술 연구를 용이하게합니다. Ludwig는“모바일 보안은 Android 보안의 완곡 어”라고 말했다. "연구자들이 모바일에서 액세스 할 수있는 유일한 곳이기 때문에 모든 논문은 안드로이드 보안에 관한 것이다."
작동 되나요?
Ludwig는 Google의 보안 접근 방식의 효과를 입증하기 위해 Masterkey 익스플로잇의 타임 라인을 통해 지난 여름부터 조심스럽게 SecurityWatch 독자들이 기억할 것입니다. 그는 구글이 Play 스토어에 그러한 익스플로잇이 존재한다는 통보를 받았을 때 그러한 익스플로잇이 없음을 신속하게 확인할 수 있다고 말했다. 또한 익스플로잇을 발견 한 Bluebox 연구원들이 공개적으로 데이터를 공개 한 후 Google은 백만 건당 8 건의 시도 만 추적 한 것으로 보입니다.
Ludwig는 전체적으로 Android 악성 코드에 대해 비슷한 견해를 가지고 있으며, 이는 널리 증가하고있는 것으로보고되었습니다. 그는 이것이 안드로이드 기기의 급속한 확산에 기인 한 것이며, 그가 제시 한 데이터는 거대한 안드로이드 세계에서 상대적으로 작은 악성 코드 사례를 보여 주었다. "기본적으로 아무도 영향을받지 않는 놀라운 헤드 라인을 얻습니다."
지금까지 구글은 안드로이드 보안을 관리하는 데 엄청난 노력을 기울였으며, 특히 스마트 폰이 어떻게 등장하여 최신 컴퓨팅을 지배하게되는지 고려했다. 그러나 앱 유출 및 개인 데이터 보안과 같이 앞으로도 해결해야 할 심각한 문제가 있습니다.
Google의 관점에서 Android는 보안과 은혜의 균형을 맞췄습니다. 그 균형을 유지하는 것은 아마도 안드로이드가 성숙함에 따라 판단되는 방법 일 것입니다.
