Vídeo: Desbloqueio Google Moto G3, G4, Moto X Play, X3, E2, X2, Moto Maxx e Outros (Novembro 2024)
Na conferência da RSA, Adrian Ludwig, engenheiro líder do Google para segurança do Android, apresentou a filosofia da empresa de proteger sua plataforma móvel. É uma abordagem tipicamente do Google que se baseia na coleta de dados e na criação de serviços. Mas, ao mesmo tempo, isso parece estar de frente para a segurança móvel convencional.
Segurança invisível
Várias vezes durante a palestra, Ludwig voltou à ideia de segurança sutil. "Segurança eficaz e invisível evoca calma", disse ele. O objetivo era permitir que o usuário interaja com seu telefone, tablet ou o que quer que esteja executando o Android sem que problemas de segurança atrapalhem. "Não trombetar a segurança não significa que não existe", disse Ludwig. "Isso significa que está funcionando."
Essa abordagem é marcadamente diferente da do setor de segurança como um todo, disse ele, que depende muito do "teatro de segurança". Para ele, isso significa aplicativos que proclamam em voz alta o quanto estão protegendo você. "A maior parte da segurança consiste em vender mais segurança", disse Ludwig em uma declaração surpreendentemente franca em uma conferência que atende empresas de segurança.
Permissões foram a exceção notável. "É o único lugar em que somos explícitos sobre segurança para o usuário", disse ele. Eles definem o que um aplicativo pode ou não acessar, e incentivamos os leitores a analisá-los com cuidado para tomar boas decisões sobre o que eles baixam. Ludwig disse que essa não era realmente a intenção. "Pensamos que as pessoas tomariam decisões inteligentes todas as vezes? Lembre-se, vemos o que as pessoas buscam todos os dias", acrescentou ele ironicamente. Ele continuou dizendo que as permissões não existem muito para os usuários, mas para ajudar os desenvolvedores a tomar boas decisões "na maioria das vezes".
Isso se encaixa com outra surpreendente declaração de Ludwig: que ele não vê o Android como um sistema operacional, mas como uma plataforma de desenvolvimento. "[Android] era um conjunto de APIs destinadas a criar aplicativos poderosos", disse ele. "Prestamos serviços na forma de aplicativos".
O que o Google fornece
Enquanto Ludwig passava algum tempo discutindo como os fundamentos do Android tornaram a plataforma segura - incluindo agradecer à NSA pelo SC Linux -, ele também abordou os serviços mais visíveis do Google. Por exemplo, ele afirmou que os esforços de detecção de malware do Google no Google Play superam o de todo o setor de antivírus. Embora ele reconhecesse que não era infalível.
Além de outra ferramenta óbvia como o Gerenciador de dispositivos Android, Ludwig apontou para o serviço de aplicativos verificados do Google, que fornece alguma proteção aos usuários que instalam aplicativos de fora da Play Store. "Você provavelmente tem no telefone e não sabe, porque é assim que rolamos", disse Ludwig.
Há também a Android Safety Net, que Ludwig disse que estendeu a proteção em tempo real aos próprios dispositivos. Isso procura possíveis abusos, como solicitar frequentemente o envio de mensagens SMS premium - uma tática comum usada para monetizar aplicativos maliciosos.
"Eu teria que adivinhar que esta é a maior implantação de serviços de segurança do mundo", disse Ludwig.
Diversidade e abertura são boas
O Android é conhecido como uma plataforma aberta, e Ludwig disse que essa abordagem forneceu dados valiosos sobre bons atores, maus atores e comportamento normal em dispositivos móveis. "À medida que o mundo se torna mais interativo e há mais dados fluindo, a segurança fica melhor." Ludwig acredita que isso difere bastante das estratégias de segurança estabelecidas, que, segundo ele, dependem do isolamento.
A abertura significou um Android fragmentado, mas Ludwig parecia sugerir que essa diversidade era uma coisa boa. A enorme diversidade de hardware e software Android significa que é muito mais difícil afetar todos os dispositivos. "Um único mestre de ouro com um bug afeta centenas de milhões de usuários", disse ele. "Não existe um único mestre de ouro [para Android], todo dispositivo é construído a partir de fontes diferentes."
Ser aberto também deu às empresas de segurança um lugar no Android. "Não os impedimos de rodar em nossa plataforma", disse ele, sem dúvida fazendo uma piada na Apple. Ludwig disse que o Google acolheu empresas de segurança e o Android se beneficiou do seu trabalho.
A abertura também facilita a pesquisa acadêmica no crescente campo da segurança móvel. "A segurança móvel é um eufemismo para a segurança do Android", disse Ludwig. "Todos os trabalhos são sobre segurança do Android, porque é o único lugar [os pesquisadores] têm acesso no celular".
Está funcionando?
Para demonstrar a eficácia da abordagem de segurança do Google, Ludwig percorreu uma linha do tempo da exploração da Masterkey, que os cuidadosos leitores do SecurityWatch se lembrarão do verão passado. Ele disse que o Google conseguiu determinar rapidamente que não existiam tais explorações na Play Store quando foram informados de que existia. Além disso, depois que os pesquisadores do Bluebox que descobriram a exploração publicaram seus dados, o Google aparentemente rastreou apenas oito tentativas por milhão de instalações.
Ludwig tinha uma visão semelhante do malware Android como um todo, que tem sido amplamente divulgado como estando em ascensão. Ele atribuiu isso mais à rápida proliferação de dispositivos Android, e os dados que ele apresentou mostraram uma instância relativamente pequena de malware no enorme universo de Androids. "Você recebe manchetes incríveis com basicamente ninguém sendo afetado".
É preciso dizer que, até agora, o Google fez um excelente trabalho ao gerenciar a segurança do Android - especialmente considerando como os smartphones entraram em cena e passaram a dominar a computação moderna. No entanto, ainda existem problemas sérios a serem resolvidos daqui para frente, como aplicativos com vazamento e proteção de dados pessoais.
Do ponto de vista do Google, o Android equilibrou segurança e graça. Manter esse equilíbrio provavelmente será como o Android é julgado à medida que amadurece.