چرا نباید نگران امنیت اندروید باشیم؟

به گزارش موبوایران، طی سال‌های گذشته ترس، عدم قطعیت و تردید زیادی در مورد امنیت اندروید وجود داشته است. باید بگوییم که در سال‌های ابتدایی فعالیت گوشی‌های اندرویدی این ترس‌ها کاملا منطقی بودند. پراکنده بودن گوشی‌های اندرویدی، الزامات گسترده برای تغییر «فریمور» (firmware) و عدم تمایل سازندگان گوشی‌ها برای انتشار این آپدیت‌ها باعث می‌شد که این گوشی‌ها نسبت به آیفون بیشتر در معرض خطرات امنیتی قرار بگیرند.

ده سال قبل اگر یک آسیب‌پذیری امنیتی آیفون کشف می‌شد، اپل به‌سرعت می‌توانست آن را برطرف کند. اما در اندروید برای اصلاح یک آسیب، کاربران گاهی اوقات ماه‌ها منتظر می‌ماندند.

در این میان، به طور کلی اندروید و به‌خصوص امنیت آن طی ۱۰ سال گذشته مسیر طولانی و پر پیچ‌وخمی را طی کرده است. این روزها بسیاری از بهترین گوشی‌های اندرویدی به مدت ۴ سال آپدیت امنیتی دریافت می‌کنند و خود اندروید هم به لطف تغییراتی که داشته یک سیستم‌عامل بسیار امن‌تر محسوب می‌شود.

اما مشکل این است که رویکرد گوگل برای امن نگه داشتن اندروید بسیار فنی و پیچیده به حساب می‌آید. در حالی که اپل به دلیل تسلطی که بر محصولات خود دارد و به لطف پایین بودن تعداد مدل‌های گوشی خود، به سادگی می‌تواند فریمور آن‌ها را به‌روزرسانی کند. اما یک اکوسیستم بزرگ‌تر، متنوع‌تر و با کنترل مستقیم کمتر، نیازمند اتخاذ رویکرد متفاوتی است.

سرویس‌های گوگل پلی

تقریبا تمام گوشی‌های اندرویدی که در بازار خارج از چین به فروش می‌رسند از سرویس‌های گوگل پلی بهره می‌برند. این سرویس‌ها بخش مهمی از گوشی‌های اندرویدی محسوب می‌شوند و می‌توانند بدون ایجاد سروصدا در پس‌زمینه‌ی سیستم به‌روزرسانی شوند. اما این سرویس‌ها نسبت به اپلیکیشن‌های معمولی موجود در گوشی شما اهمیت بسیار بیشتری دارند زیرا اپلیکیشن‌های سیستمی به حساب می‌آیند. به زبان ساده این یعنی سرویس‌های موردنظر قادر به دسترسی به هسته‌ی اصلی گوشی هستند و مثلا اگر گوشی شما گم یا دزدیده شود، می‌توانند داده‌های گوشی شما را پاک کنند.

نسخه‌های فعلی سرویس‌های گوگل پلی از اندروید ۵ که در سال ۲۰۱۴ منتشر شده نیز پشتیبانی می‌کنند. آخرین نسخه‌ی اندروید که پشتیبانی این سرویس‌ها را از دست داد اندروید ۴ بود که در سال ۲۰۱۱ از راه رسید و در سال ۲۰۱۸ بازنشسته شد.

این سرویس‌ها کارهای مهم دیگری را هم انجام می‌دهند ولی در ادامه قصد داریم به اهمیت این سرویس‌ها برای افزایش امنیت اندروید بپردازیم. این نوع اپلیکیشن‌های سیستمی که به طور مداوم در پس‌زمینه آپدیت می‌شوند، از گجت‌های عرضه شده در هفت یا هشت سال گذشته پشتیبانی می‌کنند و اجازه‌ی انجام تقریبا هر کاری را دارند، یک ابزار بسیار قدرتمند برای حفظ امنیت گوشی‌های اندرویدی محسوب می‌شوند.

به عنوان مثال، ابزار Google Play Protect بخشی از همین سرویس‌ها است. این ابزار به گوگل اجازه می‌دهد اپلیکیشن‌های موجود در گوشی، فارغ از اینکه از طریق گوگل پلی نصب شده‌اند یا نه، برای یافتن بدافزارها مورد بررسی قرار دهد. از آنجایی که سرویس‌های گوگل پلی از نوع اپلیکیشن‌های سیستمی محسوب می‌شوند، ابزار Play Protect می‌تواند خیلی زود دست به کار شود تا بدافزارها نتوانند به گوشی آسیب برسانند. به لطف به‌روزرسانی مداوم این سرویس‌ها، حتی اگر گوشی شما مدت‌ها قبل آپدیت شده باشد، باز هم تا حد زیادی در برابر بدافزارها ایمن خواهد بود.

اما مسلماً در وهله‌ی اول اگر یک سیستم‌عامل آسیب‌پذیری امنیتی نداشته باشد، ابزارهای جانبی برای حفاظت از سیستم کار بسیار راحت‌تری در پیش خواهند داشت. گوگل هم برای رسیدن به این هدف، توانسته راهکارهای مختلفی را برای آپدیت فریمور اندروید ارائه دهد. اول از همه باید بگوییم که اندروید بیش از پیش ماژولار شده و این شرکت برای توسعه‌ی نسخه‌های جدید همکاری نزدیک‌تری با شرکت‌های سازنده‌ی گوشی‌ها دارد. علاوه بر این، حداقل الزاماتی را برای سازندگان تعیین کرده تا گوشی‌های آن‌ها از لحاظ امنیتی ضعف اساسی نداشته باشند.

اندروید ماژولار می‌شود

یک دهه قبل، اندروید یک موجود یکپارچه‌ی بزرگ بود که باید یک‌باره آپدیت می‌شد. اما روند انتشار کدهای مختلف و قرارگیری آن‌ها توسط شرکت‌های مختلف، یک فرایند بسیار کند و زمان‌بر بود. اما طی این سال‌ها، گوگل توانسته اندروید را تا حد قابل توجهی ماژولار کند و به همین خاطر شرکت‌ها سریع‌تر از گذشته می‌توانند گوشی‌های خود را آپدیت کنند.

اولین اقدامات گوگل در این راستا شامل بیرون آوردن اپلیکیشن‌ها و بخش‌های مشخص از فریمور و امکان‌پذیر کردن به‌روزرسانی آن‌ها از طریق گوگل پلی استور بود. به عنوان مثال می‌توانیم به ابزار Webview اشاره کنیم که برای مشاهده‌ی محتوای وب در اپلیکیشن‌های مختلف مورد استفاده قرار می‌گیرد و با مستقل کردن آن، گوگل بسیار راحت‌تر از گذشته می‌تواند آن را به‌روزرسانی کند.

در سال ۲۰۱۷ گوگل در کنار اندروید ۸ از پروژه‌ی Treble رونمایی کرد. هدف این پروژه جداسازی بخش‌های مختلف اندروید برای افزایش سرعت آپدیت آن‌ها بود. گوگل با این پروژه می‌خواست که رابط کاربری شرکت‌های مختلف را از هسته‌ی اصلی اندروید جدا کند تا فرایند آپدیت با سرعت بیشتر و دردسرهای کمتری انجام شود. پروژه‌ی Treble چیزی نیست که کاربران عادی متوجه آن شوند اما به لطف همین اقدامات، گوشی‌های عرضه شده در سال ۲۰۱۸ آپدیت اندروید را زودتر از گوشی‌های خریداری شده در سال ۲۰۱۶ دریافت کردند.

گام بعدی ماژولار کردن اندروید، پروژه‌ی Mainline بود. هدف گوگل از این پروژه بخش‌بندی کردن قسمت‌های اصلی اندروید است تا ماژول‌های جدید بتوانند با سرعت بیشتری از طرف گوگل یا شرکت سازنده‌ی گوشی موردنظر ارائه شوند. در اندروید ۱۱ بخش‌هایی مانند وای‌فای و اجزای مربوط به شبکه‌های عصبی ماژولار شدند و در اندروید ۱۲ هم بخش Runtime یا ART به یک ماژول تبدیل شده که این یعنی باگ‌های امنیتی مربوط به این بخش مهم اندروید به راحتی و با سرعت زیادی برطرف خواهند شد.

برای درک بهتر بهبود امنیت اندروید در سال‌های گذشته، بهتر است به یکی از مهم‌ترین باگ‌های امنیتی این سیستم‌عامل به نام Stagefright نگاهی بیندازیم که در سال ۲۰۱۵ سروصدای زیادی ایجاد کرد. این باگ به هکرها اجازه می‌داد که کدهای مخرب خود را به شکل فایل‌های mp3 یا mp4 جا بزنند. در آن سال هیچ فرمول جادویی برای برطرف کردن این باگ ارائه نشد و تنها راهکار واقعی هم آپدیت فریمور اندروید و امید به برطرف شدن آن بود.

اما اگر در سال ۲۰۲۱ چنین باگ امنیتی در اندروید کشف شود، گوگل خیلی راحت می‌تواند ماژول مربوط به فایل‌های صوتی و تصویری مربوط به اندروید ۱۰ و نسخه‌های جدیدتر را به‌روزرسانی کند. با توجه به اینکه در هر نسخه‌ی جدید اندروید بخش‌های بیشتری ماژولار می‌شوند، احتمال اینکه یک باگ امنیتی مانند Stagefright دردسرهای زیادی را ایجاد کند، بسیار کمتر از گذشته است.

آپدیت‌های امنیتی اندروید

در پی دردسرهای باگ Stagefright، گوگل انتشار آپدیت‌های امنیتی اندروید را آغاز کرد. گوگل هر ماه این آپدیت‌های امنیتی را منتشر می‌کند و به سازندگان گوشی‌ها هم یک تا دو ماه زمان می‌دهد تا این آپدیت‌ها را در اختیار کاربران خود قرار دهند.

شرکت‌های سازنده‌ی گوشی‌های اندرویدی برای بهره‌گیری از سرویس‌های گوگل باید شرایط تعیین شده توسط این شرکت را بپذیرند. در سال ۲۰۱۸ اعلام شد که این شرکت‌ها باید حداقل دو سال آپدیت امنیتی برای گوشی‌های جدید خود ارائه دهند و در سال اول هم حداقل باید ۴ آپدیت امنیتی ارائه کنند. این در حالی است که امروزه بسیاری از گوشی‌های میان‌رده و پرچم‌دار فراتر از این حداقل‌ها عمل می‌کنند و مثلا می‌توانیم به سامسونگ اشاره کنیم که محدوده‌ی زمانی آپدیت امنیتی اندروید بسیاری از گوشی‌های خود را به ۴ سال رسانده است.

یک دهه پیشرفت

به لطف سریع‌تر شدن انتشار آپدیت‌های اندروید، ساده‌تر شدن آپدیت بخش‌های مختلف، افزایش زمان پشتیبانی نرم‌افزاری از گوشی‌ها و مقابله در برابر بدافزارها با ابزار Play Protect، امنیت اندروید در شرایط بسیار خوبی قرار دارد. امروزه بسیاری از خطرات امنیتی که سروصدای زیادی ایجاد می‌کنند به شکل حملات فیشینگ هستند. به عبارت دیگر با بهتر شدن امنیت اندروید، هکرها بیش از پیش فریب کاربران را جایگزین سوءاستفاده از حفره‌های امنیتی می‌کنند.

البته تمام این گفته‌ها به معنای بی‌نقص بودن امنیت اندروید و وضعیت آپدیت‌های آن نیست. در یک دنیای ایدئال، گوگل هم مانند اپل می‌تواند خیلی سریع و راحت حفره‌های امنیتی را برطرف کند. اگرچه ماژولار شدن اندروید تحقق این هدف را ساده‌تر می‌کند، اما برای ماژولار کردن دیگر بخش‌های مهم اندروید باید چند سالی منتظر بمانیم.

ابزار Google Play Protect اگرچه حرف زیادی برای گفتن دارد، اما فقط می‌تواند بدافزارهای مبتنی بر اپلیکیشن‌ها را خنثی کند و در برابر حفره‌های امنیتی جدی‌تر کار چندانی نمی‌تواند انجام دهد. از طرف دیگر، مجبور کردن شرکت‌ها برای اینکه حداقل هر سه ماه یک بار باید آپدیت امنیتی منتشر کنند، کافی نیست و گوگل باید قوانین سخت‌گیرانه‌تری در این راستا وضع کند.

اما در نهایت باید بگوییم که در سال ۲۰۲۱ این تفکر قدیمی و کلیشه‌ای که اندروید سرشار از بدافزارها و حفره‌های امنیتی است را باید کنار بگذاریم. معمولا وقتی اندروید از نظر امنیتی با iOS مقایسه می‌شود، در این مقایسه‌ها کمتر کسی به ماژولار شدن اندروید و سرویس‌های گوگل پلی اشاره می‌کند. این پلتفرم از سال ۲۰۱۱ مسیر طولانی و پر پیچ‌وخمی را طی کرده و حالا به حدی از ثبات امنیتی دست پیدا کرده که در آینده در برابر انواع و اقسام تهدیدهای جدی امنیتی می‌تواند از خود دفاع کند.