Video: Apple vs Google on Privacy: Fight! (Desember 2024)
Pada Konferensi RSA, Teknisi Utama Google untuk Keamanan Android Adrian Ludwig mempresentasikan filosofi perusahaan untuk mengamankan platform mobile mereka. Ini biasanya pendekatan Google yang bergantung pada pengumpulan data dan layanan bangunan. Tetapi pada saat yang sama tampaknya terbang dalam menghadapi keamanan seluler konvensional.
Keamanan Tak Terlihat
Beberapa kali selama pembicaraan, Ludwig kembali ke gagasan keamanan yang halus. "Keamanan yang efektif dan tidak terlihat membangkitkan ketenangan, " katanya. Tujuannya adalah agar pengguna berinteraksi dengan ponsel, tablet, atau apa pun yang menjalankan Android tanpa masalah keamanan menghalangi mereka. "Bukannya keamanan tidak berarti itu tidak ada, " kata Ludwig. "Itu berarti berhasil."
Pendekatan ini sangat berbeda dari industri keamanan secara keseluruhan, katanya, yang sangat bergantung pada "teater keamanan." Baginya, ini berarti aplikasi yang dengan keras menyatakan seberapa banyak mereka melindungi Anda. "Sebagian besar keamanan pada akhirnya tentang menjual Anda lebih banyak keamanan, " kata Ludwig dalam sebuah pernyataan yang jujur dan jujur di sebuah konferensi yang melayani perusahaan keamanan.
Izin adalah pengecualian penting. "Itu satu-satunya tempat yang kami jelaskan tentang keamanan kepada pengguna, " katanya. Ini menentukan apa yang dapat dan tidak dapat diakses aplikasi, dan kami mendorong pembaca untuk melihatnya dengan cermat untuk membuat keputusan yang baik tentang apa yang mereka unduh. Ludwig mengatakan itu bukan niatnya. "Apakah kita berpikir orang akan membuat keputusan yang cerdas setiap kali? Ingat, kita melihat apa yang dicari orang setiap hari, " tambahnya masam. Dia melanjutkan dengan mengatakan bahwa izin ada di sana tidak begitu banyak untuk pengguna, tetapi untuk membantu pengembang membuat keputusan yang baik "sebagian besar waktu."
Ini cocok dengan pernyataan mengejutkan Ludwig lainnya: bahwa ia tidak melihat Android sebagai sistem operasi, melainkan platform pengembangan. "[Android] adalah satu set API yang dimaksudkan untuk membuat aplikasi yang kuat, " katanya. "Kami memberikan layanan dalam bentuk aplikasi."
Apa yang Google Sediakan
Sementara Ludwig meluangkan waktu untuk membahas bagaimana dasar-dasar Android membuat platform aman - termasuk berterima kasih kepada NSA untuk SC Linux - ia juga menyentuh pada layanan Google yang lebih terlihat. Misalnya, ia mengklaim bahwa upaya deteksi malware Google di Google Play melampaui upaya seluruh industri AV. Meskipun dia mengakui bahwa itu tidak sempurna.
Selain alat lain yang jelas seperti Android Device Manager, Ludwig menunjuk ke layanan Aplikasi Terverifikasi Google, yang memberikan beberapa perlindungan bagi pengguna yang memasang aplikasi dari luar Play store. "Anda mungkin memilikinya di ponsel Anda dan tidak mengetahuinya, karena itulah yang kami lakukan, " kata Ludwig.
Ada juga Android Safety Net, yang menurut Ludwig memperluas perlindungan waktu-nyata ke perangkat itu sendiri. Ini mencari kemungkinan pelanggaran, seperti sering meminta untuk mengirim pesan SMS premium - taktik umum yang digunakan untuk memonetisasi aplikasi berbahaya.
"Saya harus menebak bahwa ini adalah penyebaran layanan keamanan terbesar di dunia, " kata Ludwig.
Keragaman dan Keterbukaan itu Baik
Android dikenal sebagai platform terbuka, dan Ludwig mengatakan bahwa pendekatan ini telah memberikan data berharga tentang aktor yang baik, aktor yang buruk, dan perilaku normal pada perangkat seluler. "Ketika dunia menjadi lebih interaktif dan ada lebih banyak data mengalir bolak-balik, keamanan sebenarnya menjadi lebih baik." Ludwig percaya bahwa ini sangat berbeda dari strategi keamanan yang ditetapkan, yang menurutnya tergantung pada isolasi.
Keterbukaan berarti Android terfragmentasi, tetapi Ludwig tampaknya menyarankan bahwa keragaman ini adalah hal yang baik. Keragaman yang sangat besar dari perangkat keras dan perangkat lunak Android berarti jauh lebih sulit untuk mempengaruhi semua perangkat. "Seorang master emas tunggal dengan bug mempengaruhi ratusan juta pengguna, " katanya. "Tidak ada master emas tunggal [untuk Android], setiap perangkat dibangun dari sumber yang berbeda."
Bersikap terbuka juga memberi perusahaan keamanan tempat di Android. "Kami tidak mencegah mereka berjalan di platform kami, " katanya, tidak diragukan lagi membuat pukulan di Apple. Sebaliknya, Ludwig mengatakan Google menyambut perusahaan keamanan dan Android mendapat manfaat dari pekerjaan mereka.
Keterbukaan juga memfasilitasi penelitian akademis di bidang keamanan seluler yang berkembang. "Keamanan seluler adalah eufemisme untuk keamanan Android, " kata Ludwig. "Semua makalah tentang keamanan Android karena itu satu-satunya tempat [peneliti] memiliki akses di ponsel."
Apakah ini berfungsi?
Untuk menunjukkan keefektifan pendekatan Google terhadap keamanan, Ludwig menjalankan garis waktu eksploitasi Masterkey, yang diingat oleh pembaca SecurityWatch dari musim panas lalu. Dia mengatakan Google dapat dengan cepat menentukan bahwa tidak ada eksploitasi seperti itu di Play Store ketika mereka diberitahu itu ada. Terlebih lagi, setelah para peneliti Bluebox yang menemukan eksploit merilis data mereka secara publik, Google tampaknya hanya melacak delapan upaya per juta pemasangan.
Ludwig memiliki pandangan yang sama tentang malware Android secara keseluruhan, yang telah banyak dilaporkan meningkat. Dia menghubungkan ini lebih ke proliferasi cepat perangkat Android, dan data yang disajikan menunjukkan contoh yang relatif kecil dari malware di alam semesta Android yang sangat besar. "Kamu mendapatkan berita utama yang luar biasa dengan dasarnya tidak ada yang terpengaruh."
Harus dikatakan bahwa, sejauh ini, Google telah melakukan pekerjaan luar biasa dalam mengelola keamanan Android - terutama mengingat bagaimana smartphone meledak ke panggung dan mendominasi komputasi modern. Namun, masih ada masalah serius yang harus diatasi ke depan, seperti aplikasi yang bocor dan pengamanan data pribadi.
Dari perspektif Google, Android memiliki keamanan yang seimbang dengan rahmat. Menjaga keseimbangan itu mungkin akan menjadi cara Android dinilai saat jatuh tempo.