In 2020, Google a lansat Android Partner Vulnerability Initiative, pentru a imbunatati securitatea sistemului de operare Android. De asemenea, au format o echipa de securitate Android.
Amenintari comune la securitate
Cercetarile companiei de securitate Trend Micro indica abuzul de servicii premium ca fiind cel mai comun tip de malware Android, in care mesajele text sunt trimise de pe telefoane infectate catre numere de telefon cu tarif premium, fara consimtamantul sau chiar cunostintele utilizatorului. Alte programe malware afiseaza reclame nedorite si intruzive pe dispozitiv sau trimit informatii personale catre terti neautorizati.
Se pare ca amenintarile de securitate pe Android cresc exponential; cu toate acestea, inginerii Google au sustinut ca amenintarea malware si a virusilor de pe Android este exagerata de companiile de securitate din motive comerciale si au acuzat industria de securitate ca profita de temerile utilizatorilor, pentru a vinde software de protectie impotriva virusilor.
Google sustine ca programele malware periculoase sunt de fapt extrem de rare, iar un sondaj realizat de F-Secure a aratat ca doar 0,5% din programele malware pentru Android raportate provin din magazinul Google Play.
In 2021, jurnalistii si cercetatorii au raportat descoperirea unui program spion, numit Pegasus, dezvoltat si distribuit de o companie privata care poate si a fost folosit pentru a infecta adesea smartphone-uri iOS si Android – partial prin utilizarea exploit-urilor de tip 0-day – fara a fi nevoie de orice interactiune cu utilizatorul sau indicii semnificative pentru utilizator si apoi sa fie utilizate pentru a exfiltra date, a urmari locatiile utilizatorilor, a captura continut video prin camerele dispozitivelor si a activa microfonul in orice moment.
Analiza traficului de date de catre smartphone-urile populare care ruleaza variante de Android a constatat o colectare si partajare de date substantiala in mod implicit, fara a renunta la acest software preinstalat. Ambele probleme nu sunt abordate sau nu pot fi rezolvate de corectiile de securitate.
Domeniul de supraveghere de catre institutiile publice
Ca parte a dezvaluirilor mai ample de supraveghere in masa din 2013, a fost dezvaluit in Septembrie 2013 ca agentiile de informatii americane si britanice, Agentia de Securitate Nationala (NSA) si, respectiv, sediul de comunicatii guvernamentale (GCHQ), au acces la datele utilizatorilor de pe iPhone, BlackBerry, si dispozitive Android.
Se pare ca sunt capabili sa citeasca aproape toate informatiile despre smartphone, inclusiv SMS-uri, locatie, e-mailuri si note. In Ianuarie 2014, rapoarte suplimentare au dezvaluit capacitatile agentiilor de informatii de a intercepta informatiile personale transmise pe internet prin retelele sociale si alte aplicatii populare, cum ar fi Angry Birds, care colecteaza informatii personale ale utilizatorilor lor, pentru publicitate si alte motive comerciale.
GCHQ are, potrivit The Guardian, un ghid in stil wiki cu diferite aplicatii si retele de publicitate si diferite date care pot fi extrase din fiecare. Mai tarziu in aceeasi saptamana, dezvoltatorul finlandez Angry Birds Rovio, a anuntat ca isi reconsidera relatiile cu platformele sale de publicitate in lumina acestor dezvaluiri si a cerut industriei mai largi sa faca acelasi lucru.
Documentele au scos la iveala un efort suplimentar al agentiilor de informatii de a intercepta cautarile si interogarile Google Maps trimise de pe Android si alte smartphone-uri pentru a colecta informatii despre locatie in bloc. NSA si GCHQ insista ca activitatile lor respecta toate legile interne si internationale relevante, desi The Guardian a declarat ca „cele mai recente dezvaluiri ar putea, de asemenea, sa contribuie la cresterea ingrijorarii publice cu privire la modul in care sectorul tehnologiei colecteaza si utilizeaza informatii, in special pentru cei din afara SUA, care sunt obisnuiti cu mai putina protectie a vietii private decat americanii.”
Scurgeri de documente publicate de WikiLeaks, cu nume de cod Vault 7 si datate din 2013 pana in 2016, detaliaza capacitatile Agentiei Centrale de Informatii (CIA) de a efectua supraveghere electronica si razboi cibernetic, inclusiv capacitatea de a compromite sistemele de operare ale majoritatii smartphone-urilor (inclusiv Android) .
Patch-uri de securitate
In August 2015, Google a anuntat ca dispozitivele din seria Google Nexus vor incepe sa primeasca lunar corectii de securitate. Google a mai scris ca „Dispozitivele Nexus vor continua sa primeasca actualizari majore timp de cel putin doi ani si corectii de securitate pentru o perioada mai lunga de trei ani de la disponibilitatea initiala sau 18 luni de la ultima vanzare a dispozitivului prin Google Store.”
In Octombrie urmator, cercetatorii de la Universitatea din Cambridge au ajuns la concluzia ca 87,7% dintre telefoanele Android utilizate aveau vulnerabilitati de securitate cunoscute, dar nerezolvate, din cauza lipsei de actualizari si asistenta. Ron Amadeo de la Ars Technica a scris in August 2015 ca „Android a fost conceput initial, mai presus de orice altceva, pentru a fi adoptat pe scara larga. Google incepea de la zero cu o cota de piata zero, asa ca a fost bucuros sa renunte la control si sa ofere tuturor un loc la masa, in schimbul adoptarii.
Acum, totusi, Android detine aproximativ 75–80% din piata mondiala de smartphone-uri – facandu-l nu doar cel mai popular sistem de operare mobil din lume, ci, probabil, cel mai popular sistem de operare, punct .
Ca atare, securitatea a devenit o problema majora. Android inca foloseste un lant de comanda de actualizare a software-ului, proiectat pe vremea cand ecosistemul Android nu avea niciun dispozitiv de actualizat si pur si simplu nu functiona asa”. In urma stirilor despre programul lunar al Google, unii producatori, inclusiv Samsung si LG, au promis sa emita actualizari lunare de securitate, dar asa cum a remarcat Jerry Hildenbrand in Android Central din Februarie 2016, „in schimb, am primit cateva actualizari pentru anumite versiuni pentru o gama mica de modele. Si o gramada de promisiuni incalcate”.
Intr-o postare din Martie 2017 pe Blogul de securitate al Google, liderii securitatii Android Adrian Ludwig si Mel Miller au scris ca „Peste 735 de milioane de dispozitive de la peste 200 de producatori au primit o actualizare de securitate a platformei in 2016” si ca „Partenerii nostri de transport si hardware au ajutat la extinderea implementarii acestei actualizari, lansand actualizari pentru peste jumatate din primele 50 de dispozitive din lume in ultimul trimestru al anului 2016”.
Ei au mai scris ca „Aproximativ jumatate dintre dispozitivele utilizate la sfarsitul anului 2016 nu au primit o actualizare de securitate a platformei in anul precedent”, afirmand ca munca lor se va concentra in continuare pe eficientizarea programului de actualizari de securitate, pentru o implementare mai usoara de catre producatori.
In plus, intr-un comentariu pentru TechCrunch, Ludwig a declarat ca timpul de asteptare pentru actualizarile de securitate a fost redus de la „noua saptamani la doar cateva zile”, cu 78% din dispozitivele emblematice din America de Nord fiind actualizate cu privire la securitate, la sfarsitul anului 2016.
Patch-urile la erorile gasite in sistemul de operare de baza adesea nu ajung la utilizatorii dispozitivelor mai vechi si cu preturi mai mici. Cu toate acestea, natura open-source a Android permite contractorilor de securitate sa preia dispozitivele existente si sa le adapteze pentru utilizari extrem de sigure. De exemplu, Samsung a lucrat cu General Dynamics prin achizitia Open Kernel Labs, pentru a reconstrui Jelly Bean pentru proiectul „Knox”.
Urmarirea locatiei
Telefoanele inteligente cu Android au capacitatea de a raporta locatia punctelor de acces Wi-Fi intalnite, pe masura ce utilizatorii de telefon se deplaseaza, pentru a construi baze de date care sa contina locatiile fizice a sute de milioane de astfel de puncte de acces. Aceste baze de date formeaza harti electronice pentru a localiza smartphone-urile, permitandu-le sa ruleze aplicatii precum Foursquare, Google Latitude, Facebook Places si sa livreze anunturi bazate pe locatie.
Software-ul de monitorizare al unei terte parti, cum ar fi TaintDroid, un proiect finantat de cercetare academica, poate in unele cazuri sa detecteze cand informatiile personale sunt trimise de la aplicatii la servere la distanta.
Alte exploatari notabile
In 2018, firma norvegiana de securitate Promon a dezvaluit o gaura serioasa de securitate in sistemul Android, care putea fi exploatata pentru a fura acreditarile de conectare, mesajele de acces si locatia de urmarire si putea fi gasita in toate versiunile de Android, inclusiv Android 10. Vulnerabilitatea a venit prin exploatarea unei erori in sistemul multitasking care permite unei aplicatii rau intentionate sa suprapuna aplicatii legitime cu ecrane de conectare false, de care utilizatorii nu sunt constienti atunci cand predau acreditarile de securitate.
De asemenea, utilizatorii pot fi pacaliti sa acorde permisiuni suplimentare aplicatiilor rau intentionate, care ulterior le permit acestora sa efectueze diverse activitati nefaste, inclusiv interceptarea mesajelor sau apelurilor si furtul acreditarilor bancare. Avast Threat Labs a descoperit, de asemenea, ca multe aplicatii preinstalate pe cateva sute de dispozitive Android noi contin programe malware si adware periculoase.
Unele dintre programele malware preinstalate pot comite fraude publicitare sau chiar sa preia controlul total al dispozitivului gazda.
In 2020 Watchdog a raportat ca mai mult de un miliard de dispozitive Android lansate in 2012 sau mai devreme, adica 40% dintre dispozitivele Android din intreaga lume, riscau sa fie piratate. Aceasta concluzie a rezultat din faptul ca nu au fost emise actualizari de securitate pentru versiunile Android sub 7.0, in 2019.
Pe 5 August 2020, Twitter a publicat un blog in care isi indemna utilizatorii sa-si actualizeze aplicatiile la cea mai recenta versiune in ceea ce priveste o problema de securitate care permitea altora sa acceseze mesajele directe.
Un hacker ar putea folosi cu usurinta „permisiunile sistemului Android” pentru a obtine acreditarile contului, pentru a face acest lucru. Problema de securitate era prezenta doar pe Android 8 (Android Oreo) si Android 9 (Android Pie). Twitter a confirmat ca actualizarea aplicatiei va restrictiona pe viitor astfel de practici.
Servicii Google Play si modificari ale furnizorilor
Dependenta de serviciile proprietare Google Play si personalizarile adaugate in partea superioara a sistemului de operare de catre furnizorii care licenteaza Android de la Google, provoaca probleme de confidentialitate.
