ช่วงนี้วงการด้านความปลอดภัยไอทีมีงานสัมมนาใหญ่ประจำปี RSA Conference 2014 (จัดโดย RSA ที่เป็นบริษัทลูกของ EMC) ทำให้มีข่าวด้านเทคโนโลยีความปลอดภัยใหม่ๆ ออกมาพอสมควร
Adrian Ludwig หัวหน้าทีมวิศวกรด้านความปลอดภัย Android ไปพูดที่งานนี้ และเผยแพร่สไลด์นำเสนอเรื่องความปลอดภัยของ Android ทั้งแพลตฟอร์ม (รวม Google Play Services, Google Play Store และบริการอื่นๆ ด้วย ไม่ใช่แค่ตัว AOSP) ผมดูแล้วเห็นว่ามีประโยชน์และเป็นความรู้เชิงเทคนิคที่มีคุณค่า เลยนำมาเผยแพร่ต่อครับ
เนื้อหาโดยสรุป (เฉพาะประเด็นสำคัญ)
OS
- โมเดลความปลอดภัยของ Android OS พัฒนามาเรื่อยๆ โดยตอนแรกเริ่มจากการแยกแอพกับระบบออกจากกัน และแอพจะทำงานในโหมด sandbox ทั้งหมดเพื่อไม่ให้ส่งผลกระทบต่อระบบ (หน้า 6)
- Android 4.1 เพิ่มเรื่อง multi-user เข้ามา (แยกแอพและข้อมูลตามบัญชีผู้ใช้) และเพิ่ม Trust Zone สำหรับเก็บข้อมูลสำคัญๆ แยกจากระบบ เพื่อป้องกันปัญหา root โดนเจาะแล้วสูญเสียข้อมูลไปด้วย (หน้า 7)
- Android 4.3 เพิ่ม SELinux ทำให้เกิดการแบ่งส่วน (segmentation) ของ system และ root จะได้จำกัดวงความเสียหายถ้าโดนเจาะ (หน้า 8)
- Android 4.4 เพิ่มการเช็คข้อมูลว่าไม่ถูกแก้ไข (integrity) ของทั้งระบบ (หน้า 9)
Google Play Services
- Google Play Services มีบริการด้านความปลอดภัยหลายประการที่ไม่อิงกับตัว OS แต่ช่วยให้แพลตฟอร์มโดยรวมปลอดภัยขึ้น เช่น
- ตรวจสอบแอพใน Google Play Store ว่าปลอดภัย (หน้า 15)
- Verify Apps ตรวจสอบแอพที่ติดตั้งไปแล้วในเครื่องว่าปลอดภัย ปัจจุบันตรวจสอบแอพวันละ 20 ล้านครั้ง (หน้า 16)
- Android Safety Net ตรวจสอบการโจมตีประเภทต่างๆ (เช่น SMS) และป้องกันไม่ให้การโจมตีแบบนี้เกิดขึ้นได้
กูเกิลยกกรณี ช่องโหว่ Android Masterkey ที่เคยเป็นข่าวใหญ่เมื่อปีที่แล้วว่า ถึงแม้หัวข่าวจะบอก 99% ของอุปกรณ์ Android ได้รับผลกระทบก็ตาม แต่มาตรการที่กูเกิลวางไว้หลายชั้น (หน้า 32) ก็ช่วยกรองปัญหา และมีคนติดตั้งมัลแวร์ตัวนี้คิดเป็นสัดส่วนที่น้อยกว่า 1 ในล้านของผู้ใช้ทั้งหมด (หน้า 27)
ที่มา - +Adrian Ludwig via Android Police