Local blog for Italian speaking developers
Protezioni variegate per un ecosistema variegato: il rapporto Android Security 2016 Year in Review
14 aprile 2017
Pubblicato da Adrian Ludwig e Mel Miller, Android Security Team
Oggi parliamo del rapporto annuale Android Security Year In Review, uno sguardo completo al nostro lavoro di protezione per 1,4 miliardi di utenti Android e dei loro dati.
Il nostro scopo è semplice: tenere al sicuro gli utenti. Nel 2016 abbiamo migliorato la nostra capacità di bloccare le app pericolose, di integrare nuove funzionalità di sicurezza in Android 7.0 Nougat, e abbiamo collaborato con i produttori di dispositivi, i ricercatori e gli altri membri dell’ecosistema Android. Se vuoi saperne di più, puoi leggere il
rapporto completo Year in Review
o guardare il nostro
webinar
.
Proteggere gli utenti dalle PHA
È cruciale proteggere contro le applicazioni potenzialmente pericolose,
Potentially Harmful Apps (PHAs)
, poiché possono mettere a rischio i dispositivi o i dati degli utenti. Il nostro lavoro continuo in quest’ambito ci obbliga a trovare soluzioni per rintracciare e fermare le PHA esistenti nonché prevedere quelle nuove che non sono ancora apparse.
Nel corso degli anni abbiamo costruito svariati sistemi per affrontare queste minacce: dagli application analyzer che verificano costantemente eventuali comportamenti non sicuri delle app, a Verify Apps che controlla regolarmente che non ci siano PHA nei dispositivi degli utenti. Quando questi sistemi rilevano le PHA, noi avvisiamo gli utenti consigliando di valutare se desiderano veramente scaricare una determinata app o perfino di rimuoverla del tutto dai loro dispositivi.
Monitoriamo costantemente le minacce e miglioriamo i nostri sistemi nel tempo. I dati dell’anno scorso rispecchiano questi miglioramenti: nel 2016, Verify Apps ha eseguito 750 milioni di controlli quotidiani, in aumento rispetto ai 450 milioni dell’anno precedente, consentendoci di ridurre il tasso d'installazione delle PHA nei 50 paesi con il maggiore utilizzo di Android.
Per gli utenti Android, Google Play continua a essere il luogo più sicuro nel quale scaricare le app. Le installazioni di PHA da Google Play sono diminuite praticamente in tutte le categorie:
i trojan sono scesi del 51,5 percento rispetto al 2015, ora rappresentano lo 0,016 percento delle installazioni;
i dowloader ostili sono scesi del 54,6 percento rispetto al 2015, ora rappresentano lo 0,003 percento delle installazioni;
i backdoor sono scesi del 30,5 percento rispetto al 2015, ora rappresentano lo 0,003 percento delle installazioni;
le app di phishing sono scese del 73,4 percento rispetto al 2015, ora rappresentano lo 0,0018 percento delle installazioni.
Entro la fine del 2016, soltanto lo 0,05 percento dei dispositivi che ha scaricato app esclusivamente da Play conteneva una PHA; in calo rispetto allo 0,15 percento nel 2015.
Tuttavia, c’è ancora molto lavoro da fare per i dispositivi nel loro complesso, soprattutto per quelli che installano app da più fonti. Sebbene alla fine del 2016 soltanto lo 0,71 percento dei dispositivi Android avesse delle PHA installate, c’è stato un leggero incremento rispetto allo 0,5 percento d’inizio 2015. Utilizzando gli strumenti migliorati e le conoscenze acquisite nel 2016, riteniamo di poter ridurre il numero di dispositivi colpiti dalle PHA nel 2017, a prescindere da dove gli utenti scarichino le app.
Nuove protezioni di sicurezza in Nougat
L’anno scorso abbiamo introdotto una
serie di nuove protezioni in Nougat
e abbiamo proseguito il nostro lavoro costante di
rafforzamento della sicurezza del Kernel Linux
.
Miglioramenti nella crittografia
: in Nougat, abbiamo introdotto la crittografia basata su file, che permette a ogni profilo utente su un singolo dispositivo di essere crittografato con una chiave unica. Per esempio, se hai un account personale e uno di lavoro sullo stesso dispositivo, la chiave del primo account non può sbloccare i dati del secondo. Più in generale, è dalla fine del 2014 che la crittografia dei dati utente si è resa necessaria per i dispositivi Android idonei, e oggi vediamo che questa funzionalità è abilitata su oltre l’80 percento dei dispositivi Android Nougat.
Nuove protezioni per audio e video
: abbiamo lavorato sodo per
migliorare la sicurezza e ristrutturare
il modo in cui Android gestisce i media audio e video. Un esempio: oggi memorizziamo diversi componenti media in sandbox individuali, mentre prima li tenevamo tutti insieme. Ora, se un componente è compromesso, non avrà automaticamente i permessi per gli altri componenti, e questo aiuta ad arginare altri eventuali problemi.
Maggiore sicurezza per gli utenti d'impresa
: abbiamo introdotto
diverse nuove funzionalità di sicurezza per l'impresa
, per esempio la VPN “Always On”, che protegge i tuoi dati dal momento in cui il dispositivo si avvia e ti assicura che non viaggino dal telefono aziendale al dispositivo personale su una connessione non sicura. Abbiamo anche aggiunto alla nostra
serie crescente di strumenti per l'impresa
la trasparenza nelle politiche di sicurezza, la registrazione dei processi, una gestione migliorata dei certificati wifi e alcuni perfezionamenti nella certificazione del client.
Lavorare insieme per rendere sicuro l’ecosistema Android
La condivisione delle informazioni sulle minacce di sicurezza fra Google, i produttori di dispositivi, la community di ricerca e altri soggetti ci permette di tenere maggiormente al sicuro tutti gli utenti Android. Nel 2016, le nostre più grandi collaborazioni hanno avuto luogo nell'ambito del programma mensile sugli aggiornamenti di sicurezza e della partnership continua con la community di ricerca sulla sicurezza.
Gli aggiornamenti di sicurezza vengono sempre considerati come un pilastro della sicurezza mobile, e c'è un motivo. Abbiamo
lanciato il nostro programma mensile sugli aggiornamenti di sicurezza
nel 2015, a seguito della divulgazione al pubblico di un bug su Stagefright, per contribuire ad accelerare il patching delle vulnerabilità di sicurezza su tutti i dispositivi di svariati produttori. Questo programma si è espanso significativamente nel 2016:
oltre 735 milioni di dispositivi di più di 200 produttori hanno ricevuto un aggiornamento di sicurezza della piattaforma nel 2016;
abbiamo pubblicato gli aggiornamenti di sicurezza Android mensili tutto l’anno per i dispositivi con Android 4.4.4 e superiore, ovvero, l’86,3 percento di tutti i dispositivi Android attivi nel mondo;
i nostri produttori di hardware e gestori telefonici ci hanno permesso di espandere l’implementazione di questi aggiornamenti, pubblicando aggiornamenti per oltre la metà dei 50 dispositivi più diffusi nel mondo nell’ultimo trimestre del 2016.
Nel corso del 2016, abbiamo fornito aggiornamenti di sicurezza mensili per tutti i dispositivi che supportano Pixel e Nexus e siamo inoltre entusiasti di vedere che i nostri partner investono significativamente negli aggiornamenti regolari. Tuttavia, c’è ancora un ampio margine di miglioramento. Circa la metà dei dispositivi in uso alla fine del 2016 non ha ricevuto un aggiornamento di sicurezza della piattaforma nell’anno precedente. Stiamo lavorando per aumentare gli aggiornamenti di sicurezza sui dispositivi rendendo più efficiente il nostro programma, affinché per i produttori sia più semplice implementare patch di sicurezza e pubblicare
aggiornamenti A/B
, facilitando quindi anche agli utenti l’applicazione di tali patch.
Sul versante della ricerca, il nostro programma Android Security Rewards sta crescendo rapidamente: nel 2016
abbiamo pagato i ricercatori quasi un milione di dollari
per i rapporti che ci hanno fornito. Parallelamente, abbiamo lavorato a stretto contatto con diverse società di sicurezza per identificare e risolvere rapidamente i problemi che possono aver creato rischi agli utenti.
Siamo grati del duro lavoro svolto dai partner di Android, dai ricercatori esterni e dai team di Google che hanno portato agli ottimi risultati raggiunti dall’ecosistema nell’ambito della sicurezza nel 2016. Ma non è finita qui. Tenere al sicuro gli utenti richiede vigilanza e sforzi costanti. Non vediamo l’ora di fare scoperte e progressi nuovi nel 2017 e negli anni futuri.
Etichette
Android
Firebase
machine learning
Google Cloud Platform
GDL
Eventi
Google Developers Live
Google Play
TensorFlow
App
Chrome
Cloud
api
GDLItalia
GDE
GDG
Google Assistant
iOS
Kotlin
Actions on Google
Deep Learning
AppEngine
AMP
BigQuery
Cloud Functions
Flutter
Android Studio
Google Developers Expert
Università
Google AppEngine
JavaScript
AI
Android Wear
GAE
Google Play Store
HTML5
Maps
security
Android App Development
AngularJS
IoT
Kubernetes
Annunci
Cloud Firestore
Cloud Machine Learning
Google I/O
Polymer
Android Things
Community
DevTools
Google App Engine
intelligenza artificiale
Entrepreneurship
Firebase Analytics
GSoC
Games
Google Cast
ML
open source
Crashlytics
Dart
Diversity
Drive
Google Data Studio
Google Play Games
TensorFlow Lite
Android Developers
Android O
Cloud Spanner
Cloud TPU
Compute Engine
DevFest
Google Compute Engine
Google Developers
Material Design
Mobile
PWA
Python
Startup
AIY Project
ARCore
Android Jetpack
AndroidDev
Androidq
Apps Script
Artificial Intelligence
Augmented Reality
Firebase Cloud Messaging
Google Cloud
Google Maps
Gsuite
IO19
ML kit
Research
VR
coding
unity
#io19
AR
Android Dev Summit
Android Developer
Android Q
Cardboard
Cloud AI
Coral
Developers
Dialogflow
Firebase Realtime Database
Gmail
Google AI
Google Cloud Messaging
Google ContainerEngine
Google Play Console
Kotlin Coroutines
NLP
Programming
Responsive Design
TensorFlowjs
Testing
WTM
Women
beacons
cloud storage
developer
node JS
student programs
women techmakers
API Cloud Vision
Add-ons
Android P
AndroidDevStory
Animation
AutoML
Brillo
Classroom
DSC
Database
Developer Student Clubs
Edge TPU
Fabric
Featured
Flutter Web
G Suite
GWT
GoLang
Google
Google Brain
Google Cloud Next
Google Container Engine
Google Developer Groups
Google I/O Extended
Graph
Hosting
Instant Apps
Keras
Livedata
Mobile Sites
Prediction
Privacy
Project Tango
SDK
Stackdriver
Tales
UI
Udacity
Virtual Reality
Web
Web Development
YouTube
analytics
android security
api.ai
courses
google io
indies
natural language processing
reti neurali
sign-in
young developers
2d Animation
3d
AIY
ARkit
Adversarial Learning
Alpha
Android App
Android App Developmen
Android App bundle
Android Architecture
Android Architecture Components
Android Auto
Android Automotive OS
Android Dev Summit Android Developer
Android Developer Challenge
Android Developers GooglePlayAwards
Android Development
Android Go
Android Instant App
Android Pie
Android Q Scoped Storage
Android Q audio
Android Styles
Android audio playback capture
Android codelabs
AndroidTV
AndroidX
Angular
Aogdevs
Api Design
App Development
App Distribution
Apps
Architecture
Architecture Components
Arduino
Best Practices
Betatesting
Bugs
C++
Certification
Cloud Anchors
Cloud Next
Cloud Run
Cloud Service Platform
Cloud Shell
Cloud Study Jam
Coached Conversational Preference Elicitation
Commerce
Community Connector
Computer Science
Consistency
Containers
Converge
Conversation Design
Crash Reporting
DLS Design
Dagger
Data Science
Databases
Dependency Injection
Design
Developer Communities
Developer Community
Developer Culture
Developer Story
Developing Media Apps
Development
Eager
Edge TPU Dev Board
Education
Emulatore Android
Error Message
Eslint
Europe
Firebase Extensions
Firebase Summit 2019
Firebasehosting
Flutter 1.5
Flutter at IO
FlutterDark
GCE
GDD
Game Development
Gboard
Gesture Navigation
Glass
Go
Google AI Quantum
Google App Script
Google Cloud Functions
Google Cloud billing
Google Coral
Google Developer Days
Google Home Hub
Google IOS Android
Google Identity Platform
Google Launchpad
Google Lens
Google Now
Google Photos
Google Play Devs
Google Play Indie Games Festival
Google Play Instant
Google Plus
Google codelabs
Google+
GoogleDevWeekly
GoogleLaunchpad
GooglePlay
Graphics
Healthcare
I/O
IO
IO19 Flutter
In-app Billing
Indie Games
Indie Games Festival
Indie games showcase
Indie showcase
Ingress
Instant Games
Issues
Java
Jetpack
Knative
Kotlin Beginners
Kotlin Everywhere
Kotlin codelabs
Lighthouse
Live Caption
Live Streaming
Localization
Location
M-Theory
Mondaygram
Monetization
NYT
NativeScript
Navigation
Neural Graph Learning
Neural Structured
Nodejs
OS
OS Updates
Olivex
One Time Codes
Online Education
PHA
Performance Monitoring
Policy
Posenet
Project Mainline
Project Treble
Quantum Computing Theory
Reactive Programming
Regression
Remote Config
Resonance Audio
Room
Scoped Storage
Semantics
Semi Supervised Learning
Serverless
Sms Retriever Api
Sms Verification
Speech Recognition
Swift
Tensorflow Core
Tensorflow Hub
Test Lab
Text
Tokenizer
Tpu
Transformers
UX
UX Design
UX Research
Universal Sentence Encoder
Unsupervised Data Augmentation
Unsupervised Learning
User Experience
Viewmodel
Voice
WWW
Wear OS
WebAssembly
Widget
Women in Tech
WomenTechmakers
android kotlin
app stability
assistant
audio recording
augmented faces
authsub
best practices and updates
billing
botnet
business
c++ games
cancer
chatbot
chrome privacy
codelab
codelabs
competition
daydream
designer
dominio .dev
error handling
event
firebase games
firebase gdc
firebase hosting
firebase unity
game center authentication
game testing
games authentication
gdc
google summer of code
googledevelopers
grow
hashcode
indie
indie developers
internship
kids
machine intelligence
machine learning accelerator
maker
multi-platform
nearby
oauth
openid
performance
persistent AR
privacy sandbox
prizes
prototype
purchase flows
queries
realtime
responsible AI
security rules
showcase
solutions challenge
startup africa roadtrip
startup times
students
summer of code
unity crashlytics
verify apps
win
Archivio Blog
2020
feb
gen
2019
dic
nov
ott
set
ago
lug
giu
mag
apr
mar
feb
gen
2018
dic
nov
ott
set
ago
lug
giu
mag
apr
mar
feb
gen
2017
dic
nov
ott
set
ago
lug
giu
mag
apr
mar
feb
gen
2016
dic
nov
ott
set
ago
lug
giu
mag
apr
mar
feb
gen
2015
dic
nov
ott
set
ago
lug
giu
mag
apr
mar
feb
gen
2014
dic
nov
ott
set
ago
lug
giu
mag
apr
mar
feb
gen
2013
dic
nov
ott
set
ago
lug
giu
mag
apr
mar
feb
gen
Feed
Follow @GoogleDevsItaly
