หลากหลายการป้องกันสำหรับ ecosystem ที่ต่างกัน: รายงานสรุปความปลอดภัยบนระบบปฏิบัติการ Android ประจำปี 2016 (Android Security 2016 Year in Review)

วันนี้เราเสนอรายงานสรุปความปลอดภัยบนระบบปฏิบัติการ Android ประจำปี ครั้งที่ 3 ซึ่งเป็นรายงานเชิงลึกเกี่ยวกับการสร้างความปลอดภัยรวมทั้งการป้องกันข้อมูลให้แก่ผู้ใช้ระบบปฏิบัติการ Android กว่า 1.4 พันล้านราย

เป้าหมายของเรานั้นชัดเจน: ทำให้ผู้ใช้ของเราปลอดภัย  ในปี 2016 เราพัฒนาความสามารถในการหยุดแอปอันตรายต่างๆ พร้อมทั้งสร้างฟีเจอร์เพื่อความปลอดภัยใหม่ๆ ในระบบปฏิบัติการ Android 7.0 Nougat และทำงานร่วมกับผู้ผลิตอุปกรณ์ต่างๆ นักวิเคราะห์และสมาชิกในระบบนิเวศ Android มากมาย คุณสามารถอ่านข้อมูลเพิ่มเติมได้ที่ รายงานประจำปีของเรา หรือชม Android Security: 2016 Year in Review Webminar

คุ้มครองคุณจากแอปที่อาจมีอันตราย (PHAs)

การป้องกันผู้ใช้จากแอปที่อาจมีอันตราย (PHAs) อันจะทำให้ข้อมูลหรืออุปกรณ์ของพวกเขาอยู่ในความเสี่ยง  การทำงานอย่างต่อเนื่องของเราในด้านนี้ทำให้เราต้องหาทางตรวจสอบและหยุดแอปอันตรายเหล่านั้น และคาดการณ์ล่วงหน้าไปถึงความเป็นไปได้ของอันตรายที่ยังไม่เกิดขึ้นอีกด้วย

ในช่วงหลายปีที่ผ่านมาเราสร้างระบบรูปแบบต่างๆ ขึ้นมาเพื่อแก้ปัญหาภัยคุกคามเหล่านี้ เช่นเครื่องมือวิเคราะห์ที่รีวิวแอปต่างๆ เพื่อหาพฤติกรรมที่ไม่ปลอดภัยอย่างต่อเนื่อง และ Verify Apps ที่ตรวจเช็คแอปที่อาจมีอันตรายในอุปกรณ์ของผู้ใช้อย่างสม่ำเสมอ และแจ้งเตือนผู้ใช้เมื่อระบบตรวจพบแอปที่อาจมีอันตรายใดๆ พร้อมทั้งแนะนำให้ผู้ใช้ไตร่ตรองอย่างรอบคอบก่อนดาวน์โหลดแอปนั้น หรือนำทั้งแอปออกจากอุปกรณ์ของผู้ใช้

เราตรวจสอบภัยคุกคามอย่างต่อเนื่องและปรับปรุงระบบของเราอยู่ตลอดเวลา ข้อมูลจากปีที่แล้วสะท้อนให้เห็นการปรับปรุงต่างๆ เหล่านั้น: Verify Apps มีการตรวจสอบรายวันกว่า 750 ล้านครั้งในปี 2016 เพิ่มขึ้นจาก 450 ล้านครั้งในปีก่อนหน้า ซึ่งทำให้เราลดอัตราการติดตั้งแอปที่มีความเสี่ยงใน 50 ประเทศที่มีการใช้ Android เป็นอันดับต้นๆ

Google Play เป็นที่ที่ปลอดภัยที่สุดสำหรับผู้ใช้ในการดาวน์โหลดแอปต่างๆ จำนวนการดาวน์โหลดแอป PHA จาก Google Play ลดลงในเกือบทุกหมวด:

• 0.016 เปอร์เซ็นต์ของการติดตั้ง โทรจันลดลง 51.5 เปอร์เซ็นต์เมื่อเทียบกับปี 2015
• 0.003 เปอร์เซ็นต์ของการติดตั้ง แอปพลิเคชันดาวน์โหลดที่เป็นการคุกคามลดลง 54.6 เปอร์เซ็นต์เมื่อเทียบกับปี 2015
• 0.003 เปอร์เซ็นต์ของการติดตั้งหลังระบบลดลง 30.5 เปอร์เซ็นต์เมื่อเทียบกับปี 2015
• 0.0018 เปอร์เซ็นต์ของการติดตั้ง แอปฟิชชิ่งลดลง 73.4 เปอร์เซ็นต์เมื่อเทียบกับปี 2015

ภายในสิ้นปี 2016 มีเพียง 0.05 เปอร์เซ็นต์ของอุปกรณ์ที่ดาวน์โหลดแอปจาก Play ได้รับแอป PHA ซึ่งลดลงจาก 0.15 เปอร์เซ็นเมื่อปี 2015

อย่างไรก็ตามยังมีงานอีกมากที่เราต้องทำให้กับอุปกรณ์ทั้งหลายทั้งปวง โดยเฉพาะอุปกรณ์ที่ติดตั้งแอปจากแหล่งต่างๆ ในขณะที่จนถึงถึงสิ้นปี 2016 มีเพียง 0.71 เปอร์เซ็นต์ของอุปกรณ์ Android ที่ได้ติดตั้งแอปที่อาจมีอันตราย ซึ่งเพิ่มขึ้นเล็กน้อยจาก 0.5 เปอร์เซ็นต์จากเมื่อต้นปี 2015 การใช้เครื่องมือที่ได้รับการปรับปรุงและความรู้ที่เราได้รับ 2016 เราคิดว่าเราสามารถลดจำนวนอุปกรณ์ที่ได้รับอันตรายจาก PHAs ในปี 2017 ไม่ว่าจะติดตั้งแอปเหล่านั้นจากที่ใด

การป้องกันความปลอดภัยใหม่ๆ ใน Nougat

ปีที่แล้วเราได้แนะนำการป้องกันรูปแบบใหม่ๆ ใน Nougat และยังทำงานอย่างต่อเนื่องเพื่อให้การรักษาความปลอดภัยของ Linux Kernel มีความเข็งแรงยิ่งขึ้น

• ปรับปรุงการเข้ารหัส: ใน Nougat เราแนะนำการเข้ารหัสแบบ File-Based ที่เข้ารหัสโปรไฟล์ผู้ใช้แต่ละบัญชี ในแต่ละอุปกรณ์ด้วยรหัสผ่านที่ไม่เหมือนกัน ตัวอย่างเช่นถ้าคุณมีบัญชีผู้ใช้ส่วนตัวแยกกันกับบัญชีสำหรับงาน คุณไม่สามารถใช้รหัสผ่านของบัญชีส่วนตัวเปิดดูข้อมูลของอีกบัญชีหนึ่งได้ ซึ่งการเข้ารหัสข้อมูลผู้ใช้บนอุปกรณ์ Android ต่างๆ มีการนำมาใช้ตั้งแต่ปี 2014 แล้ว และเราพบว่ามีการใช้ฟีเจอร์นั้นบนอุปกรณ์ Android Nougat แล้วกว่า 80 เปอร์เซ็นต์
• การป้องกันเสียงและวิดีโอ: เรามีการทำงานอย่างหนักเพื่อปรับปรุงการรักษาความปลอดภัยและออกแบบสถาปัตยกรรมใหม่บนระบบปฏิบัติการในการรองรับสื่อวิดีโอและเสียง  ตัวอย่างเช่น เราเก็บคอมโพเนนท์ของไฟล์มีเดียที่แตกต่างกันในแซนด์บ็อกส์แยกจากกัน ในขณะที่เมื่อก่อนนี้ไฟล์มีเดียเหล่านี้จะอยู่ในที่เดียวกัน  ปัจจุบันหากมีคอมโพเนนท์ใดที่มีความเสี่ยงมันจะไม่ได้รับอนุญาตให้ใช้คอมโพเนนท์อื่นโดยอัตโนมัติอีกต่อไป ซึ่งเป็นการช่วยจำกัดขอบเขตไม่ให้เกิดปัญหาอื่นๆ ขึ้นอีก
• การรักษาความปลอดภัยสำหรับผู้ใช้งานระดับองค์กร: เราได้แนะนำฟีเจอร์ด้านความปลอดภัยสำหรับองค์กร ประกอบด้วย “Always On” VPN ที่ช่วยป้องกันข้อมูลของคุณจากอุปกรณ์ของคุณที่ใช้งานเป็นครั้งคราว และแน่นอนว่าข้อมูลอุปกรณ์ที่ใช้งานสำหรับองค์กรจะไม่รั่วไหลได้ยังอุปกรณ์ส่วนตัวของคุณผ่านระบบการเชื่อมต่อที่ไม่ปลอดภัย เรายังได้เพิ่มนโยบายด้านความปลอดภัยที่โปร่งใส ขั้นตอนในการเข้าระบบ  ปรับปรุงการเชื่อมต่อกับ WiFi และอุปกรณ์ไคลเอนท์ที่ได้รับการรับรองเข้าไปที่เครื่องมือสำหรับองค์กรที่เพิ่มอยู่ตลอดเวลา

ร่วมกันทำงานเพื่อสร้างความปลอดภัยให้กับระบบนิเวศของ Android

การแบ่งปันข้อมูลเกี่ยวกับภัยคุกคามระหว่าง Google ผู้ผลิตอุปกรณ์ กลุ่มนักวิจัย และกลุ่มนักพัฒนาต่างๆ ช่วยให้ผู้ใช้งาน Android ปลอดภัยมากยิ่งขึ้น ในปี 2016 ความร่วมมือครั้งใหญ่ที่สุดของเราคือ โปรแกรมอัปเดทความปลอดภัยรายเดือนที่เปิดให้กับพาร์ทเนอร์ของเราและกลุ่มนักวิจัยด้านความปลอดภัย

การอัปเดทระบบรักษาความความปลอดภัยจะเน้นไปที่การสร้างความปลอดภัยบนมือถือเป็นหลัก เราเปิดตัวโปรแกรมอัปเดทความปลอดภัยรายเดือน ในปี 2015 หลังจากมีการเปิดเผยข้อมูลสาธารณะที่เกี่ยวกับช่องโหว่ Stagefright ที่ช่วยเร่งสร้างความปลอดภัยและจัดการกับช่องโหว่ให้กับอุปกรณ์จากผู้ผลิตอุปกรณ์ค่ายต่างๆ โปรแกรมดังกล่าวขยายตัวอย่างรวดเร็วในปี 2016:

• ในปี 2016 อุปกรณ์มากกว่า 735 ล้านเครื่องจากกว่า 200 ผู้ผลิต ได้รับอัปเดทแพลทฟอร์มเพื่อความปลอดภัย
• เราเปิดตัวระบบอัปเดทความปลอดภัยรายเดือนให้กับ Android รุ่น 4.4.4 และเวอร์ชั่นที่สูงกว่า ซึ่งตลอดทั้งปีมีจำนวนผู้ใช้งานระบบ Android ที่แอคทีฟทั่วโลกอยู่ที่ 86.3%
• พาร์ทเนอร์ผู้ผลิตอุปกรณ์และด้านฮาร์ดแวร์ของเราช่วยขยายการอัปเดทนี้ และปล่อยการอัปเดทนี้ให้กับผู้ผลิตอุปกรณ์ยักใหญ่จากทั่วโลก 50 รายในครึ่งปีแรกของ 2016

ตลอดปี 2016 เราได้อัปเดทระบบรักษาความปลอดภัยรายเดือนให้กับอุปกรณ์ Pixel และ Nexus และเราตื่นเต้นที่ได้เห็นพาร์ทเนอร์ของเราลงทุนสนับสนุนโปรแกรมการอัปเดทของเราอย่างต่อเนื่อง ซึ่งยังมีอีกหลายเรื่องที่ต้องได้รับการพัฒนา เมื่อปลายปีพบว่าอุปกรณ์ที่ใช้งานอยู่ขณะนี้กว่าครึ่งยังไม่ได้รับแพลทฟอร์มสำหรับอัปเดทความปลอดภัยในปีที่ผ่านมา เรากำลังเพิ่มจำนวนอุปกรณ์ให้ได้รับการอัปเดทระบบรักษาความปลอดภัยด้วยการสตรีมมิ่งโปรแกรมอัปเดทความปลอดภัยด้วยการสร้างระบบรักษาความปลอดภัยให้มีความคล่องตัวมากขึ้นเพื่อให้ผู้ผลิตอุปกรณ์จัดการความปลอดภัยและปล่อยอัปเดท A/B updates เพื่อช่วยให้ผู้ใช้งานจัดการได้ง่ายขึ้น

ด้านผลงานการวิจัย โปรแกรม Android Security Rewards ของเราเติบโตอย่างรวดเร็ว: เราลงทุนราวๆ 1 ล้านเหรียญสหรัฐฯ ให้นักวิจัยได้จัดทำรายงานวิจัยในปี 2016 ขณะเดียวกันเราได้ทำงานอย่างใกล้ชิดกับบริษัทด้านระบบรักษาความปลอดภัยมากมายเพื่อวิเคราะห์หาสาเหตุและวิธีการแก้ไขปัญหาที่อาจสร้างความเสี่ยงต่อผู้ใช้งานของพวกเรา

เราชื่นชมการทำงานอย่างหนักโดยพันธมิตร Android นักวิจัยจากภายนอกและอีกหลายทีมของ Google ที่นำไปสู่ความคืบหน้าที่ทั้งระบบนิเวศนี้ได้สร้างความปลอดภัยในปี 2016 แต่เรายังไม่หยุดแค่นี้ เรายังมุ่งมั่นสร้างความปลอดภัยให้กับผู้ใช้งานทุกคนอย่างต่อเนื่อง เรายังคงดำเนินการเพื่อวิเคราะห์ข้อมูลเชิงลึกและความคืบหน้าต่อไปในปี 2017

โพสต์โดย เอเดรียน ลุดวิก และ เมล มิลเลอร์ ทีมระบบความปลอดภัย ของ Android

Diverse protections for a diverse ecosystem: Android Security 2016 Year in Review

Today, we’re sharing the third annual Android Security Year In Review, a comprehensive look at our work to protect more than 1.4 billion Android users and their data.

Our goal is simple: keep our users safe. In 2016, we improved our abilities to stop dangerous apps, built new security features into Android 7.0 Nougat, and collaborated with device manufacturers, researchers, and other members of the Android ecosystem. For more details, you can read the full Year in Review report or watch our webinar.

Protecting you from PHAs

It’s critical  to keep people safe from Potentially Harmful Apps (PHAs) that may put their data or devices at risk. Our ongoing work in this area requires us to find ways to track and stop existing PHAs, and anticipate new ones that haven’t even emerged yet.

Over the years, we’ve built a variety of systems to address these threats, such as application analyzers that constantly review apps for unsafe behavior, and Verify Apps which regularly checks users’ devices for PHAs. When these systems detect PHAs, we warn users, suggest they think twice about downloading a particular app, or even remove the app from their devices entirely.

We constantly monitor threats and improve our systems over time. Last year’s data reflected those improvements: Verify Apps conducted 750 million daily checks in 2016, up from 450 million the previous year, enabling us to reduce the PHA installation rate in the top 50 countries for Android usage.

Google Play continues to be the safest place for Android users to download their apps. Installs of PHAs from Google Play decreased in nearly every category:

• Now 0.016 percent of installs, trojans dropped by 51.5 percent compared to 2015
• Now 0.003 percent of installs, hostile downloaders dropped by 54.6 percent compared to 2015
• Now 0.003 percent of installs, backdoors dropped by 30.5 percent compared to 2015
• Now 0.0018 percent of installs, phishing apps dropped by 73.4 percent compared to 2015

By the end of 2016, only 0.05 percent of devices that downloaded apps exclusively from Play contained a PHA; down from 0.15 percent in 2015.

Still, there’s more work to do for devices overall, especially those that install apps from multiple sources. While only 0.71 percent of all Android devices had PHAs installed at the end of 2016, that was a slight increase from about 0.5 percent in the beginning of 2015. Using improved tools and the knowledge we gained in 2016, we think we can reduce the number of devices affected by PHAs in 2017, no matter where people get their apps.

New security protections in Nougat

Last year, we introduced a variety of new protections in Nougat, and continued our ongoing work to strengthen the security of the Linux Kernel.

• Encryption improvements: In Nougat, we introduced file-based encryption which enables each user profile on a single device to be encrypted with a unique key. If you have personal and work accounts on the same device, for example, the key from one account can’t unlock data from the other. More broadly, encryption of user data has been required for capable Android devices since in late 2014, and we now see that feature enabled on over 80 percent of Android Nougat devices.
• New audio and video protections: We did significant work to improve security and re-architect how Android handles video and audio media. One example: We now store different media components into individual sandboxes, where previously they lived together. Now if one component is compromised, it doesn’t automatically have permissions to other components, which helps contain any additional issues.
• Even more security for enterprise users: We introduced a variety of new enterprise security features including “Always On” VPN, which protects your data from the moment your device boots up and ensures it isn't traveling from a work phone to your personal device via an insecure connection. We also added security policy transparency, process logging, improved wifi certification handling, and client certification improvements to our growing set of enterprise tools.

Working together to secure the Android ecosystem

Sharing information about security threats between Google, device manufacturers, the research community, and others helps keep all Android users safer. In 2016, our biggest collaborations were our monthly security updates program and ongoing partnership with the security research community.

Security updates are regularly highlighted as a pillar of mobile security—and rightly so. We launched our monthly security updates program in 2015, following the public disclosure of a bug in Stagefright, to help accelerate patching security vulnerabilities across devices from many different device makers. This program expanded significantly in 2016:

• More than 735 million devices from 200+ manufacturers received a platform security update in 2016.
• We released monthly Android security updates throughout the year for devices running Android 4.4.4 and up—that accounts for 86.3 percent of all active Android devices worldwide.
• Our carrier and hardware partners helped expand deployment of these updates, releasing updates for over half of the top 50 devices worldwide in the last quarter of 2016.

We provided monthly security updates for all supported Pixel and Nexus devices throughout 2016, and we’re thrilled to see our partners invest significantly in regular updates as well. There’s still a lot of room for improvement however. About half of devices in use at the end of 2016 had not received a platform security update in the previous year. We’re working to increase device security updates by streamlining our security update program to make it easier for manufacturers to deploy security patches and releasing A/B updates to make it easier for users to apply those patches.

On the research side, our Android Security Rewards program grew rapidly: we paid researchers nearly $1 million dollars for their reports in 2016. In parallel, we worked closely with various security firms to identify and quickly fix issues that may have posed risks to our users.

We appreciate all of the hard work by Android partners, external researchers, and teams at Google that led to the progress the ecosystem has made with security in 2016. But it doesn’t stop there. Keeping you safe requires constant vigilance and effort. We’re looking forward to new insights and progress in 2017 and beyond.

Posted by Adrian Ludwig & Mel Miller, Android Security Team