Im Laufe der Jahre hat sich gezeigt, dass Android ein weniger sicheres Betriebssystem als andere ist. Ein höherer Nutzeranteil erhöht die Sichtbarkeit und macht Android zu einem Hauptziel für Angreifer. Google bekämpft Malware weiterhin mit einem Belohnungsprogramm für diejenigen, die Sicherheitsverbesserungen finden. Dieses Mal wird es auch Verbesserungen am Android Open Source Project (AOSP) enthalten..
Die sogenannten Google Patch Rewards wurden als ein Programm vorgestellt, das diejenigen Benutzer oder Entwickler belohnen würde, die große Sicherheitsmängel Dies könnte zu einer ernsthaften Sicherheitslücke werden. Der Entwickler, der einen dieser Fehler findet, könnte mit einer Belohnung belohnt werden, die in der Vergangenheit lag zwischen 500 und 3.133,70 US-Dollar, abhängig von der von Google eingeschätzten Kritikalität.
Dieses Programm hat sich jedoch inzwischen geändert. Einerseits Es erweitert sich auch auf das Android Open Source Project (AOSP), sodass die Entwickler dieses Projekts Belohnungen erhalten können, wenn sie Sicherheitsprobleme finden. Darüber hinaus gibt es nun nicht nur Belohnungen für diejenigen, die einen schwerwiegenden Fehler finden, der zu einer Sicherheitslücke werden könnte, sondern auch für diejenigen, die Schlagen Sie sicherere Code-Neuschreibungen vor oder Prozesse durch andere ersetzen, die die Sicherheit erhöhen und gleichzeitig die gleichen Funktionen beibehalten.
Wie sich das Prämien-Ökosystem von Google entwickelt hat
Das Sicherheitsprogramm von Google ist gewachsen und vielfältiger geworden. Google Play Security Rewards-Programm (GPSRP) seinen Fokus auf Play-Apps mit mehr als 100 Millionen Downloads, unabhängig davon, ob sie von Dritten stammen. Darüber hinaus gibt es die Belohnungsprogramm für den Datenschutz von Entwicklern (DDPRP), in Zusammenarbeit mit HackerOne, um Datenmissbrauch in Android-Apps, OAuth-Projekten und Chrome-Erweiterungen zu erkennen und zu beheben.
Innerhalb der Belohnungsprogramm für Schwachstellen (VRP) Die Grenzen und Kategorien wurden erhöht: Heute können Zahlungen von bis zu $151.515 in Google VRP; die Mobiles VRP geht bis zu $300.000 aufgrund kritischer Sicherheitslücken in wichtigen Apps; Chrome Zuschüsse bis zu $250.000 für kritische Exploits und hat Abhilfemaßnahmen implementiert wie WunderPtr, wo Hinterziehungen sogar mit Preisen von über 100.000 US-Dollar belohnt wurden; und Cloud VRP eine Obergrenze von $151.515, identifizierend Hunderte von Schwachstellen und verteilt mehr als $500.000.
Google hat auch Initiativen gefördert wie InternetCTF (mit Schwerpunkt auf Codeausführung in Open-Source-Projekten), hat die Zahlungen in VRP-Missbrauchund organisiert Schulungsworkshops (init.g) in Städten wie Las Vegas, São Paulo, Paris und Malaga. Android- und Google-Geräte wurden zugeteilt Millionen an Belohnungen, mit zusätzlichem Fokus auf Android Automotive OS und Wear OSund Live-Events, bei denen Preise von bis zu 100 Millionen vergeben wurden $75.000 an einem Wochenende.
Google Play Protect: Echtzeiterkennung und Regeln auf dem Gerät
Google Play Protect scannt jede App vor der Installation. unabhängig von der Quelle. Wenn der Benutzer versucht Installieren Sie eine unbekannte Appwird eine durch maschinelles Lernen unterstützte Echtzeitanalyse durchgeführt, um neu auftretende Bedrohungen zu erkennen.
Play Protect beinhaltet eine neue Regeln auf dem Gerät Das Programm sucht nach Text- oder Binärmustern, die mit Malware-Familien in Verbindung stehen, und warnt vor der Installation, wenn schädliches Verhalten erkannt wird. Diese Regeln sind regelmäßig aktualisieren um die Klassifizierung gegenüber neuen Varianten zu verbessern.
Darüber hinaus erkennt Play Protect betrügerische Techniken wie das Symbol ausblenden oder ändern apps, um Sie schwer entfernen zu lassen. Diese Schutzmaßnahmen befinden sich auf dem Gerät, bietet eine schnelle und private Ebene für alle Benutzer mit Google Play-Diensten.
Betrugsbekämpfung, sicherere Nachrichten und Schutz vor Diebstahl
Android-Bereitstellungen Schutz bei Anrufen mit unbekannten Nummern: Das Deaktivieren von Play Protect, die Installation von Apps aus nicht verifizierten Quellen oder das Erteilen von Zugriffsberechtigungen für neu heruntergeladene Apps wird blockiert. Alles geschieht lokal, um die Privatsphäre zu schützen.
En Google-Nachrichten, Echtzeit-Erkennung identifiziert mehr Arten von Betrug (Kryptowährung, finanzieller Identitätsbetrug, technischer Support, Geschenkkarten, Preise, Mautgebühren oder Abrechnung), Verarbeitung am Gerät selbst um den Inhalt nicht preiszugeben.
Schlüsselüberprüfer ermöglicht die Identitätsprüfung in verschlüsselten Chats mit öffentlichen Schlüsseln, mit QR-Code oder ZahlenvergleichWird ein Gerätewechsel erkannt (z. B. durch SIM-Swapping), wird die Konversation als nicht verifiziert markiert.
Gegen ihn physischer Diebstahl, Android stärkt die Identitätsprüfung selbst wenn die PIN kompromittiert wurde, härtet es die Schutz vor Zurücksetzen auf Werkseinstellungen, verbessern die Fernbedienung y OTP-Codes verbergen auf dem Sperrbildschirm in riskanten Kontexten.
Als zusätzliche Maßnahme werden Tests durchgeführt Warnmeldungen bei der Nutzung von Banking-Apps während Telefonaten mit Fremden und Bildschirmfreigabe: Das System benachrichtigt Sie und ermöglicht Ihnen, den Anruf zu beenden oder die Freigabe sofort zu beenden.
Risikobasierte Sicherheitsupdates: intelligenteres Patching
Android bewegt sich in Richtung eines Patch-Modells, das Priorisieren Sie basierend auf dem tatsächlichen Risiko des GerätsAnstelle einer einheitlichen Liste werden Schwachstellen unter anderem nach der einfachen Ausnutzung, den Auswirkungen auf die Privatsphäre und den Auswirkungen auf kritische Komponenten klassifiziert.
Jedes Telefon verfügt über eine dynamisches Risikoprofil (installierte Apps, verwendete Netzwerke, Aktivitäts- und Sicherheitsstatus) zu erhalten nur die notwendigen Updates, wodurch Datenverbrauch, Speichernutzung und Unterbrechungen reduziert und der Schutz dort beschleunigt wird, wo er am wichtigsten ist.
Dieser Ansatz trägt dazu bei, die Fragmentierung zu verringern und Wichtige Updates kommen schneller an bis hin zu den am stärksten gefährdeten Geräten, wobei dem Benutzer Transparenz und Kontrolle über die Faktoren geboten wird, die sich auf sein Risikoniveau auswirken.
Mehr Entwicklerkontrollen und Systemsignale
Mit der Play Integrity API können Sie feststellen, ob eine andere App Bildschirm aufzeichnen, Overlays anzeigen oder das Gerät steuern, um vertrauliche Informationen zu verbergen oder zusätzliche Bestätigungen anzufordern. Es prüft auch, ob Google Play Protect ist aktiv und ob bekannte Schadsoftware vorhanden ist.
Android verbessert die eingeschränkte Konfiguration: Anstatt sich auf die Installationsmethode zu verlassen, wird eine Liste von vertrauenswürdige Installateure integriert, um Missbrauch der Zugänglichkeit und Benachrichtigungszugriff in Apps außerhalb sicherer Kanäle zu verhindern.
Das System schützt Einwegcodes in Benachrichtigungen, löscht sie, bevor andere Apps sie lesen, und benachrichtigt Sie über unverschlüsselte Mobilfunkverbindungen oder Tracking-Versuche über IMSI/IMEI.
Schließlich funktioniert auch die Bedrohungserkennung von Play Protect auf dem Gerät mit KI und sendet bei Bedarf Proben zur weiteren Analyse in die Cloud.
Android Enterprise und sichere Produktivität
Im Unternehmensumfeld verstärkt Android die Erweiterter Schutz, integriert Identitätsprüfung mit Biometrie gegen verstohlene Blicke, ermöglicht den Einsatz Unternehmens-IDs in Google Wallet und bietet eine granulare Kontrolle über die Zugangspunktname (APN) y 5G-Slicing um den Geschäftsverkehr zu priorisieren.
Im Gerätemanagement gibt es schnellere Registrierung, detailliertere Berechtigungen, verbessertes eSIM-Management und, im Bereich Produktivität, Integration von Gemini in Dokumenten, plus visuelle Verbesserungen mit Material 3 Expressive und Optimierungen für mehrere Fenster, Benachrichtigungen und Verknüpfungen.
Das Ergebnis ist ein Ökosystem, in dem Kritische Schwachstellen werden schneller behobenwird die Auszeichnung verliehen Codehärtung in AOSP Und die Schutzebenen von Android – von Play Protect bis hin zum Betrugsschutz – legen die Messlatte für Benutzer, Unternehmen und Forscher höher.
