Android-Security-Jahresbericht 2015
Heute erscheint zum zweiten Mal unser Android-Security-Jahresbericht. Diese ausführliche Zusammenfassung umfasst folgende Themen: Einen Einblick, wie Google-Dienste das Android-Ökosystem schützen, einen Überblick über neue Sicherheitsmaßnahmen, die 2015 eingeführt wurden, sowie unsere Arbeit mit Android-Partnern und generell mit der Community der Sicherheitsforscher. Den vollständigen Bericht findet ihr hier und die Zusammenfassung in diesem Post.
Ein wichtiges Ziel der Veröffentlichung dieses Berichts ist eine informierte Diskussion über die Sicherheit von Android. Wir hoffen, dieses Ziel durch die Bereitstellung von mehr Informationen über unsere Maßnahmen und unsere Beobachtungen der Vorgänge im Ökosystem zu erreichen. Wir sind fest davon überzeugt, das uns eine gründliche, auf Daten basierte Diskussion dabei helfen wird, das Android-Ökosystem sicherer zu machen.
Es ist äußerst wichtig, dass wir auch Nutzer schützen, die Apps von anderen Quellen als Google Play installieren. Unser Verify Apps Service schützt diese Nutzer, und wir haben die Effektivität der Warnungen vor potentiell schädlichen Apps durch Verify Apps um über 50 % verbessern können. 2015 sahen wir einen Anstieg der Installationsversuche von potentiell schädlichen Apps außerhalb von Google Play, und unterbrachen etliche dieser koordinierten Versuche.
Im Juni schloss sich Android Google’s Vulnerability Rewards Program an, das Sicherheitsforscher finanziell belohnt, wenn sie einen Bug finden und uns melden. Wir haben über 100 auf diese Art gemeldete Schwachstellen behoben und über 200.000 US-Dollar an Forscher für ihre Ergebnisse ausgezahlt.
Im August führten wir unser monatliches Public Security Update Program in das Android Open Source Project und einen Lebenszyklus für Sicherheits-Updates bei Nexus-Geräten ein. Der Update-Lebenszyklus für Nexus-Geräte soll künftig ein Modell für alle Android-Hersteller sein, und wir haben aktiv mit Ökosystem-Partnern an der Förderung ähnlicher Programme gearbeitet. Seitdem stellen Hersteller monatliche Sicherheits-Updates für Hunderte spezifischer Android-Gerätemodelle zur Verfügung, und hunderte Millionen von Nutzern haben monatliche Sicherheits-Updates auf ihre Geräte installiert. Trotz dieses Fortschritts erhalten viele Android-Geräte immer noch keine monatlichen Updates ‒ wir verstärken unsere Bemühungen, Partner bei der zeitnahen Aktualisierung von noch mehr Geräten zu unterstützen.
Größere Transparenz, fundierte Diskussionen über die Sicherheit und fortlaufende Innovation werden uns dabei unterstützen, unsere Nutzer zu schützen. Wir werden unsere fortlaufenden Bemühungen bei der Verbesserung von Schutzmaßnahmen für Android fortführen und freuen uns auf die Zusammenarbeit mit dem Ökosystem und der Sicherheits-Community im Jahr 2016 und darüber hinaus.
Verbesserung der Google-Dienste zum Schutz der Android-Nutzer
Im letzten Jahr haben wir unser Maschinelles Lernen deutlich verbessert und unsere Kenntnisse dahingehend ausgebaut, Ereignisse zu verknüpfen, um möglicherweise schädliches Verhalten zu entdecken.- Wir haben unsere Nutzer gegen Malware und andere potentiell schädliche Apps durch die Überprüfung von über 6 Milliarden installierter Applikationen pro Tag geschützt.
- Wir haben unsere Nutzer durch Scannen von täglich 400 Millionen Geräten gegen Bedrohungen aus dem Netzwerk und vom Gerät geschützt.
- Und wir haben hunderte Millionen von Chrome-Nutzern auf Android mit Hilfe von Safe Browsing gegen unsichere Websites geschützt.
- Datensammlung: Rückgang um über 40 % auf 0,08 % der Installationen
- Spyware: Rückgang um 60 % auf 0,02 % der Installationen
- Hostile Downloader: Rückgang um 50 % auf 0,01 % der Installationen
Es ist äußerst wichtig, dass wir auch Nutzer schützen, die Apps von anderen Quellen als Google Play installieren. Unser Verify Apps Service schützt diese Nutzer, und wir haben die Effektivität der Warnungen vor potentiell schädlichen Apps durch Verify Apps um über 50 % verbessern können. 2015 sahen wir einen Anstieg der Installationsversuche von potentiell schädlichen Apps außerhalb von Google Play, und unterbrachen etliche dieser koordinierten Versuche.
Neue Sicherheitsfunktionen auf der Android-Plattform
Im letzten Jahr führten wir Android 6.0 Marshmallow und damit eine Vielzahl neuer Sicherheitsschutzmaßnahmen und Kontrollen ein:- Für alle neuen Marshmallow-Geräte mit hinreichenden Hardwarefähigkeiten ist nun Festplattenverschlüsselung Voraussetzung. Die Verschlüsselung wurde auch auf Daten auf SD-Karten ausgeweitet.
- Aktualisierte App-Berechtigungen erlauben Nutzern, Informationen, die mit speziellen Apps geteilt werden, mit höherer Granularität und Genauigkeit zu verwalten.
- Ein neues geprüftes Boot-Verfahren stellt sicher, dass euer Telefon vom Bootloader bis zum Betriebssystem gesund ist.
- Über den Android Sicherheits-Patchlevel könnt ihr prüfen und sicherstellen, dass euer Gerät mit den neuesten Sicherheits-Updates arbeitet.
- Außerdem gab es noch viele weitere Funktionen wie beispielsweise die Unterstützung von Fingerabdrucklesern und SELinux-Erweiterungen.
Intensiveres Engagement für das Android-Ökosystem
Wir arbeiten daran, die Android-Sicherheitsforschung zu fördern und investieren in die aktuelle und langfristige Stärkung von Schutzmaßnahmen im gesamten Ökosystem.Im Juni schloss sich Android Google’s Vulnerability Rewards Program an, das Sicherheitsforscher finanziell belohnt, wenn sie einen Bug finden und uns melden. Wir haben über 100 auf diese Art gemeldete Schwachstellen behoben und über 200.000 US-Dollar an Forscher für ihre Ergebnisse ausgezahlt.
Im August führten wir unser monatliches Public Security Update Program in das Android Open Source Project und einen Lebenszyklus für Sicherheits-Updates bei Nexus-Geräten ein. Der Update-Lebenszyklus für Nexus-Geräte soll künftig ein Modell für alle Android-Hersteller sein, und wir haben aktiv mit Ökosystem-Partnern an der Förderung ähnlicher Programme gearbeitet. Seitdem stellen Hersteller monatliche Sicherheits-Updates für Hunderte spezifischer Android-Gerätemodelle zur Verfügung, und hunderte Millionen von Nutzern haben monatliche Sicherheits-Updates auf ihre Geräte installiert. Trotz dieses Fortschritts erhalten viele Android-Geräte immer noch keine monatlichen Updates ‒ wir verstärken unsere Bemühungen, Partner bei der zeitnahen Aktualisierung von noch mehr Geräten zu unterstützen.
Größere Transparenz, fundierte Diskussionen über die Sicherheit und fortlaufende Innovation werden uns dabei unterstützen, unsere Nutzer zu schützen. Wir werden unsere fortlaufenden Bemühungen bei der Verbesserung von Schutzmaßnahmen für Android fortführen und freuen uns auf die Zusammenarbeit mit dem Ökosystem und der Sicherheits-Community im Jahr 2016 und darüber hinaus.
