Publicatie van het Android Security 2015 Annual Report

Google Nederland
Vandaag publiceren we voor het tweede jaar op een rij ons Android Security Annual Report. Hierin valt in detail te lezen hoe Google-services apparaten met Android beschermen, welke beveiligingsoplossingen we in 2015 introduceerden en hoe onze samenwerking was met Android-partners en beveiligingsonderzoekers wereldwijd.
Verbeteringen van de beveiligingsdiensten van Google voor Android-gebruikers
In 2015 hebben we ons aanbod van beveiligingsdiensten voor Android verder uitgebreid en verbeterd. Deze diensten beschermen meer dan een miljard apparaten met dit mobiele besturingssysteem.
  • We beschermden Android-gebruikers tegen malware en PHA’s (Potentially Harmful Apps oftewel potentieel kwaadaardige apps) en controleerden meer dan 6 miljard geïnstalleerde applicaties per dag.
  • We beschermden gebruikers tegen bedreigingen via netwerken en op hun device door het scannen van 400 miljard apparaten per dag.
  • Met Safe Browsing beschermden we honderden miljoenen Chrome-gebruikers tegen onveilige websites.
We blijven het steeds moeilijker maken om PHA’s in Google Play te laten plaatsen.
De kans dat gebruikers een PHA downloaden via Google Play nam dankzij deze verbeteringen met meer dan 40% af ten opzichte van 2014. De PHA-categorieën die hiermee het sterkst werden teruggedrongen, waren:
  • Apps die data verzamelen – met meer dan 40% teruggebracht tot 0,08% van alle installaties
  • Spyware – met 60% teruggebracht tot 0,02% van alle installaties
  • Malware-downloaders –met 50% teruggebracht tot 0,01% van alle installaties
Van alle apparaten waarop in 2015 alleen apps van Google Play werden gedownload, werd er in minder dan 0,15% een PHA geïnstalleerd.
Ongeveer 0,5% van de apparaten waarop apps zowel vanuit Play als vanuit andere bronnen werden geinstalleerd hadden PHA’s geinstalleerd in 2015.

Het is belangrijk dat we ook bescherming bieden aan Android-gebruikers die apps installeren via andere app stores dan Google Play. Daarom hebben we de PHA-waarschuwingen van onze tool ‘Apps verifiëren' verbeterd. De effectiviteit van deze waarschuwingen steeg daarmee met ruim 50%.
Nieuwe beveiligingsfuncties op het Androidplatform
Vorig jaar introduceerden we Android 6.0 Marshmallow. Met deze nieuwe versie introduceerden we diverse nieuwe beveiliging- en controlemechanismen:
  • Voor alle nieuwe Marshmallow devices met adequate hardware mogelijkheden is nu volledige schijfencryptie vereist. Het is nu mogelijk om dit uit te breiden met de versleuteling van gegevens op SD-kaarten.
  • Met ‘App Rechten’ kun je de machtigingen van apps beheren en precies bepalen welke data ze mogen gebruiken.
  • De nieuwe functie ‘Verified Boot’ bewaakt het opstartproces, van het activeren van de bootloader tot het opstarten van mobiele OS, zodat je apparaat correct functioneert.
  • Versie-updates en -feedback voor Android biedt je de mogelijkheid om te controleren of de laatste beveiligingsupdates op je device zijn geïnstalleerd en indien nodig je apparaat bij te werken.
  • En we introduceerden nog veel meer, zoals ondersteuning voor vingerafdruk scanners en verbeteringen van SELinux.
Android ecosysteem
We zetten ons in om Android beveiligingsonderzoek te stimuleren en investeren in de versterking van beveiligingsmaatregelen in het hele Android ecosysteem.
In juni trad Android toe tot het Vulnerability Rewards Program van Google, dat beveiligingsonderzoekers een financiële beloning biedt voor het vinden en rapporteren van bugs. We hebben op deze manier meer dan 100 kwetsbaarheden geëlimineerd. In totaal keerden we meer dan 200.000 dollar aan onderzoekers uit.
In augustus introduceerden we ons openbare programma voor maandelijkse beveiligingsupdates in het kader van het Android Open Source Project, evenals een levenscyclus voor beveiligingsupdates voor Nexus-apparaten. Fabrikanten hebben sindsdien maandelijkse beveiligingsupdates beschikbaar gesteld voor honderden unieke modellen Android-apparaten. Honderden miljoenen gebruikers hebben deze maandelijkse beveiligingsupdates op hun devices geïnstalleerd. Ondanks deze vooruitgang ontvangen veel Android apparaten nog steeds geen maandelijkse updates en we vergroten onze inspanningen om partners te helpen meer apparaten tijdig te updaten.

Meer transparantie, goed geinformeerde discussies over beveiliging en voortdurende innovatie dragen bij aan de veiligheid voor gebruikers. Wij blijven  Android’s beveiliging optimaliseren en kijken uit naar de samenwerking met het Android ecosysteem en de beveiligingscommunity het komende jaar.


Gepost door: Adrian Ludwig, Lead Engineer, Android Security