Hoje, estamos divulgando o quarto relatório anual de segurança do Android. Nós reunimos esses dados com o objetivo de ajudar a educar o público sobre as múltiplas camadas de segurança do Android e também para nos responsabilizar de que qualquer pessoa possa acompanhar o nosso trabalho de segurança ao longo do tempo.
Vimos um momento realmente positivo em 2017 - esta publicação inclui alguns dos principais destaques de 2017. Para se aprofundar em todos os detalhes, você pode ler o relatório completo,
aqui.
Google Play Protect
Em maio passado, nós
anunciamos o Google Play Protect, um novo lugar para todos os serviços de segurança dos dois bilhões de dispositivos Android. Embora muitas das funções do Play Protect já vem protegendo os dispositivos Android há anos, nós queríamos torná-las mais visíveis para garantir às pessoas que nossas proteções de segurança funcionam constantemente para mantê-los seguros.
O principal objetivo do Play Protect é defender os usuários dos Aplicativos Potencialmente Nocivos (em inglês, Potentially Harmful Applications -
PHA). Todos os dias, o serviço revisa automaticamente mais de 50 bilhões de apps, fontes potenciais de aplicativos nocivos e também dispositivos. Se encontrar qualquer coisa errada, o Play Protect entra em ação, incluindo o bloqueio da submissão do aplicativo no Play ou removendo o app do dispositivo do usuário.
O Play Protect usa uma variedade de táticas diferentes para manter os usuários e seus dados seguros, mas o impacto do machine learning é inegável. No ano passado, 60,3% de todos os aplicativos potencialmente nocivos foram detectados através do machine learning, e esperamos que isso aumente no futuro.
Protegendo os dispositivos dos usuários
O Play Protect verifica automaticamente os dispositivos Android pelo menos uma vez por dia atrás de PHAs. Essas revisões automáticas nos permitiram remover quase 39 milhões de PHAs no ano passado. Em 2017, também adicionamos uma maneira para que os usuários possam realizar verificações adicionais a qualquer momento.
Também atualizamos o Play Protect para responder às tendências que detectamos em todo o ecossistema. Por exemplo, reconhecemos que quase 35% das novas instalações de PHAs ocorriam quando um dispositivo estava desconectado ou tinha perdido a conectividade de rede. Como resultado, em outubro de 2017, habilitamos a varredura off-line no Play Protect e, desde então, impedimos mais de 10 milhões de tentativas de instalação de aplicativos potencialmente nocivos.
Prevenção de downloads PHA
O Play Protect ajudou a garantir que o Google Play permanecesse o local mais seguro para fazer o download de aplicativos para Android: os dispositivos Android que só baixavam aplicativos do Google Play eram 9 vezes menos propensos a ter um aplicativo potencialmente novico do que dispositivos que baixavam aplicativos de outras fontes. Trabalhamos duro ao longo dos anos para diminuir as chances de baixar um PHA do Google Play. Continuando nossa tendência, a taxa de PHA em 2017 foi 50% menor do que no ano anterior.
Em parte, essas melhorias foram decorrentes da maior visibilidade do Play Protect em aplicativos recém-submetidos no Play. Ele revisou 65% mais aplicativos como esses em comparação com 2016.
O Play Protect não protege apenas o Google Play - ele ajuda a tornar o ecossistema Android mais seguro também. Graças, em grande parte, ao Play Protect, as taxas de instalação de PHAs fora do Google Play caíram mais de 60% em relação ao ano passado.
Atualizações de Segurança
Ao longo de 2017, continuamos a melhorar o processo de lançamento das atualizações de segurança. Um bilhão de dispositivos Android receberam atualizações de segurança e a maioria deles (mais de 200 modelos de mais de 30 fabricantes) executaram uma atualização de segurança nos últimos 90 dias.
Em 2017, nenhuma vulnerabilidade de segurança crítica que afeta a plataforma Android foi divulgada publicamente sem uma atualização ou mitigação disponível para dispositivos Android. Isso foi possível devido ao programa Android Security Rewards (ASR), uma colaboração próxima com a comunidade de pesquisadores de segurança, coordenação com parceiros da indústria e recursos de segurança incorporados da plataforma Android.
Novos recursos de segurança no Android Oreo
Nós destacamos muitos destes recursos ao longo do ano, mas alguns podem ter passado longe do radar. Por exemplo, atualizamos a API de sobreposição, de modo que os aplicativos não podem mais bloquear a tela inteira e impedir que você as descarte, uma tática comum empregada pelo ransomware para tornar seu dispositivo inutilizável até você pagar.
A abertura torna a segurança do Android mais forte
Nós já dissemos isso, mas é mais verdade do que nunca: a abertura do Android ajuda a fortalecer nossas proteções de segurança. Durante anos, o ecossistema Android se beneficiou das descobertas dos pesquisadores e 2017 não foi diferente.
Programas de recompensa de segurança
Vimos um grande crescimento do nosso programa
Android Security Rewards (ASR) no ano passado. Pagamos US$1,28 milhão para pesquisadores, totalizando mais de dois milhões de dólares desde o início do programa. Também aumentamos os pagamentos para explorações que comprometem o TrustZone ou Verified Boot de US$50.000 para US$200.000, e de kernel remoto de US$30.000 para US$150.000. No
boletim de segurança Android de dezembro, Guang Gong reivindicou o primeiro grande pagamento, recebendo US$105,000 (e US$7,500 adicionais da equipe do Chrome) por um relatório (que você pode ver detalhado em sua
postagem como convidado no nosso blog de developers).
Paralelamente, também apresentamos o
programa Google Play Security Rewards e oferecemos uma recompensa bônus aos desenvolvedores que descobrirem e divulgarem determinadas vulnerabilidades críticas em aplicativos hospedados no Play para seus desenvolvedores.
Competições externas de segurança
Nossas equipes também participaram de competições de descoberta e divulgação de vulnerabilidades externas, como o
Mobile Pwn2Own no PacSec. Na competição Mobile Pwn2Own de 2017, nenhuma exploração comprometeu com sucesso o Google Pixel.
Das explorações que foram demonstradas contra dispositivos que executam o Android, nenhum poderia ser reproduzido em um dispositivo com código fonte Android não modificado do
Android Open Source Project (AOSP).
Estamos satisfeitos por ver o aumento positivo na segurança do Android e continuaremos trabalhamos constantemente para melhor ainda mais. Nós nunca pararemos nosso trabalho de trazer segurança para os usuários do Android.
Dave Kleidermacher, vice-presidente de segurança para Android, Play, ChromeOS
