نگاهی موشکافانه به تعادل مابین آزادی نرم افزار و امنیت در پلتفرم اندروید

بزرگ‌ترین مزیت و ویژگی سیستم عامل اندروید را می‌توان آزادی عمل کاربرانی که با این سیستم عامل محبوب کار می کنند دانست؛ با این حال مسئله امنیت هم قطعاً چیزی نیست که گوگل بخواهد از آن صرف نظر کند. مشکل آن جا است که رعایت مسائل امنیتی نیازمند به کارگیری استراترژی هایی است که در بسیاری از مواقع سد راه آزادی می‌شوند. به نظر شما در پلتفرم اندروید چطور این تناقض مرتفع گشته است؟ برای یافتن پاسخ به این سوال، با سکان آکادمی همراه باشید.

این دقیقاً همان چیزی است که ماه گذشته در کنفرانسی تحت عنوان Structure Security در سان فرانسیسکو مطرح شد. آدرین لودویگ (Adrian Ludwig) در این کنفرانس در مورد عملکرد تیم اندروید در رابطه با حفظ امنیت این سیستم عامل صحبت کرد. مدیر امنیتی اندروید -آقای لودویگ- در این کنفرانس در مورد این که تیم اش چطور توانسته میان امنیت و آزادی تعادل بر قرار کند توضیحاتی داد. او در توضیحاتش گفت که گوگل همیشه قصد داشته سیاست باز و آزاد بودن سیستم عامل اندروید را به همین شکل حفظ کند. هر چند که رسیدن به این مقصود از نظر امنیتی یک چالش و تصمیم استراتژیک محسوب می‌شود. وی گفت که بر خلاف چیزی که در ابتدا به نظر می‌رسد، آن‌ها معتقدند باز و آزاد بودن چیزی است که در نهایت باعث افزایش و بهبود امنیت می‌شود!

اندروید معمولاً به خاطر این که اپلیکیشن های موجود در فروشگاه های اپلیکیشن اش -منظور همان App Store ها است- را درست بررسی نمی‌کند، مورد انتقال قرار می‌گیرد. در پاسخ به این انتقادها لودویگ گفته است که یکسری معیارهای امنیتی در Google Play Store وجود دارد. به نظر او این معیارها و مرزهای امنیتی بسیار شبیه به همان‌هایی هستند که در App Store اپل استفاده می‌شوند که به خاطر در نظر گرفتن مسائل امنیتی اپ ها، شهره شده است!

با این حال گوگل معتقد است که اجازه به اظهار نظرات مختلف در موبایل اهمیت زیادی دارد. این آزادی بیش از اندازه همان چیزی است که باعث شد اندروید اجازه دهد که کاربران از فروشگاه‌های اپلیکیشن دیگر نیز استفاده کنند اما این در حالی است که این سیاست آزادی بعدتر برای اندروید دردسر ساز شد؛ در حقیقت بیشتر مشکلات امنیتی و بدافزارهای اندروید از فروشگاه‌های اصطلاحا Third Party -فروشگاه هایی به غیر از گوگل پلی استور- ناشی شده‌اند. حالا این سؤال مطرح می‌شود که آیا گوگل مسئول مشکلات امنیتی و محافظت از کاربر در برابر این چنین فروشگاه‌هایی است یا خیر؟

لودویگ در رابطه با مقابله با بدافزارهای موجود گفته است که تیم اندروید در این مورد راه چاره‌ای پیدا خواهد کرد و در حال حاضر هم آن‌ها در حال کار برای رفع این مشکل هستند. طبق گفته لودویگ در حال حاضر بیش از 500 میلیون دستگاه از سیستم Endpoint Security استفاده می‌کنند. این سیستم‌های امنیتی به گوگل کمک می‌کنند که دستگاه‌ها را بهتر تحت نظر بگیرد و آن‌ها را از اپلیکیشن های نامناسب و بدافزارها محافظت کنند.

در مورد مشکلات امنیتی مربوط به نرم افزارهای جاسوسی، لودویگ توضیح داد که این موارد بسیار نادر هستند. در واقع چیزی که بیشتر از همه لودویگ را نگران کرده است، توسعه دهندگانی هستند که سعی می‌کنند از روش پیام‌های اطلاع رسانی (Push Messaging) برای تبلیغ  اپلیکیشن های خود استفاده می‌کنند. پیام رسانی اجباری در واقع نوعی کلاه برداری در تبلیغات محسوب می‌شود.

به طور کلی، اپن سورس بودن اندروید به این معنا است که اندروید ذاتاً کارهایش را با سطحی از شفافیت انجام می‌دهد. ولی چیزی که لودویگ به دنبال آن است با شفافیت اندروید حل نمی‌شود. آن چه که برای رفع مشکلات امنیتی لازم است در واقع شفافیت از سوی تولید کنندگان این پلتفرم است. آن‌ها هستند که باید شفافیت را در کار خود ارائه کنند. ولی مشکل این است که اگر شفافیت وجود داشته باشد، تولید کنندگان باید پاسخ گوی اتفاقاتی که می‌افتد هم باشند. به نظر لودویگ تولید کنندگان باید شفاف باشند ولی این شفافیت را در جهت مشخصی هدایت کنند.

علاوه بر این‌ها، اندروید از یک مشکل دیگر هم رنج می‌برد. یکی از بزرگ‌ترین چالش‌ها برای اکوسیستم اندروید، مسئله به روز رسانی دستگاه‌ها است. این مسئله فقط مختص به اندروید نیست و دستگاه‌هایی که از اینترنت اشیاء (IoT) استفاده می‌کنند هم دقیقاً همین مشکل را دارند. به گفته لودویگ، گوگل در تلاش است تا این مشکل را هم از نظر فنی و هم از نظر بحث کسب و کار حل کند. مشکل اصلی این است که ساخت یک نرم افزار زنجیره تأمین که بر روی به روز رسانی تأکید داشته باشد برای تولید کننده‌ها چندان خوشایند نیست. دلیل اش هم واضح است، این کار برای تولید کننده فقط هزینه و دردسرهای زیادی به همراه دارد!

با این وجود، ممکن است اندروید بتواند اقدام مثبتی برای رفع این مشکل انجام دهد. لودویگ گفته است که آن‌ها در حال کار بر روی چرخه‌های به روز رسانی آرام تری هستند. به علاوه این که گوگل ویژگی‌هایی مانند بوت تأیید شده (Verified Boot) در سیستم عامل کروم و اندروید را قرار است ارائه کند. این ویژگی به دستگاه کمک می‌کند که پس از هک شدن به حالت ایمن باز گردد.

در گذشته از نظر تاکتیکی بر روی مسائل امنیتی تمرکز می‌شد. ولی اکنون با حضور موبایل‌ها و فضاهای ابری دیگر نمی‌توان همه چیز را به کاربر واگذار کرد. لودویگ در صحبت‌هایش گفت که تولید کنندگان و شرکت‌ها خدمات دهی متوجه شده‌اند که دیگر نمی‌توانند برای محافظت کاربر، به خود کاربر تکیه کنند. این نوع نگاه احتمالاً باعث می‌شود که در سال‌های آینده (شاید تا 10 سال دیگر) سیستم‌های امنیتی و اقدامات متفاوتی برای حفاظت از اطلاعات مورد استفاده قرار گیرند.

حال نوبت به نظرات شما است. آیا با این دغدغه هایی که گوگل برای امنیت کاربرانش در سر می پروراند، می توانند انتقاداتی که به امنیت اپ های اندرویدی و به طور کلی این پلتفرم وارد است را مرتفع کرده اما در عین حال اپن سورس بودن را هم حفظ کند؟ نظرات خود را با سایر کاربران سکان آکادمی به اشتراک بگذارید.

Understanding Android's balance between openness and security

0







از طریق این فرم، می توانید بدون ثبت نام نظر دهید و یا اگر قبلا ثبت نام کرده اید، با ورود ناحیه ی کاربری می توانید علاوه بر ثبت نظر، به مدیریت نظرات خود نیز بپردازید.
(فیلد اجباری)
(فیلد اجباری)
(فیلد اجباری)
(فیلد اجباری)