Android bol navrhnutý s bezpečnosťou ako jedným zo základných kameňov. Aj bez porovnávania s inou platformu vieme, že je naozaj vynikajúci v zabezpečení. Je navrhnutý tak, aby procesy nezhromažďovali príliš veľa informácií (a nepoužívali príliš veľa zdrojov) bez povolenia. Tiež aby žiadna z aplikácií alebo procesov nezíska prístup k systémovej úrovni bez primeraných povolení. A ráta s tým, že si je jeho používateľ vo všeobecnosti vždy vedomý toho, čo sa deje v pozadí.
Steven Max Patterson argumentoval v článku na portáli Quartz, že je OS Android pre malware takmer nepreniknuteľný. Nadsázka stranou. Základom jeho tvrdenia je prezentácia šéfa bezpečnosti OS Android Adriana Ludwiga, v ktorej Ludwig odhalil, že „menej ako 0,001% z aplikácií v zariadeniach s OS Android sú schopné vyhnúť sa viacvrstvovej obrane systému a poškodiť užívateľa.“
Jednoducho povedané, Android má viacero obranných vrstiev na ochranu proti útokom malwaru a odkedy začal Google dávať pozor na to, čo používatelia inštalujú vo svojich zariadeniach, objavil sa u nich malware len veľmi zriedkavo.
Len aby mohla byť nainštalovaná, musí aplikácia prejsť cez Google Play alebo varovaním pred inštaláciou z neznámeho zdroja (ak je to v zariadení povolené) a cez užívateľa, ktorý potvrdzuje inštaláciu. Potom sa musí dostať aj cez bezpečnostnú funkciu Google „Overenie aplikácie“, ktorá kontroluje aplikáciu vo svojej vlastnej databáze malware ešte pred tým, než môže byť nainštalovaná (viac o tomto neskôr). Následne putuje aplikácia do sandboxu a je obmedzená na oprávnenia k nej udelené. Android ju ale opäť podrobuje vlastným bezpečnostným kontrolám zakaždým, keď je aplikácia spustená.
Ludwig však pripomína, že aj napriek tomu, že bezpečnostný výskumníci a dokonca Ministerstvo vnútornej bezpečnosti zaznamenali nárast výskytu malwaru v OS Android (PDF), nikto okrem Google nemá nástroje pre zobrazenie skutočne nainštalovaných dát. Oni teda jednoducho nevidia zvýšený výskyt malwaru.
Patterson ďalej vysvetluje: Problémom, ktorý chce Google riešiť, je, že väčšina nezávislých výskumníkov bezpečnosti nemá k platforme taký prístup ako Google, aby mohli vedieť, koľkokrát bol malware nainštalovaný. Dajú sa prirovnať k vedcom skúmajúcim ľudské choroby, ktorí nemajú k dispozícii centrum pre kontrolu chorôb, pre posúdenie veľkosti ohniska nákazy a koordinovanie odozvy. Bezpečnostní výskumníci sú veľmi dobrí v zistení a diagnostike malwaru, ale pri absencii spoľahlivých údajov, ktoré ukazujú, ako často boli infikované aplikácie nainštalované môže byť stupeň ohrozenia prehnaný. Správy, ktoré sú publikované, sú často veľmi prehnané.
Pre zdôraznenie tohto bodu Ludwig odhalil vo svojej analýze, že niektoré z najviac uverejňovaných odhalení malwaru sú v pomere menej ako jeden k miliónu inštalácií.
Samozrejme, že teraz budú údaje z Google hovoriť, že nevidia žiaden malware. Google išel s kožou na trh a preto bude selektovať len tie najlepšie údaje, ktoré môžu Android vykresliť v najlepšom možnom svetle. Nemusí to nutne znamenať, že uvádzané údaje sú nepravdivé alebo sporné, ale znamená to, že je nutné brať ich s rezervou. Bohužiaľ, oni sú jediní, ktorí nám tieto údaje môžu poskytnúť. Google totiž zhromažďuje informácie zakaždým, keď si nainštalujete aplikáciu, ak používate funkciu „Verify a Install“, ktorá sa objaví vo vašom telefóne pri inštalácii. (Niektorí užívatelia môžu vidieť „Verify and Install“, rovnako ako „Inštalačný balíček“, v závislosti na type ich zariadení). Alebo ak inštalujete aplikáciu priamo pomocou Google Play.
Ak však túto funkciu nepoužívate, tu je dôvod, prečo by ste mali:
Nové bezpečnostné mechanizmy spolu s verifikačnými aplikáciami sa objavili asi pred rokom, keď sa začala šíriť nová verzia OS Android. Tieto zasiahnu, keď preberáte aplikáciu: porovnajú ju s veľkou databázou malwaru vedenou spoločnosťou Google a varujú užívateľa v prípade, že je aplikácia potenciálne škodlivá. Overovacie funkcie sú distribuované tiež do starších verzií OS Android zahrnutím do zmien v aplikácii Google Play, ktorá sa používa pre sťahovanie aplikácií z Obchodu spoločnosti Google. Kontrola a blokovanie aplikácií je v predvolenom nastavení povolená a vyžaduje, aby používateľ vybral, či chce túto ochranu zakázať.
Takže sa zdá, že zo strany OS Android je všetko v poriadku. Ak používate smartfón bežným spôsobom, inštalujete aplikácie z dôveryhodných zdrojov, a pri inštalácii aplikácií používate zdravý rozum, je pravdepodobnosť výskytu malwaru vo vašom zariadení so systémom Android mimoriadne nízka. To však nie je všetko.
V článku Quartz je medzi riadkami zopár vecí, ktoré sú rovnako dôležité. Pár výhrad, ktoré nie sú uvedené, ale aj tak ľahko rozpoznateľné:
Google nemôže zarátať malware, ktorý nevidí. Všetky tieto údaje sú totiž zozbierané pomocou Overovania dostupného v obchode Google Play vo verziách Android 2.3 +. Ak nechcete používať funkciu Overiť a nainštalovať alebo inštalujete aplikácie z iného zdroja, ako napr. Amazon Appstore (aplikácie tretej strany), nie sú tieto údaje zahrnuté a nie ste ani chránení. To je veľká výstraha, ktorá v podstate znamená: „Z malwaru, ktorý Google vidí, toho nie je vidieť príliš veľa.“ Pri spúšťaní zariadenia sa vyskytuje otvorený a pomerne významný problém s funkciou Overovania, ktorý postihuje mnoho telefónov. Google ho opravil, ale opravu je potrebné dodať používateľom a to je ďaľšia časť bezpečnostného problému, ktorý ostáva nedoriešený. Google sa zameral na tvorbou modulu OS Android, ktorý by tento problém vyriešil. Pri troche šťastia uvidíme toto zlepšenie vo verzii Android 4.4 Kit Kat.
Android má obranu… na vlastnú ochranu, nie vašich dát. Toto je pravdepodobne najväčšia diera ponechaná bez povšimnutia. Ako pri prezentácii, tak v následnej diskusii. Jedna vec je, ak je aplikácia potenciálne nebezpečná, pretože nejakým spôsobom ohrozuje Android. Ale v prípade, že aplikácia nemá záujem o kontrolu nad zariadením a nie je ani rootkit, viacvrstvová obrana vás ochráni len do okamihu, kedy aplikácii povolíte inštaláciu. Ak je malware navrhnutý tak, aby zachytil vaše údaje, umiestnenie, používanie zariadenia, zoznam kontaktov, e-mailové adresy alebo iné údaje o vašom zariadení, nič z tochrany nemá zmysel. (A úprimne povedané, nie je to ani dobre vyriešené zo strany bezpečnostných spoločností.) V skutočnosti to znamená: „sledujte, čo inštalujete„.
Málo inštalácií neznamená málo malwaru. Skutočnosť, že Google nevidí tony malwaru nainštalovaného z vlastných zdrojov je skvelá správa, ale to neznamená, že malware neexistuje a tiež to neznamená, že hrozba infikovania nie je reálna. To znamená, že mýtus o infikovaných mobilných telefónoch po celom svete je určite prehnaný bezpečnostnými spoločnosťami. Ale ani to by nemalo spôsobiť, že sa budeme cítime bežpečne pri inštalovaní „AngryBirdsPremiumLulz.apk“ z pochybných webových stránok s pocitom, že OS Android nás ochráni.
Viacero zabezpečení OS Android je možné obísť niekoľkými ťuknutiami užívateľa. Prvou vecou, ktorú urobí väčšina užívateľov OS Android je, že vypnú varovania pred „neoprávnenými zdrojmi“. Takže si budú môcť nainštalovať aplikácie stiahnuté z webových stránok či z iných zdrojov. Chcete aplikáciu Grooveshark Android? Vypnete varovania. Chcete aplikáciu, ktorú ste mali na svojom starom telefóne, ale v obchode Google už nie je k dispozícii? Vypnete varovania. Rootli ste svoj telefón alebo máte nainštalovanú úplne novú ROM? Google už vás nemusí zarátavať. A toto robia skúsení užívatelia. Noví užívatelia, ktorí nevenujú pozornosť povoleniam alebo autorizovaniu zdrojov sú úplne iný problém – so závážným dopadom v reálnom svete. V každom prípade je to päť zo siedmich vrstiev obrany odpojených priamo.
Vo svete mobilnej bezpečnosti sa veľa zmenilo od chvíle, keď v roku 2011 Chris DiBona nazval spoločnosti zapezpečujúce mobilnú ochranu ako „šarlatánov a podvodníkov“ vyvolávajúcich paniku a „naháňajúcich vám strach, aby sa pokúsili predať vám ochranný softvér“. Aj keď je stále pravdou, že diskusie o bezpečnosti vo vás často vyvolávajú strach, neistotu a pochybnosti. Bez ohľadu na skutočný stav, je v súčastnosti oveľa ťažšie zmiesť tento problém zo stola.