Аудит безопасности Android: простой ежегодный контрольный список

  1. Часть I: интеллект приложения
  2. Шаг 2. Пересмотрите разрешения вашего Android-приложения.
  3. Шаг 3. Убедитесь, что вы используете систему сканирования приложений Android
  4. Шаг 4: Оцените свой IQ, загружающий приложение
  5. Часть II: пароли и аутентификация
  6. Шаг 6: Просмотр сохраненных паролей Smart Lock
  7. Шаг 7: Оцените свою систему управления паролями
  8. Шаг 8. Оцените ситуацию с двухфакторной аутентификацией
  9. Шаг 9: Оптимизируйте безопасность экрана блокировки

Безопасность Android - это всегда горячая тема в этих здесь сетях - и почти всегда по неправильной причине.

Поскольку мы обсуждали тошноту в течение многих лет, большинство сообщений, которые вы читали об этом или о том, что это супер-страшное вредоносное ПО / вирус / мозг-съедая-буги-монстра, чрезмерно сенсационные сообщения связаны с теоретическими угрозами с практически нулевой шанс на самом деле влияет на вас в реальном мире. Если вы присмотритесь, на самом деле, вы начнете замечать, что подавляющее большинство этих историй происходит от компаний, которые ... задыхаются! - заработать свои деньги продажа программ защиты от вредоносных программ для телефонов Android. (Чистое совпадение, верно?)

Реальность такова, что у Google есть несколько довольно продвинутых методов защиты для Android, и если вы воспользуетесь ими и будете использовать немного здравого смысла, вы почти наверняка будете в порядке (да, даже если охранники Play Store проскальзывают) и пусть иногда плохое приложение в ворота). Самая большая угроза, о которой вы должны думать, - это ваша собственная безопасность, окружающая ваши устройства и учетные записи - и все, что вам нужно, - это 20 минут в год, чтобы убедиться в правильности ваших настроек.

Не торопитесь, чтобы пройти через эти шаги, и установите напоминание, чтобы повторно посетить эту страницу еще через 12 месяцев. Тогда будьте спокойны до конца года, зная, что вы в хорошей форме, и что злой монстр вредоносных программ для Android не будет биться в вашу виртуальную дверь в ближайшее время.

Часть I: интеллект приложения

Шаг 1. Просмотрите все приложения и службы, подключенные к вашей учетной записи.

Вы, вероятно, со временем предоставили бесчисленному количеству приложений доступ к частям своей учетной записи Google - что не так уж и сложно в целом, но с любыми приложениями, которые вы больше не используете, целесообразно закрыть соединения.

Визит эта страница в настройках безопасности Google чтобы увидеть список всего, что разрешено и что именно он может получить доступ. Если вы видите что-то, что вы не можете распознать или что вы больше не используете, щелкните по нему, а затем нажмите синюю кнопку «Удалить доступ», чтобы запустить его.

Безопасность Android - это всегда горячая тема в этих здесь сетях - и почти всегда по неправильной причине

JR

Шаг 2. Пересмотрите разрешения вашего Android-приложения.

Слишком легко предоставить приложению доступ к какой-либо информации, не задумываясь об этом в процессе первоначальной настройки ( привет, фейсбук! ). Вот почему стоит периодически проверять, чтобы напомнить себе, какими разрешениями обладают приложения на вашем телефоне, и посмотреть, выходят ли какие-либо из них за пределы того, что кажется разумным или необходимым.

Откройте раздел «Приложения и уведомления» в настройках системы, нажмите «Дополнительно», затем нажмите «Права доступа к приложению». Там вы увидите категории для всех типов разрешений, которые вы предоставили приложениям на вашем телефоне с течением времени.

Взгляните на них всех и посмотрите, что вы найдете. Если вы видите что-то, что поднимает бровь, все, что вам нужно сделать, это нажать на переключатель рядом с ним, чтобы отозвать разрешение.

Если вы видите что-то, что поднимает бровь, все, что вам нужно сделать, это нажать на переключатель рядом с ним, чтобы отозвать разрешение

JR

Однако, предостережение: используйте эту силу с умом и избирательно. Если приложение действительно нуждается в доступе к определенному типу данных для функционирования, например, таких как Карты с местоположением, то удаление этого разрешения может помешать приложению делать то, что вы от него хотите. Вообще говоря, я бы вообще не стал возиться с элементами системного уровня, такими как Carrier Services или Google Play Services, поскольку отказ от доступа к таким вещам может привести к тому, что важные части вашего устройства перестанут работать так, как они должны.

Но если вы столкнетесь с чем-то, что вам покажется излишним - например, у Bank of America или Pandora, имеющих доступ к функции телефонных вызовов вашего устройства, - продолжайте и получите разрешение обратно. Худшее, что может случиться, это то, что приложение снова попросит вас об этом в следующий раз, когда вы попытаетесь сделать что-то связанное, и тогда вы сможете решить, хотите ли вы вернуть его или нет.

Шаг 3. Убедитесь, что вы используете систему сканирования приложений Android

Android уже давно имел возможность контролировать ваше устройство за вредоносный код или подозрительную активность - сторонние приложения или надстройки не требуются. И хотя система должна быть включена по умолчанию на любом достаточно текущем устройстве, неплохо бы периодически подтверждать, что все включено и работает так, как должно.

Зайдите в раздел «Безопасность и местоположение» настроек системы, коснитесь строки с надписью «Google Play Protect» и убедитесь, что «Сканировать устройство на наличие угроз безопасности» отмечено. Это позволит системе проверки приложений Android следить за всеми приложениями на вашем устройстве, даже после их установки, и следить за тем, чтобы ни одно из них не делало ничего опасного. Сканирование будет выполняться в фоновом режиме и не будет вас беспокоить, если не будет обнаружено что-то подозрительное.

Скорее всего, вы никогда не узнаете, что это там. Но это ценная защита и душевное спокойствие.

Но это ценная защита и душевное спокойствие

JR

Шаг 4: Оцените свой IQ, загружающий приложение

Если вы читаете эту колонку, мне, вероятно, не нужно рассказывать вам об этом, но я все равно скажу: пока мы размышляем над темой безопасности приложений Android, возьмите на себя небольшую часть ответственности и посвятите себя смысл руководить вашими решениями загрузки приложения.

Послушайте, давайте не будем обманывать себя: механизмы безопасности Google неизменно собирается потерпеть неудачу в случае , Обойти это невозможно. Но даже когда неясное приложение попадает в Play Store, все, что требуется, - это малейший кусочек осознания, чтобы избежать какого-либо влияния на вас.

Точно так же, как при просмотре веб-страниц с компьютера, посмотрите на что-то, прежде чем загрузить его. Посмотрите на количество загрузок и общие отзывы. Подумайте о том, какие разрешения нужны приложению и достаточно ли вам уровня доступа для него. Нажмите на имя разработчика, если вы все еще не уверены, и посмотрите, что еще они создали. И если вы действительно не знаете, что делаете, не загружайте приложения со случайных веб-сайтов или из других неустановленных сторонних источников. Такие приложения по-прежнему будут сканироваться системой безопасности Google на устройстве до их установки, но ваши шансы встретить что-то неясное в дикой природе значительно выше, чем в Play Store.

(Кстати, ваше Android-устройство не позволяет вам загружать приложения из неизвестных источников по умолчанию, поэтому, если вы когда-нибудь попробуете - даже случайно), вас предупредят и предложат авторизовать эту конкретную форму загрузки без Play-Store. Приложения на Android никогда не будут устанавливаться самостоятельно без вашего явного разрешения.)

По большому счету, все, что нужно, - это 10-секундный взгляд, чтобы определить размер и посмотреть, стоит ли его устанавливать. При всем уважении к додо мира, не нужно быть ученым-ракетчиком, чтобы придерживаться авторитетного программного обеспечения и избегать сомнительных творений.

Часть II: пароли и аутентификация

Шаг 5: перепроверьте основы безопасности

Очень просто упомянуть: если вы не используете биометрическую защиту и / или ПИН-код, шаблон или пароль на любом из ваших устройств, начните делать это. Сейчас

Поговорите с любым экспертом по безопасности, и вы услышите то же самое: наиболее вероятной причиной сбоя в безопасности является просто отказ от вашего имени защитить ваши вещи. Вы самое слабое звено, как сказали крутые ребята 15-20 лет назад.

Помимо смущающих устаревших ссылок на поп-культуру, подумайте об этом: если ваш телефон не имеет парольного кода, защищающего его, все ваши данные просто находятся там и ждут взятия в любое время, когда вы оставляете устройство без присмотра (намеренно или иным образом). Это включает вашу электронную почту, документы, учетные записи в социальных сетях и всю коллекцию фотографий (да, даже эти картинки - эй, я здесь не для того, чтобы судить).

Самое приятное: Android делает его максимально удобным для обеспечения безопасности ваших устройств. Программное обеспечение Функция Smart Lock позволяет автоматически оставлять телефон разблокированным в различных предварительно утвержденных «безопасных» условиях - например, когда вы дома, когда подключено определенное доверенное устройство Bluetooth или даже когда телефон лежит в вашем кармане. Это означает, что дополнительная безопасность появляется только тогда, когда она действительно необходима, и вам не нужно возиться с ней в остальное время.

JR

Просто и ясно, нет никакого оправдания, чтобы оставить ваши вещи незащищенными. Перейдите в раздел «Безопасность и местоположение» настроек вашего устройства, чтобы начать работу, если вы этого еще не сделали.

Шаг 6: Просмотр сохраненных паролей Smart Lock

Говоря о Smart Lock, одной из менее часто обсуждаемых частей системы безопасности Google является ее способность сохранять пароли для веб-сайтов и приложений, доступ к которым осуществляется через ваши мобильные устройства. Как часть вашего ежегодного аудита, взгляните на список сохраненных паролей У Google есть для вашей учетной записи, так что вы будете знать, что там есть - и пока вы у него, потратьте несколько секунд, чтобы удалить все устаревшие элементы, которые больше не нужны и не принадлежат.

Шаг 7: Оцените свою систему управления паролями

Система сохраненных паролей Google лучше, чем ничего, но вы получите более надежные гарантии безопасности, более продвинутые и полезные функции и более широкую поддержку для заполнения пароля в приложении с помощью специальной службы управления паролями. Множество похвальных вариантов доступно, но моя рекомендация для лучшего всестороннего опыта на Android LastPass (который одинаково хорошо работает на десктопе и даже на iOS). Это позволяет легко создавать и хранить уникальные безопасные пароли для каждого сайта и службы, которые вы используете, а затем автоматически вводить эти пароли по мере необходимости - в любом приложении или браузере практически на любой платформе.

Если вы не используете LastPass или другой подобный сервис, самое время начать. И если вы уже используете такую ​​услугу, потратьте несколько минут, чтобы заглянуть в настройки приложения и убедиться, что вы пользуетесь всеми функциями защиты на устройстве, которые оно предлагает. Например, в LastPass вы должны подтвердить, что активны опции для автоматической блокировки приложения и когда оно не используется более нескольких минут. Вы должны убедиться, что приложение требует PIN-код или отпечаток пальца, чтобы разблокировать. И вы должны подтвердить, что приложение настроено для автономного доступа, в случае необходимости. (Все эти параметры находятся в разделе «Безопасность» настроек LastPass.)

LastPass и другие менеджеры паролей также имеют возможность проанализировать все ваши пароли и определить те, которые было бы целесообразно изменить - дублированные или не настолько надежные, как могли бы быть. Это умная вещь для проверки в рамках этого ежегодного аудита - и, что самое главное, эти службы сделают всю тяжелую работу за вас.

Шаг 8. Оцените ситуацию с двухфакторной аутентификацией

В наши дни одного пароля недостаточно для защиты важной учетной записи, особенно такой же широкой и ценной, как ваша учетная запись Google. Благодаря двухфакторной аутентификации вам необходимо вводить специальный чувствительный ко времени код в дополнение к паролю при каждом входе в систему. Это значительно повышает уровень безопасности и уменьшает вероятность того, что кто-либо сможет взломать и получить доступ к вашим личным данным, поскольку для этого им потребуются как знание вашего пароля, так и физическое присутствие вашего устройства для генерации кода (скорее всего, вашего телефона).

Это значительно повышает уровень безопасности и уменьшает вероятность того, что кто-либо сможет взломать и получить доступ к вашим личным данным, поскольку для этого им потребуются как знание вашего пароля, так и физическое присутствие вашего устройства для генерации кода (скорее всего, вашего телефона)

JR

Если для вашей учетной записи Google еще не включена двухфакторная аутентификация, перейдите на этот сайт для начала. И не останавливайтесь только на Google: посмотрите, как включить двухфакторную аутентификацию для любой службы, которая ее предлагает, включая ваш менеджер паролей, ваши учетные записи в социальных сетях и любые службы облачного хранения, отличные от Google (например, Dropbox), которые вы используете , Как только вы все настроите, вы будете полагаться на такое приложение, как Google Authenticator генерировать одноразовые коды со своего телефона или стороннего поставщика, например Authy который может работать на вашем телефоне, а также на других устройствах.

Говоря об Authy, если вы уже используете его для двухфакторной аутентификации, откройте приложение прямо сейчас и перейдите в раздел «Моя учетная запись» его настроек, затем нажмите «Защита приложения» и подтвердите, что вы используете PIN-код или отпечаток пальца. для защиты. Затем перейдите в раздел «Устройства» того же меню настроек, чтобы узнать, какие именно устройства имеют доступ к приложению. Удалите все, которые устарели и больше не используются.

Если вы действительно хотите сохранить свою учетную запись, кстати, Google также предлагает расширенную опцию под названием Продвинутая защита , Он требует от вас приобрести физические ключи безопасности, а затем использовать их в любое время, когда вы входите в свою учетную запись Google. Это также серьезно ограничивает способы подключения сторонних приложений к вашей учетной записи. Такой вид повышенных и заблокированных настроек, вероятно, не будет иметь смысла для большинства людей, но если вы чувствуете, что нуждаетесь в дополнительной защите, вы можете узнать больше и зарегистрироваться Вот ,

Шаг 9: Оптимизируйте безопасность экрана блокировки

Ваш экран блокировки защищает ворота вашего Android-устройства - и есть несколько вещей, которые вы можете сделать, чтобы усилить его мускулы и убедиться, что он полностью подготовлен к работе.

Во-первых, подумайте о типах уведомлений, которые вы получаете, и о том, какую часть этой информации вы хотите видеть на экране блокировки - поскольку любой, кто достанет ваш телефон, может легко увидеть все эти данные. Если вы склонны получать конфиденциальные сообщения или просто хотите повысить свой уровень безопасности и конфиденциальности в игре, зайдите в раздел «Безопасность и местоположение» настроек вашей системы и выберите «Настройки экрана блокировки». Первая опция в этом меню, «На экране блокировки», позволяет вам точно контролировать то, что будет и не будет отображаться в этой области предварительной аутентификации.

JR

Затем, в том же разделе ваших настроек, нажмите на строку с надписью «Сообщение экрана блокировки». Там вы можете ввести сообщение, которое всегда будет отображаться на экране блокировки, например что-то вроде: «Если найдено, позвоните Джо Т. Шмо по номеру 333-222-1111». (Вы также можете рассмотреть добавление экстренного контакта в ваши настройки, а затем с помощью сообщения на экране блокировки, чтобы направить людей к этой информации.)

И, наконец, если ваш телефон работает под управлением Android 9 Pie, новая опция называется режим блокировки стоит активировать. После включения он дает вам быстрый способ заблокировать ваш телефон от всех биометрических параметров и параметров Smart Lock - это означает, что только шаблон, PIN-код или пароль могут получить доступ к вашему экрану блокировки.

Идея состоит в том, что если вы когда-либо находились в ситуации, когда вы думали, что вас могут заставить разблокировать телефон отпечатком пальца или лицом - будь то какой-то агент правоохранительных органов или просто обычный хулиган - вы могли бы активировать режим блокировки и знать, что ваши данные не могут быть доступны без вашего явного разрешения. Даже уведомления не будут отображаться на экране блокировки при активации режима, и этот повышенный уровень защиты будет оставаться на месте до тех пор, пока вы не разблокируете свой телефон вручную (даже если устройство будет перезагружено).

Есть только одна загвоздка: вы должны включить опцию заранее, чтобы она была доступна. Но на это уходит всего пара секунд: в том же разделе «Настройки экрана блокировки» настроек вашей системы просто активируйте переключатель рядом с «Показать опцию блокировки» - и все.

Если когда-либо возникнет необходимость, просто запомните это: находясь на экране блокировки, нажмите и удерживайте кнопку питания телефона в течение секунды или двух. Там, наряду с обычными опциями перезапуска и выключения вашего устройства, вы увидите недавно появившуюся опцию «Блокировка». Надеюсь, вам это никогда не понадобится, но теперь вы готовы на это.

О, и угадайте, что, кстати? Вы прошли более чем половину этого ежегодного аудита. Осталось всего шесть шагов!

СЛЕДУЮЩАЯ СТРАНИЦА: Доступ к устройству и последние соображения

Чистое совпадение, верно?
О, и угадайте, что, кстати?