نگاهی به تعادل مابین آزادی و امنیت در پلتفرم اندروید

نگاهی به تعادل مابین آزادی و امنیت در پلتفرم اندروید

بزرگ‌ترین مزیت و ویژگی سیستم‌عامل اندروید را می‌توان آزادی عمل کاربرانی که با این سیستم‌عامل محبوب کار می‌کنند دانست؛ با این حال، مسئلهٔ امنیت هم قطعاً چیزی نیست که گوگل بخواهد از آن صرف نظر کند. مشکل اینجا است که رعایت مسائل امنیتی نیازمند به‌کارگیری استراتژی‌هایی است که در بسیاری از مواقع سد راه آزادی می‌شوند!

این مسئله دقیقاً همان چیزی است که در کنفرانسی تحت عنوان Structure Security در سان فرانسیسکو مطرح شد. Adrian Ludwig در این کنفرانس در مورد عملکرد تیم اندروید در رابطه با حفظ امنیت این سیستم‌عامل صحبت کرد. مدیر وقت امنیتی اندروید در این کنفرانس در مورد اینکه تیم‌اش چه‌طور توانسته میان امنیت و آزادی تعادل برقرار کند توضیحاتی داد.

او در توضیحاتش گفت که گوگل همیشه قصد داشته سیاست باز و آزاد بودن سیستم‌عامل اندروید را به همین شکل حفظ کند؛ هرچند که رسیدن به این مقصود از نظر امنیتی یک چالش و تصمیم استراتژیک محسوب می‌شود. وی گفت برخلاف چیزی که در ابتدا به نظر می‌رسد، آنها معتقدند باز و آزاد بودن چیزی است که در نهایت باعث افزایش و بهبود امنیت می‌شود!

اندروید معمولاً به خاطر اینکه اپلیکیشن‌های موجود در فروشگاه‌های اپلیکیشن‌اش -منظور همان App Storeها است- را درست بررسی نمی‌کند، مورد انتقال قرار می‌گیرد. در پاسخ به این انتقادها لودویگ گفته است که یکسری معیارهای امنیتی در Google Play Store وجود دارد. به نظر وی، این معیارها و مرزهای امنیتی بسیار شبیه به همان‌هایی هستند که در App Store اپل استفاده می‌شوند که به خاطر در نظر گرفتن مسائل امنیتی اپ‌ها، شهره شده است!

با این حال، گوگل معتقد است که اجازه به اظهار نظرات مختلف در موبایل اهمیت زیادی دارد. این آزادی بیش از اندازه، همان چیزی است که باعث شد اندروید اجازه دهد که کاربران از فروشگاه‌های اپلیکیشن دیگر نیز استفاده کنند اما این در حالی است که این سیاست آزادی، بعدتر برای اندروید دردسر ساز شد!

در حقیقت، بیشتر مشکلات امنیتی و بدافزارهای اندروید از فروشگاه‌های اصطلاحاً Third Party -فروشگاه‌هایی به غیر از گوگل پلی استور- ناشی شده‌اند. حال این سؤال مطرح می‌شود که آیا گوگل مسئول مشکلات امنیتی و محافظت از کاربر در برابر این چنین فروشگاه‌هایی است یا خیر؟

لودویگ در رابطه با مقابله با بدافزارهای موجود گفته است که تیم اندروید در این مورد راه چاره‌ای پیدا خواهد کرد و در حال حاضر هم آنها در حال کار برای رفع این مشکل هستند. طبق گفتهٔ لودویگ، در حال حاضر میلیون‌ها دیوایس از سیستم Endpoint Security استفاده می‌کنند (این سیستم‌های امنیتی به گوگل کمک می‌کنند که دستگاه‌ها را بهتر تحت نظر بگیرد و آنها را از اپلیکیشن‌های نامناسب و بدافزارها محافظت کنند).

در مورد مشکلات امنیتی مربوط به نرم‌افزارهای جاسوسی، لودویگ توضیح داد که این موارد بسیار نادر هستند. در واقع، چیزی که بیش از همه لودویگ را نگران کرده است، توسعه‌دهندگانی هستند که سعی می‌کنند از روش Push Messaging برای تبلیغ  اپلیکیشن‌های خود استفاده کنند (پیام‌رسانی اجباری، در واقع نوعی کلاه‌برداری در تبلیغات محسوب می‌شود).

به طور کلی، #اپن‌سورس بودن اندروید بدین معنا است که اندروید ذاتاً کارهایش را با سطحی از شفافیت انجام می‌دهد ولی چیزی که لودویگ به دنبال آن است، با شفافیت اندروید حل نمی‌شود. آنچه که برای رفع مشکلات امنیتی لازم است، در واقع شفافیت از سوی تولیدکنندگان این پلتفرم است؛ آنها هستند که باید شفافیت را در کار خود ارائه کنند.

در عین حال، مشکل این است که اگر شفافیت وجود داشته باشد، تولیدکنندگان (دولوپرها) باید پاسخگوی اتفاقاتی که می‌افتند هم باشند. به نظر لودویگ، تولید‌کنندگان اپ باید شفاف باشند ولی این شفافیت را در جهت مشخصی هدایت کنند.

علاوه بر این‌ها، اندروید از یک مشکل دیگر هم رنج می‌برد. یکی از بزرگ‌ترین چالش‌ها برای اکوسیستم اندروید، مسئله به‌روزرسانی دستگاه‌ها است. این مسئله فقط مختص به اندروید نیست و دستگاه‌هایی که از اینترنت اشیاء (IoT) استفاده می‌کنند هم دقیقاً همین مشکل را دارند. به گفتهٔ لودویگ، گوگل در تلاش است تا این مشکل را هم از نظر فنی و هم از نظر بحث کسب‌وکار حل کند. مشکل اصلی این است که ساخت یک نرم‌افزار زنجیرهٔ تأمین که بر روی به‌روزرسانی تأکید داشته باشد برای تولیدکنندگان چندان خوشایند نیست و دلیلش هم واضح است؛ این کار برای تولید‌کننده فقط هزینه و دردسرهای زیادی به همراه دارد!

در گذشته، از نظر تاکتیکی بر روی مسائل امنیتی تمرکز می‌شد ولی اکنون با حضور موبایل‌ها و فضاهای ابری دیگر نمی‌توان همه چیز را به کاربر واگذار کرد. لودویگ در صحبت‌هایش گفت که تولیدکنندگان و شرکت‌ها متوجه شده‌اند که دیگر نمی‌توانند برای محافظت کاربر، به خود کاربر تکیه کنند. این نوع نگاه احتمالاً باعث می‌شود که در سال‌های آینده (شاید تا 10 سال دیگر) سیستم‌های امنیتی و اقدامات متفاوتی برای حفاظت از اطلاعات مورد استفاده قرار گیرند.

حال نوبت به نظرات شما است. آیا با این دغدغه‌هایی که گوگل برای امنیت کاربرانش در سر می‌پروراند، می‌تواند انتقاداتی که به امنیت اپ‌های اندرویدی و به طور کلی این پلتفرم وارد است را مرتفع کرده اما در عین حال اپن‌سورس بودن را هم حفظ کند؟ نظرات خود را با سایر کاربران سکان آکادمی به اشتراک بگذارید.

منبع