Компанія Google представила докорінні зміни в системі безпеки для операційної системи Android 17. Технічний аналітик Мішаал Рахман опублікував детальний огляд запроваджених механізмів захисту, які виявились значно суворішими порівняно з попередніми версіями платформи.
Революційні зміни в системі обмеження спроб введення пароля
Попередні поколінння Android відзначались відносно м'яким підходом до обмеження кількості невдалих спроб розблокування пристрою. Алгоритми безпеки надавали зловмисникам та спеціалізованим пристроям для підбору (на зразок комплексів від Cellebrite) достатньо можливостей для систематичного перебору.
Що змінилось у порівнянні з Android 16
У версії Android 16 система дозволяла здійснити:
- десять спроб впродовж першої хвилини;
- п'ятдесят спроб упродовж перших двадцяти п'яти хвилин;
- загалом 1800 спроб протягом п'ятирічного періоду.
Ці показники надавали потенційним нападникам величезне поле для маневрування та робили більшість телефонів потенційно вразливими перед систематичним підбором комбінацій.
Нові суворі обмеження в Android 17
Починаючи з проміжного випуску Android 16 QPR2 та в основному кодексі Android 17, система безпеки зазнала радикальної трансформації. Ключовою змією стало запровадження жорсткого блокування після двадцяти невдалих спроб, коли пристрій припиняє обробляти будь-які подальші спроби введення.
Детальна схема нових обмежень:
- впродовж першої хвилини: допускаються лише шість спроб (зменшено з десяти);
- упродовж перших шести хвилин: максимум сім спроб (було двадцять);
- упродовж перших двадцяти п'яти хвилин: не більше восьми спроб (раніше п'ятдесят);
- впродовж однієї доби: лише дванадцять спроб (замість 110);
- максимальний ліміт на п'ять років: 19 спроб;
- двадцята невдала спроба призводить до остаточної блокування пристрою.
Обґрунтування жорстких мір безпеки
Google обґрунтовує такий радикальний підхід статистичними даними щодо поведінки користувачів. Дослідження показують, що переважна більшість людей не обирає справді випадкові комбінації при встановленні цифрових кодів доступу. Натомість користувачі зазвичай використовують передбачувані варіанти, такі як дати народження, річниці важливих подій або послідовності цифр.
При наявності 1800 спроб зловмисник, який володіє мінімальною інформацією про жертву, мав реальний шанс на успіх. Навпаки, при обмеженні у 20 спроб ймовірність успішного підбору зводиться практично до нуля, навіть якщо нападник добре обізнаний з особистісними даними власника.
Механізми захисту для законних користувачів
Очевидно, що такі суворі обмеження створюють певні ризики для звичайних людей, які можуть забути свої паролі або помилково ввести неправильну комбінацію. З метою мінімізації випадкових блокувань пристроїв розробники запровадили спеціалізований механізм розпізнавання та ігнорування дублювань введених кодів.
Функція розпізнавання повторних введень
Якщо користувач неодноразово набере одну й ту саму неправильну комбінацію поспіль (унаслідок розсіяності або дефекту сенсорного екрану), система автоматично визначить цей образ. Ці повторні введення однієї й тієї ж комбінації не будуть враховуватися як окремі невдалі спроби у глобальному лічильнику.
На екрані блокування користувач побачить інформаційне повідомлення про те, що система проігнорувала дублівані введення і не врахувала їх у ліміті спроб.
Покращений користувацький інтерфейс тайм-аутів
Google також переглянула способи відображення інформації про часові обмеження на повторне введення пароля. Замість технічних та заплутаних повідомлень на кшталт "повторіть спробу через 60 секунд", операційна система Android 17 буде користуватися простішою та зрозумілішою термінологією часових інтервалів.
Користувачі побачать повідомлення у форматі "Спробуйте знову через 30 хвилин", що значно зрозуміліше для пересічної людини. Крім того, на заблокованому екрані розташується явне посилання, яке дозволяє швидко перейти до процесу відновлення облікового запису, використовуючи інший надійний пристрій.
Висновки щодо змін безпеки
Обновлення системи безпеки в Android 17 представляє значний крок уперед у захисті приватності користувачів. Хоча обмеження можуть спричинити незначні незручності для людей, які забули свої паролі, загальний виграш у безпеці значно переважає такі недоліки. Система успішно балансує між захистом від кіберзлочинців та збереженням зручності для законних користувачів.