НАЗАД К НОВОСТЯМ
ИсследованияВысокий

Google представила безопасный обмен файлами между Android и iOS через Quick Share

3 мин чтенияИсточник: Google Security Blog

Google внедрила двусторонний обмен файлами между Android и iOS через интеграцию Quick Share с AirDrop. Решение с акцентом на безопасность использует Rust и прошло независимый аудит NetSPI.

Google обеспечила безопасный кроссплатформенный обмен файлами между Android и iOS благодаря интеграции Quick Share и AirDrop

Автор: [Google Platforms Security & Privacy Team]

Компания Google объявила о значительном улучшении функции Quick Share, реализовав двусторонний обмен файлами между устройствами Android и iOS через интероперабельность с AirDrop. Новая возможность, дебютирующая на семействе Pixel 10, позволяет пользователям безопасно обмениваться фотографиями, видео и файлами между платформами без проблем совместимости. В основе реализации лежит подход Secure by Design, использующий память-безопасный Rust и независимую проверку безопасности для защиты пользовательских данных.

Техническая реализация: Secure by Design

Интеграция Quick Share с AirDrop от Google соответствует принципам Secure by Design, включая строгие меры безопасности на каждом этапе разработки:

  • Моделирование угроз: Проактивное выявление и устранение потенциальных рисков безопасности.
  • Внутренние проверки безопасности и конфиденциальности: Специализированные команды провели тщательные оценки для соответствия стандартам безопасности Google.
  • Внутреннее пентестирование: Масштабное тестирование перед развёртыванием для выявления и устранения уязвимостей.

Функция использует многоуровневую архитектуру безопасности для обеспечения сквозной защиты:

1. Защищённый канал связи

  • Разработан на Rust — языке с безопасной работой с памятью, который рекомендован NSA и CISA для устранения классов уязвимостей, связанных с безопасностью памяти (например, переполнение буфера).
  • Компилятор Rust обеспечивает строгие правила владения и заимствования, предотвращая ошибки повреждения памяти при парсинге данных.

2. Защита на уровне платформы

  • Android: Использует Google Play Protect, усиление ОС на базе Rust и проактивные меры против вредоносных файлов.
  • iOS: Дополняет безопасность Android собственной надёжной архитектурой, снижая риски эксплуатации уязвимостей.
  • P2P-соединение: Данные передаются напрямую между устройствами без маршрутизации через серверы и логирования общего контента.

3. Контроль со стороны пользователя

  • Передача файлов требует явного подтверждения пользователя, обеспечивая контроль над принимаемым контентом.

Режим AirDrop «Для всех»: безопасный первый шаг

На данный момент интероперабельность Quick Share поддерживает режим AirDrop «Для всех (на 10 минут)», обеспечивая бесшовный кроссплатформенный обмен без обходных решений. Ключевые функции безопасности:

  • Прямая передача без серверов, предотвращающая утечку данных.
  • Отсутствие логирования или сбора метаданных общего контента.
  • Очная верификация через подтверждение имени устройства для предотвращения ошибочных отправок.

Google выразила намерение сотрудничать с Apple для расширения поддержки режима «Только контакты» в будущих обновлениях.

Независимая проверка безопасности

После внутренних оценок Google привлекла NetSPI, ведущую компанию по пентестированию, для проведения независимого аудита безопасности. По результатам проверки интеграция Quick Share и AirDrop:

  • Оказалась «значительно надёжнее» отраслевых стандартов кроссплатформенного обмена файлами.
  • Не приводит к утечке конфиденциальной информации во время передачи.
  • Обеспечивает надёжную основу для пользователей Android и iOS.

Дэн Бонэ (Dan Boneh), эксперт по безопасности из Стэнфордского университета, высоко оценил реализацию:

«Использование Google память-безопасного Rust для основного уровня коммуникаций — яркий пример безопасной интероперабельности. Я призываю к дальнейшему сотрудничеству между Google и Apple для расширения возможностей безопасного кроссплатформенного обмена».

Влияние и перспективы

Это нововведение решает давнюю проблему фрагментации мобильных экосистем, обеспечивая безопасный и удобный обмен файлами независимо от платформы. Хотя изначальный релиз ограничен устройствами Pixel 10, Google планирует расширить совместимость на другие модели Android и доработать функцию на основе отзывов пользователей.

Рекомендации для специалистов по безопасности

  • Следить за обновлениями о поддержке режима «Только контакты» и расширении платформенной совместимости.
  • Изучать реализации на Rust для оценки преимуществ безопасности памяти в кроссплатформенных приложениях.
  • Анализировать отчёты сторонних аудитов (например, выводы NetSPI) для понимания принципов проектирования безопасной интероперабельности.

Инициатива Google подчёркивает растущий акцент отрасли на безопасной интероперабельности, сочетая удобство для пользователей с надёжными мерами защиты. По мере эволюции кроссплатформенных угроз такие коллаборации будут критически важны для снижения рисков при улучшении связности устройств.

Поделиться

TwitterLinkedIn