[摘要]虽然谷歌为提升Android安全性做了许多工作,但其安全性能仍然不能令人满意,一个重要原因是Android设备不能及时安装更新包。
腾讯数码讯(文心)据Digital Trends 网站报道,Android是世界上用户最多的移动平台,每天有逾14亿人使用Android智能手机或平板电脑。Android是开放源代码软件,供设备厂商免费使用,是它吸引如此多用户使用的一个重要原因。但开放性是一把双刃剑:它带来的一个后果是,许多Android手机没有定期更新最新的安全补丁。
过去数年,恶意件幽灵一直笼罩着Android,研究人员在其中发现一些名头非常大的安全缺陷,例如Stagefright。频频出现的负面新闻,使得人们很难全面、客观地对待Android安全性。上周有媒体披露了FalseGuide恶意件,称它可能影响多达180万名Android用户。
如果只看媒体报道,人们担忧Android安全性情有可原。但是,有关Android安全性的媒体报道哪些是夸大其词,哪些是客观真实的?Android平台真的不安全吗?
谷歌Android团队主管艾德里安·路德维格(Adrian Ludwig),在最近一次采访中向Digital Trends表示,“不是这样,Android并非不安全。我认为我们存在认知方面的问题,我们的认识不同于实际的用户危险。我们一直在开发的加密技术、沙盒技术,以及提高黑客利用安全缺陷兴风作浪难度的其他技术,完美地共同发挥作用。”
毋庸置疑的是,最新版本的Android,比之前的版本更安全,但问题是许多Android用户从未感受到这一点。早在2016年,谷歌Android安全团队在一篇博文中证实,截至2016年年底,约半数在用Android设备,在至少12个月内没有安装过更新包。
反病毒软件评估机构AV-Test首席执行官马伊克·莫根斯特恩(Maik Morgenstern)向Digital Trends表示,“谷歌最新版本Android可以被认为是安全的。但是,尤其在许多旧版Android中,越来越多缺陷被发现,许多设备厂商不为它们的设备发布更新包。目前,旧版Android中被发现逾800个安全缺陷。”
截至4月份的官方Android版本资料显示,只有4.9%的Android设备运行最新版本Android操作系统——Nougat 7.0或7.1,这是一个令人失望的数据。Android 6.0 Marshmallow在Android设备中的占比为31.2%,Android 5.0或5.1占比为31%,五分之一的Android设备仍然运行Android 4.4 KitKat。在运行旧版操作系统的Android设备中,大多数永远不大可能得到更新。
以色列移动安全公司Zimperium平台研究和利用部门副总裁约书亚·德拉克(Joshua J. Drake)向Digital Trends表示,“84%的手机没有得到更新,这意味着大多数移动设备仍然面临受到攻击的风险。”
德拉克2015年发现了Stagefright缺陷。据当时的媒体报道称,Stagefright缺陷使黑客可能通过潜伏在音频或视频文件中的恶意代码控制Android设备,高达95%的设备受到它的影响。德拉克向Digital Trends表示,目前只有不到1%的Android设备受Stagefright缺陷影响。
虽然潜在的危害令人恐惧,只是目前尚不清楚Stagefright缺陷给Android用户造成的实际危害。路德维格说,“我们发现它快2年了,但尚不知道有用户真正因它受到了攻击。”
但德拉克不同意这种说法, “我们知道已经存在利用libstagefright和mediaserver中缺陷的针对性攻击。我们知道,要证明普遍的危害很困难,我们尊重谷歌为提高其平台安全性所做的努力。但是,由于设备上没有相应传感器,没有人可以了解设备的风险或威胁状态——尤其是移动设备。”
Digital Trends表示,问题在于,用户要判断自己的设备是否受到攻击并非易事。在Stagefright 缺陷被发现后。Zimperium成立了“Zimperium手机联盟”,增进研究人员、移动运营商、移动应用开发者和设备厂商之间的交流。
德拉克说,“研究人员需要研究每个月的安全更新包,尝试利用这些缺陷,以促进更好地修正缺陷,提高整个移动领域的安全性。”
谷歌已经采取一些重要措施来降低安全风险,按月发布更新包。但旧版本Android被遗忘了。
要解决Android碎片化问题并非易事。对于谷歌来说,说服移动运营商和制造商更新它们的Android设备一直很困难。而这正好给了对手机会,在2014年的全球开发者大会上,苹果首席执行官蒂姆·库克(Tim Cook)提到ZDNet上的一篇文章——《Android碎片化使设备成为漏洞地狱》。但iOS的安全性真的更好吗?如果更安全,原因何在?
德拉克表示,“一直以来人们都有这种印象:iOS安全性优于Android,但事实可能未必如此。”
因为Android是开放源代码软件,安全研究人员更容易发现其中的缺陷和建议厂商开发补丁软件。德拉克说,iOS的封闭特性,使得研究人员很难发现它内部的“奥秘”。莫根施特恩同意这种说法,但提到两者之间的一个重要差别——使得恶意件对Android威胁更大。
莫根施特恩解释说,“Android用户可以轻而易举地安装任何来源的应用,这使得恶意应用可以很容易感染硬件。其他平台在这方面要严格得多,只允许用户安装来自其封闭的应用商店的应用。”
Android是一大攻击目标。拥有如此众多的用户和开放源代码特性,使得Android成为对网络犯罪分子有吸引力的目标。AV-Test每天收集至多3万个新Android恶意件样本,这是一个可怕的数据,但是,关心安全的Android用户可以采取一些措施——例如坚持通过Google Play安装应用、及时安装更新包和安装第三方Android安全应用,大幅降低受到攻击的风险。
德拉克和莫根施特恩还警告用户不要连接未知网络和WiFi热点,至少是在没有使用合适的Android VPN(虚拟专用网)应用的情况下。
德拉克解释说,“我们的数据显示,大多数攻击具有网络化性质,它们不会区分iOS、Android和其他平台。一旦黑客悄悄地拦截并重定向设备网络流量,设备就可能受到侵入性监视。”
Digital Trends 称,Android安全性在不断提升,原因包括更快的更新包发布、设备加密、授权请求、使应用相互隔离的应用沙盒、有限制的资源访问、Play Store自动对恶意件进行扫描。但很显然,Android安全性还有提升空间。
在被问到第三方研究的重要性时,路德维格说,“去年我们向研究人员支付了约100万美元(约合人民币690万元)。”虽然谷歌有自己的研究项目,德拉格感觉需要更多类似研究项目。
他说,“要提高Android整体安全性,谷歌与安全厂商进行更密切合作是必要的。苹果和其他厂商扩大了它们的合作项目,但谷歌缩小了合作项目。谷歌的逻辑是,它们可以自行完成所有工作,但令人遗憾的是,这会给用户带来损害,而对黑客有利。”
最终,Android安全问题可能与用户使用的设备有关。如果用户使用2、3年前购买的手机、运行旧版Android,而且数月来没有得到更新,用户就需要关注设备安全性了。相比之下,谷歌Pixel手机用户能及时收到最新安全更新包,至少是购买手机后的未来2年内。
很难说大多数Android设备何时能用上Nougat或之后的Android版本,部分设备厂商和运营商发布更新包慢半拍将继续是个问题。
莫根施特恩说,“除非所有设备都及时安装更新包,用户仍然会面临危险。”
来源:Digital Trends
精彩视频推荐
责任编辑:海凡
- 王者荣耀11月7日更新到几点 11月7日更新了什么2017-11-07
- 海贼王884话全图:四档状态下路飞起初能暴揍卡塔库栗,后来无效2017-11-05
- 中国去年游戏收排名全球第一明年电竞用户数或达3亿2017-11-02
- 办理不动产登记多种自助设备启用 涉及办证申报等事项2017-10-27
- 《绝地求生大逃杀》10月26日更新内容 毒圈受到伤害持续增加2017-10-26
- 福州小区消防设施设备维修可启动紧急使用程序2017-10-25
- 王者荣耀新地图什么时候上线 新版元素更精美野怪造型升级2017-10-17
- 东山路等区域下周一停水 周边区域用户水压下降2017-10-13
- 如何护孩子周全成重要课题 全世界父母都在学习这些道理2017-10-13
- 王者荣耀10月10日更新内容详解 英雄学院专属头像框2017-10-10
- 最新科技数码 频道推荐
-
被国产手机打趴!三星手机在国内市场份额狂降2017-11-14
- 进入图片频道最新图文
- 进入视频频道最新视频
已有0人发表了评论