| 近日,谷歌刚刚开完2014 Google I/O大会,发布了下代操作系统Android L,有人判断它是自Android系统诞生以来无论从设计逻辑、界面,还是支持设备等方面都进行了重大改变,尤其值得注意的是谷歌将Android的安全问题摆到了台面上,用Android L的改进正面回应了对系统安全性的质疑。那么,这些改进能在多大程度上提升Android的安全性呢? 通过Google Play推送漏洞补丁 新系统的安全亮点在于通过Google Play来推送漏洞补丁,而不是随安卓系统更新来推送。 谷歌在介绍Android L的新功能时,称新系统能增强安全功能,可以扫描所有应用的安全问题,哪怕应用不是来自谷歌的应用商店Google Play Store。Android L的安全补丁升级不再随系统发布,而是跟着Google Play推送给用户。此外,隐私权限方面,用户也可以像苹果Find My iPhone一样远程锁定手机,在手机被盗或丢失时清空数据。
恶意软件渠道分布趋势
从谷歌的介绍来看,新系统的安全亮点在于通过Google Play来推送漏洞补丁。百度移动安全总经理张磊在接受《中国电子报》记者采访时说,Android L更进一步对系统的各个服务进行了分离,完善了通过Google Play Service来升级的体系。这样的做法可以加速系统缺陷和漏洞的修复速度,不必像之前的系统那样,很多东西都要等待新版本的ROM才能解决,这在一定程度上加强了系统的安全性。 事实上,Android的安全问题向来被人诟病。百度安全实验室的数据显示,2014年第一季度安卓平台手机恶意/高危软件首次突破150万个大关,腾讯移动安全实验室的报告表明2014年前4个月安卓中毒手机占全部安卓手机的比例达到7.48%。另外,Android 4.2系统是感染手机病毒最多的系统,占比达到32%,紧随其后的是Android 4.1与Android 4.0。安卓开放的生态环境和免费的模式使其受到了厂商和用户的欢迎,用户量居移动操作系统市场第一位,但是由于其过于开放,安卓应用的漏洞频发。 张磊向《中国电子报》记者解释,安卓手机市场中山寨机与水货机较多,产品质量缺乏保障。许多山寨手机厂商为了谋取利益,对手机原生内容进行修改,内置了许多未经审核的第三方应用,为手机应用埋下了安全隐患,而正品行货手机同样也存在安全问题,因为无论是正品行货还是运营商定制机都会对安卓系统进行二次开发,这个过程会产生系统漏洞。在用户使用手机下载应用的过程中,由于个别应用未受到第三方应用商店的安全审核,导致用户下载到不良应用的概率提高。因此,安卓智能手机市场的手机安全问题一直是困扰消费者的主要矛盾。 在业内人士看来,谈到安卓系统的安全性,会用“先天不足”的词来形容。360安全专家告诉《中国电子报》记者,现在用户手机的安卓系统是否更新是由手机厂商决定的,但大多数手机厂商或是技术上没有能力解决安全问题,或是不重视安全问题,而且在安卓系统上定制的模式也导致安卓手机严重碎片化。 Google Play在中国市场先天不足 Google Play推送安全补丁的方式在中国仅限于特定机型和针对部分组件、服务,没有办法落地。 从谷歌的发布来看,谷歌对于安卓系统补漏洞的工作以前是通过系统更新的时候推送给用户的,新系统发布时,用户更新系统,一些安全问题随之解决。而现在的Android L,则不用等系统更新,而是通过Google Play就能随时更新,对于用户来说谷歌的安全服务前进了一大步。 但是,不得不提的是,Google Play在中国市场也是先天不足,中国用户能否享受到谷歌的新安全服务还得打个问号。360安全专家告诉《中国电子报》记者,谷歌在国外销售的手机都带有Google Play的官方应用市场,并且系统中自带Google Play Service的底层服务。但是这些程序和服务在国内的安卓手机中均没有提供。因为安卓系统是开放的,手机厂商修改了安卓系统的源代码,将这部分功能去掉,嵌入了本地的APPs 商店。由于这些程序和服务是系统的一部分,国内用户拿到被“阉割”过的手机之后无法自行安装这些内容,从而也就无法享受相应的服务。 而且,谷歌并未将中国市场纳入其安卓体系,也没有在中国大力推广Google Play,这使得其Google Play安全计划在中国大打折扣。张磊表示,Google没有对中国境内机型进行服务的计划,但是漏洞修补方式大多是与机型相关的,需要针对机型定制补丁,没有合作的话,补丁制作和发布的流程几乎无法走通。 基于此,张磊认为,Google Play推送安全补丁的方式,其一是范围非常有限,仅限于特定机型和针对部分组件、服务;其二是国内没有办法落地。因此,在国内的安全补丁,可能会更多地由本地安全团队依托于安全APP,来推送到用户。 另外,猎豹清理大师的安全专家也指出,对于安卓系统上运行的第三方软件来说,也存在不少的漏洞风险,仅仅靠 Google Play 的补丁机制,是无法避免或完全修补的。 只是迈出了一小步 Android L此次的安全增强和以前一样,只是迈出了一小步,不能完全解决安卓平台的安全性问题。 谷歌主导的安卓安全机制,如果仔细想一想我们就会发现,为何每次得在更新系统时才能打补丁呢?为什么不能像桌面时代的王者微软那样随时发布补丁呢?安卓系统是不是有着更深层次的安全逻辑问题? 张磊告诉《中国电子报》记者,过去安卓一直采用系统升级的方式来做安全更新,这更多是因为技术限制。安卓的主要技术层次是Linux Kernel、硬件驱动、Android框架和应用,但是谷歌对安卓的拆解并不到位,甚至无法以更新某个文件的形式来做安全更新。反观微软,在多年前Windows系统就已经做到了随时在线发布补丁文件。 这一次增强的补丁推送和隐私控制功能,国内用户也无法使用。究其原因,是安卓的过度开放带来了系统的碎片化,导致了安全的失控。360的安全专家认为,Android L此次的安全增强和以前一样,只是迈出了一小步,不能完全解决安卓平台的安全性问题。 而对于中国市场,更是因为Google Play的萎缩而作用有限,基本上依赖于手机厂商、安全公司的技术维护和用户的安全意识增强。张磊建议安卓平台的APP提供商,尽可能不把用户的数据存储在服务器上,数据的传输过程也要加密,同时加强与专业安全公司的合作;而用户则要从正规的安卓市场下载应用和升级包,安装第三方安全软件等等,还要多留意手机的安全使用法则。 相关链接 每月高达500万安卓用户受到恶意软件侵扰 在谷歌2014 I/O大会上,谷歌高管谈到了Android平台上的恶意软件,以及谷歌防止用户受到侵害所采取的对应措施。 谷歌Sundar Pichai在会上表示:“基于我们进行的统计,只有不到半个百分点的Android用户曾经遇到恶意软件侵扰。” 当以百分比单独看这个数字是相当低的,但是以Android用户总数来看,还是相当惊人。谷歌上个月表示,不包含中国用户、Kindle用户在内,谷歌Android每月活动用户数量已经达到10亿人,那么半个百分点就是500万人,也就是说每月大约有不超过500万Android用户受到恶意软件侵扰。 谷歌Sundar Pichai在会上补充说,谷歌现在通过Google Play服务推动安全更新,每次更新间隔大约一个半月。谷歌Sundar Pichai表示,大约93%的Android用户的Google Play是最新版本。 |
