你的谷歌手機(jī)夠安全嗎?

責(zé)任編輯:editor005

作者:孫榮凱

2015-04-12 19:53:05

摘自:界面

不論是斯諾登的棱鏡門(mén)事件,還是iPhone去年爆發(fā)的名人艷照門(mén)事件,網(wǎng)絡(luò)安全問(wèn)題不再是國(guó)家層面關(guān)注的事情,因?yàn)樗呀?jīng)滲入到我們的日常生活中。

不論是斯諾登的棱鏡門(mén)事件,還是iPhone去年爆發(fā)的名人艷照門(mén)事件,網(wǎng)絡(luò)安全問(wèn)題不再是國(guó)家層面關(guān)注的事情,因?yàn)樗呀?jīng)滲入到我們的日常生活中。而我們隨身攜帶的手機(jī)則成了一顆“定時(shí)炸彈”,因?yàn)槲覀円呀?jīng)把像銀行卡密碼這樣的信息都裝了進(jìn)去。手機(jī)萬(wàn)一出了問(wèn)題,那還真可能是大問(wèn)題。

不僅你會(huì)關(guān)心自己手機(jī)的安全問(wèn)題,手機(jī)系統(tǒng)的開(kāi)發(fā)商也關(guān)注,盡管他們不會(huì)天天宣布自己做什么。不過(guò),對(duì)于一個(gè)在手機(jī)系統(tǒng)市場(chǎng)上占到絕對(duì)優(yōu)勢(shì)的系統(tǒng)——安卓系統(tǒng)來(lái)說(shuō),它必須要對(duì)全球近80%的智能機(jī)用戶(hù)負(fù)責(zé)。安卓肩上的擔(dān)子很重,但它也需要鼓勵(lì),所以谷歌就在4月2日時(shí)發(fā)布了《2014年安卓系統(tǒng)安全報(bào)告》。

在這份44頁(yè)的英文報(bào)告中,谷歌不僅說(shuō)了當(dāng)下安卓在安全問(wèn)題上所做的努力,還列舉了一些有意思的數(shù)據(jù),以下是報(bào)告中的部分內(nèi)容,可能你會(huì)感興趣。

2014年,安卓系統(tǒng)在安全方面做了很多重大的改進(jìn),盡管你可能一時(shí)聽(tīng)不懂,但是大概能想出來(lái)。這其中就包括可以使用全盤(pán)加密,擴(kuò)大硬件密碼保護(hù)的使用范圍,還有就是通過(guò)基于SELinux強(qiáng)制訪問(wèn)系統(tǒng)下對(duì)安卓沙盒進(jìn)行改進(jìn)。對(duì)于開(kāi)發(fā)者,安卓還提供了用于檢測(cè)和應(yīng)對(duì)安全缺陷的工具,其中包括安全工具Nogotofail和SecurityProvider。同時(shí),安卓還為手機(jī)廠商解決安全問(wèn)題提供持續(xù)支持,這其中包括安卓開(kāi)發(fā)的79個(gè)安全補(bǔ)丁和在安卓5.0系統(tǒng)中可持續(xù)更新的WebView。

在安卓應(yīng)用的安全性方面,谷歌也通過(guò)兩套辦法保證APP無(wú)毒無(wú)害。對(duì)于在Google Play里下載的應(yīng)用,谷歌會(huì)經(jīng)常在上面進(jìn)行安全檢測(cè),也會(huì)為下載到終端上的APP提供實(shí)時(shí)持續(xù)的安全保護(hù)。目前,全球共有10億臺(tái)設(shè)備得到了Google Play的保護(hù)。如果用戶(hù)是從Google Play之外的地方下載軟件,Google Play則提供Verify Apps這一服務(wù),用于保護(hù)用戶(hù)手機(jī)。一般安卓手機(jī)默認(rèn)都是差不多每周一次整機(jī)掃描。根據(jù)谷歌統(tǒng)計(jì),在2014年10月最后一周的安全掃描量已經(jīng)達(dá)到每天2億臺(tái)。

谷歌從2012年就開(kāi)始提供Verify Apps的服務(wù)了,但是這項(xiàng)服務(wù)幾乎每周都掃描一次的手機(jī),你不擔(dān)心它會(huì)在后臺(tái)上傳數(shù)據(jù)么?對(duì)于隱私問(wèn)題,谷歌在白皮書(shū)中的回答是:Verify Apps只收集那些需要的數(shù)據(jù),通過(guò)這種方式提升手機(jī)的健康程度。Verify Apps不會(huì)拿你的個(gè)人信息,也不追蹤你的地理位置。

2014年安卓沒(méi)出大問(wèn)題,順利渡過(guò)。根據(jù)報(bào)告,安卓把安全風(fēng)險(xiǎn)分為四個(gè)等級(jí),分別是“嚴(yán)重(Critical)”、高(High)”、“中等(Moderate)”和“低(Low)”。2014年里,安卓安全問(wèn)題小組已經(jīng)為41個(gè)中等安全風(fēng)險(xiǎn)、30個(gè)高級(jí)安全風(fēng)險(xiǎn)還有8個(gè)低安全風(fēng)險(xiǎn)問(wèn)題做了補(bǔ)丁。而今年并沒(méi)有發(fā)現(xiàn)“嚴(yán)重”等級(jí)的安全風(fēng)險(xiǎn)。

對(duì)于谷歌和安卓來(lái)說(shuō),中國(guó)市場(chǎng)是一個(gè)特殊的存在。盡管谷歌和安卓在中國(guó)提供的服務(wù)有限,但這并不意味著這是一個(gè)小市場(chǎng)。Verify Apps雖然不能收集用戶(hù)的位置,但因?yàn)槠鋵儆谑謾C(jī)區(qū)域設(shè)置的一部分,所以本身還是帶上了一點(diǎn)地理元素。根據(jù)Verify Apps掃描量的統(tǒng)計(jì),中國(guó)區(qū)域是繼美國(guó)區(qū)域之后全球第二大掃描量較高的區(qū)域,這或可解讀為中國(guó)是全球第二大的安卓市場(chǎng)。見(jiàn)下圖。

如果說(shuō)上面的圖還是不夠具體的話,谷歌還有一份統(tǒng)計(jì)。就在2014年10月份的最后一周,全球共有1400萬(wàn)臺(tái)用戶(hù)語(yǔ)言為中文的手機(jī)使用安卓的Verify Apps服務(wù)。還是在那7天里,1400萬(wàn)臺(tái)中文設(shè)備一共下載了3900萬(wàn)個(gè)應(yīng)用。“所以,盡管谷歌不能為中國(guó)的設(shè)備提供全面的保護(hù),但是這1000多萬(wàn)的設(shè)備是確確實(shí)實(shí)的存在,這些設(shè)備所體現(xiàn)出來(lái)的地區(qū)差異也很有特點(diǎn)。”谷歌在報(bào)告中說(shuō)。

用安卓手機(jī)是不是很容易就被流氓APP黑呢?谷歌從2014年10月開(kāi)始對(duì)安卓設(shè)備的健康程度進(jìn)行監(jiān)測(cè),在當(dāng)月的最后一周里,谷歌監(jiān)測(cè)到最低健康值是99.5%,最高則是99.65%。也就是說(shuō),那段時(shí)間里也就有不到0.5%的設(shè)備感染了潛在的惡意軟件(Potentially Harmful Application,下稱(chēng)PHA)。見(jiàn)下圖。

既然安卓手機(jī)的健康程度還不錯(cuò),那怎樣能減少手機(jī)的“感染”呢?去Google Play就行。在谷歌2014年10月15日到30日的統(tǒng)計(jì),在那些只在Google Play下載軟件的設(shè)備中,只有不到0.1%的設(shè)備感染感染了PHA。而從Google Play以外的市場(chǎng)下載應(yīng)用,可就沒(méi)這么幸運(yùn)了,有0.7%的設(shè)備被感染。而且如果用戶(hù)對(duì)設(shè)備進(jìn)行Root,那么感染率更高。見(jiàn)下面兩張圖,其中第一張不包括Root設(shè)備,第二張包括。

中國(guó)的安卓設(shè)備相比其他國(guó)家,PHA的感染狀況如何呢?在谷歌圖表中,中國(guó)僅次于俄羅斯,是感染率第二高的國(guó)家。“中國(guó)的設(shè)備感染率曾高于世界平均值,平均每1000臺(tái)設(shè)備就有8臺(tái)感染PHA。”谷歌在報(bào)告中寫(xiě)道。

如果把Root過(guò)的設(shè)備加上,中國(guó)的設(shè)備感染率更高,谷歌在報(bào)道中是這樣解釋原因的:“中國(guó)的安卓設(shè)備都是從Google Play以外的市場(chǎng)下載軟件,所以就更容易下載到一些無(wú)害的Rooting應(yīng)用,目前大概有3%-4%的設(shè)備已經(jīng)安裝了這樣的應(yīng)用。事實(shí)上,中國(guó)的幾家大公司推出了很多應(yīng)用,這些應(yīng)用都是通過(guò)利用漏洞給設(shè)備提供了安卓API沒(méi)能給的功能。有些Rooting應(yīng)用明確跟用戶(hù)說(shuō)會(huì)利用漏洞,有些則不。”

可能下面這張圖更能說(shuō)明問(wèn)題,這是谷歌在2014年10月份后兩周的統(tǒng)計(jì),統(tǒng)計(jì)的內(nèi)容是該區(qū)域有百分之多少的設(shè)備是帶有一個(gè)PHA的。

“我們希望安卓是個(gè)安全的環(huán)境,這份報(bào)告已經(jīng)讓我們看到過(guò)去我們做得怎樣,我們未來(lái)還有那些可以改善的。”安卓安全小組的首席工程師Adrian Ludwig在谷歌博客上發(fā)文稱(chēng)?;蛘哒f(shuō),谷歌發(fā)布這份報(bào)告的原因,一方面是提醒安卓用戶(hù)谷歌確實(shí)還在為他們出力,還一個(gè)就是喚起用戶(hù)對(duì)原生安卓和谷歌的感情,而非只看到第三方ROM。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)