Android設(shè)備不安全？專家稱就看你更不更新

[摘要]雖然谷歌為提升Android安全性做了許多工作，但其安全性能仍然不能令人滿意，一個(gè)重要原因是Android設(shè)備不能及時(shí)安裝更新包。

騰訊數(shù)碼訊（文心）據(jù)Digital Trends 網(wǎng)站報(bào)道，Android是世界上用戶最多的移動(dòng)平臺(tái)，每天有逾14億人使用Android智能手機(jī)或平板電腦。Android是開放源代碼軟件，供設(shè)備廠商免費(fèi)使用，是它吸引如此多用戶使用的一個(gè)重要原因。但開放性是一把雙刃劍：它帶來的一個(gè)后果是，許多Android手機(jī)沒有定期更新最新的安全補(bǔ)丁。

過去數(shù)年，惡意件幽靈一直籠罩著Android，研究人員在其中發(fā)現(xiàn)一些名頭非常大的安全缺陷，例如Stagefright。頻頻出現(xiàn)的負(fù)面新聞，使得人們很難全面、客觀地對(duì)待Android安全性。上周有媒體披露了FalseGuide惡意件，稱它可能影響多達(dá)180萬名Android用戶。

如果只看媒體報(bào)道，人們擔(dān)憂Android安全性情有可原。但是，有關(guān)Android安全性的媒體報(bào)道哪些是夸大其詞，哪些是客觀真實(shí)的？Android平臺(tái)真的不安全嗎？

谷歌Android團(tuán)隊(duì)主管艾德里安·路德維格(Adrian Ludwig)，在最近一次采訪中向Digital Trends表示，“不是這樣，Android并非不安全。我認(rèn)為我們存在認(rèn)知方面的問題，我們的認(rèn)識(shí)不同于實(shí)際的用戶危險(xiǎn)。我們一直在開發(fā)的加密技術(shù)、沙盒技術(shù)，以及提高黑客利用安全缺陷興風(fēng)作浪難度的其他技術(shù)，完美地共同發(fā)揮作用。”

毋庸置疑的是，最新版本的Android，比之前的版本更安全，但問題是許多Android用戶從未感受到這一點(diǎn)。早在2016年，谷歌Android安全團(tuán)隊(duì)在一篇博文中證實(shí)，截至2016年年底，約半數(shù)在用Android設(shè)備，在至少12個(gè)月內(nèi)沒有安裝過更新包。

反病毒軟件評(píng)估機(jī)構(gòu)AV-Test首席執(zhí)行官馬伊克·莫根斯特恩(Maik Morgenstern)向Digital Trends表示，“谷歌最新版本Android可以被認(rèn)為是安全的。但是，尤其在許多舊版Android中，越來越多缺陷被發(fā)現(xiàn)，許多設(shè)備廠商不為它們的設(shè)備發(fā)布更新包。目前，舊版Android中被發(fā)現(xiàn)逾800個(gè)安全缺陷。”

截至4月份的官方Android版本資料顯示，只有4.9%的Android設(shè)備運(yùn)行最新版本Android操作系統(tǒng)——Nougat 7.0或7.1，這是一個(gè)令人失望的數(shù)據(jù)。Android 6.0 Marshmallow在Android設(shè)備中的占比為31.2%，Android 5.0或5.1占比為31%，五分之一的Android設(shè)備仍然運(yùn)行Android 4.4 KitKat。在運(yùn)行舊版操作系統(tǒng)的Android設(shè)備中，大多數(shù)永遠(yuǎn)不大可能得到更新。

以色列移動(dòng)安全公司Zimperium平臺(tái)研究和利用部門副總裁約書亞·德拉克(Joshua J. Drake)向Digital Trends表示，“84%的手機(jī)沒有得到更新，這意味著大多數(shù)移動(dòng)設(shè)備仍然面臨受到攻擊的風(fēng)險(xiǎn)?！?/p>

德拉克2015年發(fā)現(xiàn)了Stagefright缺陷。據(jù)當(dāng)時(shí)的媒體報(bào)道稱，Stagefright缺陷使黑客可能通過潛伏在音頻或視頻文件中的惡意代碼控制Android設(shè)備，高達(dá)95%的設(shè)備受到它的影響。德拉克向Digital Trends表示，目前只有不到1%的Android設(shè)備受Stagefright缺陷影響。

雖然潛在的危害令人恐懼，只是目前尚不清楚Stagefright缺陷給Android用戶造成的實(shí)際危害。路德維格說，“我們發(fā)現(xiàn)它快2年了，但尚不知道有用戶真正因它受到了攻擊?！?/p>

但德拉克不同意這種說法， “我們知道已經(jīng)存在利用libstagefright和mediaserver中缺陷的針對(duì)性攻擊。我們知道，要證明普遍的危害很困難，我們尊重谷歌為提高其平臺(tái)安全性所做的努力。但是，由于設(shè)備上沒有相應(yīng)傳感器，沒有人可以了解設(shè)備的風(fēng)險(xiǎn)或威脅狀態(tài)——尤其是移動(dòng)設(shè)備?！?/p>

Digital Trends表示，問題在于，用戶要判斷自己的設(shè)備是否受到攻擊并非易事。在Stagefright 缺陷被發(fā)現(xiàn)后。Zimperium成立了“Zimperium手機(jī)聯(lián)盟”，增進(jìn)研究人員、移動(dòng)運(yùn)營商、移動(dòng)應(yīng)用開發(fā)者和設(shè)備廠商之間的交流。

德拉克說，“研究人員需要研究每個(gè)月的安全更新包，嘗試?yán)眠@些缺陷，以促進(jìn)更好地修正缺陷，提高整個(gè)移動(dòng)領(lǐng)域的安全性?！?/p>

谷歌已經(jīng)采取一些重要措施來降低安全風(fēng)險(xiǎn)，按月發(fā)布更新包。但舊版本Android被遺忘了。

要解決Android碎片化問題并非易事。對(duì)于谷歌來說，說服移動(dòng)運(yùn)營商和制造商更新它們的Android設(shè)備一直很困難。而這正好給了對(duì)手機(jī)會(huì)，在2014年的全球開發(fā)者大會(huì)上，蘋果首席執(zhí)行官蒂姆·庫克(Tim Cook)提到ZDNet上的一篇文章——《Android碎片化使設(shè)備成為漏洞地獄》。但iOS的安全性真的更好嗎？如果更安全，原因何在？

德拉克表示，“一直以來人們都有這種印象：iOS安全性優(yōu)于Android，但事實(shí)可能未必如此?！?/p>

因?yàn)锳ndroid是開放源代碼軟件，安全研究人員更容易發(fā)現(xiàn)其中的缺陷和建議廠商開發(fā)補(bǔ)丁軟件。德拉克說，iOS的封閉特性，使得研究人員很難發(fā)現(xiàn)它內(nèi)部的“奧秘”。莫根施特恩同意這種說法，但提到兩者之間的一個(gè)重要差別——使得惡意件對(duì)Android威脅更大。

莫根施特恩解釋說，“Android用戶可以輕而易舉地安裝任何來源的應(yīng)用，這使得惡意應(yīng)用可以很容易感染硬件。其他平臺(tái)在這方面要嚴(yán)格得多，只允許用戶安裝來自其封閉的應(yīng)用商店的應(yīng)用?！?/p>

Android是一大攻擊目標(biāo)。擁有如此眾多的用戶和開放源代碼特性，使得Android成為對(duì)網(wǎng)絡(luò)犯罪分子有吸引力的目標(biāo)。AV-Test每天收集至多3萬個(gè)新Android惡意件樣本，這是一個(gè)可怕的數(shù)據(jù)，但是，關(guān)心安全的Android用戶可以采取一些措施——例如堅(jiān)持通過Google Play安裝應(yīng)用、及時(shí)安裝更新包和安裝第三方Android安全應(yīng)用，大幅降低受到攻擊的風(fēng)險(xiǎn)。

德拉克和莫根施特恩還警告用戶不要連接未知網(wǎng)絡(luò)和WiFi熱點(diǎn)，至少是在沒有使用合適的Android VPN(虛擬專用網(wǎng))應(yīng)用的情況下。

德拉克解釋說，“我們的數(shù)據(jù)顯示，大多數(shù)攻擊具有網(wǎng)絡(luò)化性質(zhì)，它們不會(huì)區(qū)分iOS、Android和其他平臺(tái)。一旦黑客悄悄地?cái)r截并重定向設(shè)備網(wǎng)絡(luò)流量，設(shè)備就可能受到侵入性監(jiān)視?！?/p>

Digital Trends 稱，Android安全性在不斷提升，原因包括更快的更新包發(fā)布、設(shè)備加密、授權(quán)請(qǐng)求、使應(yīng)用相互隔離的應(yīng)用沙盒、有限制的資源訪問、Play Store自動(dòng)對(duì)惡意件進(jìn)行掃描。但很顯然，Android安全性還有提升空間。

在被問到第三方研究的重要性時(shí)，路德維格說，“去年我們向研究人員支付了約100萬美元(約合人民幣690萬元)?！彪m然谷歌有自己的研究項(xiàng)目，德拉格感覺需要更多類似研究項(xiàng)目。

他說，“要提高Android整體安全性，谷歌與安全廠商進(jìn)行更密切合作是必要的。蘋果和其他廠商擴(kuò)大了它們的合作項(xiàng)目，但谷歌縮小了合作項(xiàng)目。谷歌的邏輯是，它們可以自行完成所有工作，但令人遺憾的是，這會(huì)給用戶帶來損害，而對(duì)黑客有利。”

最終，Android安全問題可能與用戶使用的設(shè)備有關(guān)。如果用戶使用2、3年前購買的手機(jī)、運(yùn)行舊版Android，而且數(shù)月來沒有得到更新，用戶就需要關(guān)注設(shè)備安全性了。相比之下，谷歌Pixel手機(jī)用戶能及時(shí)收到最新安全更新包，至少是購買手機(jī)后的未來2年內(nèi)。

很難說大多數(shù)Android設(shè)備何時(shí)能用上Nougat或之后的Android版本，部分設(shè)備廠商和運(yùn)營商發(fā)布更新包慢半拍將繼續(xù)是個(gè)問題。

莫根施特恩說，“除非所有設(shè)備都及時(shí)安裝更新包，用戶仍然會(huì)面臨危險(xiǎn)?！?/p>

來源：Digital Trends

精彩視頻推薦