您现在的位置:海峡网>新闻中心>IT科技>科技数码
分享

[摘要]虽然谷歌为提升Android安全性做了许多工作,但其安全性能仍然不能令人满意,一个重要原因是Android设备不能及时安装更新包。

Android设备不安全?专家称就看你更不更新

腾讯数码讯(文心)据Digital Trends 网站报道,Android是世界上用户最多的移动平台,每天有逾14亿人使用Android智能手机或平板电脑。Android是开放源代码软件,供设备厂商免费使用,是它吸引如此多用户使用的一个重要原因。但开放性是一把双刃剑:它带来的一个后果是,许多Android手机没有定期更新最新的安全补丁。

过去数年,恶意件幽灵一直笼罩着Android,研究人员在其中发现一些名头非常大的安全缺陷,例如Stagefright。频频出现的负面新闻,使得人们很难全面、客观地对待Android安全性。上周有媒体披露了FalseGuide恶意件,称它可能影响多达180万名Android用户。

如果只看媒体报道,人们担忧Android安全性情有可原。但是,有关Android安全性的媒体报道哪些是夸大其词,哪些是客观真实的?Android平台真的不安全吗?

谷歌Android团队主管艾德里安·路德维格(Adrian Ludwig),在最近一次采访中向Digital Trends表示,“不是这样,Android并非不安全。我认为我们存在认知方面的问题,我们的认识不同于实际的用户危险。我们一直在开发的加密技术、沙盒技术,以及提高黑客利用安全缺陷兴风作浪难度的其他技术,完美地共同发挥作用。”

毋庸置疑的是,最新版本的Android,比之前的版本更安全,但问题是许多Android用户从未感受到这一点。早在2016年,谷歌Android安全团队在一篇博文中证实,截至2016年年底,约半数在用Android设备,在至少12个月内没有安装过更新包。

反病毒软件评估机构AV-Test首席执行官马伊克·莫根斯特恩(Maik Morgenstern)向Digital Trends表示,“谷歌最新版本Android可以被认为是安全的。但是,尤其在许多旧版Android中,越来越多缺陷被发现,许多设备厂商不为它们的设备发布更新包。目前,旧版Android中被发现逾800个安全缺陷。”

截至4月份的官方Android版本资料显示,只有4.9%的Android设备运行最新版本Android操作系统——Nougat 7.0或7.1,这是一个令人失望的数据。Android 6.0 Marshmallow在Android设备中的占比为31.2%,Android 5.0或5.1占比为31%,五分之一的Android设备仍然运行Android 4.4 KitKat。在运行旧版操作系统的Android设备中,大多数永远不大可能得到更新。

以色列移动安全公司Zimperium平台研究和利用部门副总裁约书亚·德拉克(Joshua J. Drake)向Digital Trends表示,“84%的手机没有得到更新,这意味着大多数移动设备仍然面临受到攻击的风险。”

德拉克2015年发现了Stagefright缺陷。据当时的媒体报道称,Stagefright缺陷使黑客可能通过潜伏在音频或视频文件中的恶意代码控制Android设备,高达95%的设备受到它的影响。德拉克向Digital Trends表示,目前只有不到1%的Android设备受Stagefright缺陷影响。

虽然潜在的危害令人恐惧,只是目前尚不清楚Stagefright缺陷给Android用户造成的实际危害。路德维格说,“我们发现它快2年了,但尚不知道有用户真正因它受到了攻击。”

但德拉克不同意这种说法, “我们知道已经存在利用libstagefright和mediaserver中缺陷的针对性攻击。我们知道,要证明普遍的危害很困难,我们尊重谷歌为提高其平台安全性所做的努力。但是,由于设备上没有相应传感器,没有人可以了解设备的风险或威胁状态——尤其是移动设备。”

Digital Trends表示,问题在于,用户要判断自己的设备是否受到攻击并非易事。在Stagefright 缺陷被发现后。Zimperium成立了“Zimperium手机联盟”,增进研究人员、移动运营商、移动应用开发者和设备厂商之间的交流。

德拉克说,“研究人员需要研究每个月的安全更新包,尝试利用这些缺陷,以促进更好地修正缺陷,提高整个移动领域的安全性。”

谷歌已经采取一些重要措施来降低安全风险,按月发布更新包。但旧版本Android被遗忘了。

要解决Android碎片化问题并非易事。对于谷歌来说,说服移动运营商和制造商更新它们的Android设备一直很困难。而这正好给了对手机会,在2014年的全球开发者大会上,苹果首席执行官蒂姆·库克(Tim Cook)提到ZDNet上的一篇文章——《Android碎片化使设备成为漏洞地狱》。但iOS的安全性真的更好吗?如果更安全,原因何在?

德拉克表示,“一直以来人们都有这种印象:iOS安全性优于Android,但事实可能未必如此。”

因为Android是开放源代码软件,安全研究人员更容易发现其中的缺陷和建议厂商开发补丁软件。德拉克说,iOS的封闭特性,使得研究人员很难发现它内部的“奥秘”。莫根施特恩同意这种说法,但提到两者之间的一个重要差别——使得恶意件对Android威胁更大。

莫根施特恩解释说,“Android用户可以轻而易举地安装任何来源的应用,这使得恶意应用可以很容易感染硬件。其他平台在这方面要严格得多,只允许用户安装来自其封闭的应用商店的应用。”

Android是一大攻击目标。拥有如此众多的用户和开放源代码特性,使得Android成为对网络犯罪分子有吸引力的目标。AV-Test每天收集至多3万个新Android恶意件样本,这是一个可怕的数据,但是,关心安全的Android用户可以采取一些措施——例如坚持通过Google Play安装应用、及时安装更新包和安装第三方Android安全应用,大幅降低受到攻击的风险。

德拉克和莫根施特恩还警告用户不要连接未知网络和WiFi热点,至少是在没有使用合适的Android VPN(虚拟专用网)应用的情况下。

德拉克解释说,“我们的数据显示,大多数攻击具有网络化性质,它们不会区分iOS、Android和其他平台。一旦黑客悄悄地拦截并重定向设备网络流量,设备就可能受到侵入性监视。”

Android设备不安全?专家称就看你更不更新

Digital Trends 称,Android安全性在不断提升,原因包括更快的更新包发布、设备加密、授权请求、使应用相互隔离的应用沙盒、有限制的资源访问、Play Store自动对恶意件进行扫描。但很显然,Android安全性还有提升空间。

在被问到第三方研究的重要性时,路德维格说,“去年我们向研究人员支付了约100万美元(约合人民币690万元)。”虽然谷歌有自己的研究项目,德拉格感觉需要更多类似研究项目。

他说,“要提高Android整体安全性,谷歌与安全厂商进行更密切合作是必要的。苹果和其他厂商扩大了它们的合作项目,但谷歌缩小了合作项目。谷歌的逻辑是,它们可以自行完成所有工作,但令人遗憾的是,这会给用户带来损害,而对黑客有利。”

最终,Android安全问题可能与用户使用的设备有关。如果用户使用2、3年前购买的手机、运行旧版Android,而且数月来没有得到更新,用户就需要关注设备安全性了。相比之下,谷歌Pixel手机用户能及时收到最新安全更新包,至少是购买手机后的未来2年内。

很难说大多数Android设备何时能用上Nougat或之后的Android版本,部分设备厂商和运营商发布更新包慢半拍将继续是个问题。

莫根施特恩说,“除非所有设备都及时安装更新包,用户仍然会面临危险。”

来源:Digital Trends

精彩视频推荐

责任编辑:海凡

最新科技数码 频道推荐
进入新闻频道新闻推荐
省中华职业教育社成立40周年庆祝座谈会
进入图片频道最新图文
进入视频频道最新视频
一周热点新闻
下载海湃客户端
关注海峡网微信