不論是斯諾登的棱鏡門事件,還是iPhone去年爆發的名人艷照門事件,網絡安全問題不再是國家層面關注的事情,因為它已經滲入到我們的日常生活中。而我們隨身攜帶的手機則成了一顆“定時炸彈”,因為我們已經把像銀行卡密碼這樣的信息都裝了進去。手機萬一出了問題,那還真可能是大問題。
不僅你會關心自己手機的安全問題,手機系統的開發商也關注,盡管他們不會天天宣布自己做什么。不過,對于一個在手機系統市場上占到絕對優勢的系統——安卓系統來說,它必須要對全球近80%的智能機用戶負責。安卓肩上的擔子很重,但它也需要鼓勵,所以谷歌就在4月2日時發布了《2014年安卓系統安全報告》。
在這份44頁的英文報告中,谷歌不僅說了當下安卓在安全問題上所做的努力,還列舉了一些有意思的數據,以下是報告中的部分內容,可能你會感興趣。
2014年,安卓系統在安全方面做了很多重大的改進,盡管你可能一時聽不懂,但是大概能想出來。這其中就包括可以使用全盤加密,擴大硬件密碼保護的使用范圍,還有就是通過基于SELinux強制訪問系統下對安卓沙盒進行改進。對于開發者,安卓還提供了用于檢測和應對安全缺陷的工具,其中包括安全工具Nogotofail和SecurityProvider。同時,安卓還為手機廠商解決安全問題提供持續支持,這其中包括安卓開發的79個安全補丁和在安卓5.0系統中可持續更新的WebView。
在安卓應用的安全性方面,谷歌也通過兩套辦法保證APP無毒無害。對于在Google Play里下載的應用,谷歌會經常在上面進行安全檢測,也會為下載到終端上的APP提供實時持續的安全保護。目前,全球共有10億臺設備得到了Google Play的保護。如果用戶是從Google Play之外的地方下載軟件,Google Play則提供Verify Apps這一服務,用于保護用戶手機。一般安卓手機默認都是差不多每周一次整機掃描。根據谷歌統計,在2014年10月最后一周的安全掃描量已經達到每天2億臺。
谷歌從2012年就開始提供Verify Apps的服務了,但是這項服務幾乎每周都掃描一次的手機,你不擔心它會在后臺上傳數據么?對于隱私問題,谷歌在白皮書中的回答是:Verify Apps只收集那些需要的數據,通過這種方式提升手機的健康程度。Verify Apps不會拿你的個人信息,也不追蹤你的地理位置。
2014年安卓沒出大問題,順利渡過。根據報告,安卓把安全風險分為四個等級,分別是“嚴重(Critical)”、高(High)”、“中等(Moderate)”和“低(Low)”。2014年里,安卓安全問題小組已經為41個中等安全風險、30個高級安全風險還有8個低安全風險問題做了補丁。而今年并沒有發現“嚴重”等級的安全風險。
對于谷歌和安卓來說,中國市場是一個特殊的存在。盡管谷歌和安卓在中國提供的服務有限,但這并不意味著這是一個小市場。Verify Apps雖然不能收集用戶的位置,但因為其屬于手機區域設置的一部分,所以本身還是帶上了一點地理元素。根據Verify Apps掃描量的統計,中國區域是繼美國區域之后全球第二大掃描量較高的區域,這或可解讀為中國是全球第二大的安卓市場。見下圖。
如果說上面的圖還是不夠具體的話,谷歌還有一份統計。就在2014年10月份的最后一周,全球共有1400萬臺用戶語言為中文的手機使用安卓的Verify Apps服務。還是在那7天里,1400萬臺中文設備一共下載了3900萬個應用。“所以,盡管谷歌不能為中國的設備提供全面的保護,但是這1000多萬的設備是確確實實的存在,這些設備所體現出來的地區差異也很有特點。”谷歌在報告中說。
用安卓手機是不是很容易就被流氓APP黑呢?谷歌從2014年10月開始對安卓設備的健康程度進行監測,在當月的最后一周里,谷歌監測到最低健康值是99.5%,最高則是99.65%。也就是說,那段時間里也就有不到0.5%的設備感染了潛在的惡意軟件(Potentially Harmful Application,下稱PHA)。見下圖。
既然安卓手機的健康程度還不錯,那怎樣能減少手機的“感染”呢?去Google Play就行。在谷歌2014年10月15日到30日的統計,在那些只在Google Play下載軟件的設備中,只有不到0.1%的設備感染感染了PHA。而從Google Play以外的市場下載應用,可就沒這么幸運了,有0.7%的設備被感染。而且如果用戶對設備進行Root,那么感染率更高。見下面兩張圖,其中第一張不包括Root設備,第二張包括。
中國的安卓設備相比其他國家,PHA的感染狀況如何呢?在谷歌圖表中,中國僅次于俄羅斯,是感染率第二高的國家。“中國的設備感染率曾高于世界平均值,平均每1000臺設備就有8臺感染PHA。”谷歌在報告中寫道。
如果把Root過的設備加上,中國的設備感染率更高,谷歌在報道中是這樣解釋原因的:“中國的安卓設備都是從Google Play以外的市場下載軟件,所以就更容易下載到一些無害的Rooting應用,目前大概有3%-4%的設備已經安裝了這樣的應用。事實上,中國的幾家大公司推出了很多應用,這些應用都是通過利用漏洞給設備提供了安卓API沒能給的功能。有些Rooting應用明確跟用戶說會利用漏洞,有些則不。”
可能下面這張圖更能說明問題,這是谷歌在2014年10月份后兩周的統計,統計的內容是該區域有百分之多少的設備是帶有一個PHA的。
“我們希望安卓是個安全的環境,這份報告已經讓我們看到過去我們做得怎樣,我們未來還有那些可以改善的。”安卓安全小組的首席工程師Adrian Ludwig在谷歌博客上發文稱。或者說,谷歌發布這份報告的原因,一方面是提醒安卓用戶谷歌確實還在為他們出力,還一個就是喚起用戶對原生安卓和谷歌的感情,而非只看到第三方ROM。
京公網安備 11010502049343號