數年前,由于Adobe Flash在安全及性能方面存在的問題,史蒂夫·喬布斯將該技術稱作一輛即將出軌的列車,該言論曾經招致在該平臺上投資甚多的廠商的強烈不滿。如今,谷歌的安卓平臺也正在收獲類似的負面評價,只是這一次,差評來自安卓自己的粉絲。
安卓正成為谷歌旗下的Flash?
如今,對于絕大多數人而言,關于Flash存在的諸多問題恐怕不存在任何爭議。《連線》雜志近日就曾將Flash評價為“不安全,對系統資源貪得無厭,每個人都對此憎惡”,上述評論出現在就“Mozilla在瀏覽器中禁止Flash技術”以及“Facebook的首席安全官Alex Stamos呼吁Adobe趕緊讓Flash走進歷史”這兩起事件進行的評論中。
就連谷歌的態度也發生了轉變,該公司在2010年曾經是Flash技術的堅定支持者,其將這一封閉的Web中間件平臺預裝于安卓平板電腦中,作為對蘋果iPad進行差異化競爭的特點之一。如今,谷歌也在盡最大努力劃清自己與Flash的界限。
在經歷了將Adobe Flash整合進安卓平臺以及瀏覽器的種種痛苦之后,谷歌的態度悄然發生轉變。谷歌不但沒有證明蘋果當年的判斷是錯誤的,反而用自身行動證明了將Flash整合進移動設備是一種徒勞無功的舉動。
數以億計的安卓設備都擁有播放Flash內容的能力,曾經的優勢而今正讓用戶付出沉重代價。該技術導致了各種漏洞,其中不乏去年由Bluebox Security發現的嚴重漏洞“Fake ID”。不少漏洞已經被為數眾多的惡意軟件所利用。
即便招致如潮的惡評,Flash還是無處不在。即便瀏覽器在用戶沖浪時不斷發出警告,為數眾多的網站仍堅持嘗試載入Flash播放器插件,有時根本沒有任何必要的理由,比如當前網站既不需要播放視頻,也沒有游戲或導航動畫。Flash多到無孔不入,無法回避的地步。
因此,越來越多的安全專家以及平臺廠商呼吁Adobe趕緊讓Flash退役。
安卓與Flash的相似之處
正是當年那批將Flash整合進安卓的谷歌工程師及產品經理促成了如今的局面。而且,具有諷刺意味的是,安卓機器人標識的顏色在傳統文化中也被人們視作生病的意思。
當年不周的考慮讓平臺變成了全球最大的惡意軟件集散地,此前背負如此罵名的當屬微軟的Windows平臺,而安卓最近在此方面終于成功趕超。
當然,也不能將責任完全推倒Flash身上。近日,一個名為“Stagefright”的漏洞被安全專家發現,這是安卓系統內部的問題,完全與Flash無關。通過該漏洞,黑客只需一行簡單的文本消息即可取得系統的全部權限。
任何平臺都不可避免的存在各種類型的漏洞,紅帽Linux是這樣,蘋果自己的iOS以及OS X也不可免俗。主要的差別在于,像蘋果這樣認真對待此類問題的廠商會不斷推出補丁,盡量修補每一個用戶手中的每一臺設備。多年來,蘋果都在對3至4年前售出的iPad、iPhone以及Mac進行更新,有時甚至對更舊的設備進行安全更新。此舉幫助蘋果用戶在許多情況下避免受到威脅,讓那些針對公開漏洞撰寫惡意軟件的代碼無法得逞。
其他移動平臺則無法做到這一點。無論是塞班、webOS、黑莓、Windows Mobile還是本文討論的安卓,它們在發布安全補丁方面紛紛有著糟糕的記錄。而眾多安卓設備的制造商也紛紛逃避責任,或者在向用戶推送補丁方面動作遲緩。
甚至在谷歌針對已知漏洞推出了相應補丁程序的情況下,這些設備廠商也對此興趣寥寥,不愿及時主動向用戶推送,主要原因可能在于,這些廠商通常都對原生安卓系統進行了修改,谷歌的補丁在推送前需要針對自己的定制版本進行調試。
近日就有文章對此描述道,安卓用戶能否收到安全更新(姑且不論是否及時),完全要看設備制造商的臉色。文章對此形容道,這就好比微軟將更新和補丁文件交給戴爾或者你的互聯網服務提供商,后者再向你發送這些文件。問題是,他們真的關心你的問題嗎?這就是安卓目前面臨的局面。
因此,安卓在安全方面的問題遠較Flash更為嚴重。
情況確實如此。想想看,Adobe起碼在不斷對Flash這種人們眼中的垃圾軟件進行更新。雖然讓瀏覽器中的Flash播放器保持最新狀態是一件痛苦的事情,但只要愿意忍受周而復始的安裝過程,起碼還是有可能的。
而對于安卓來說,用戶甚至都無法保證基本的安全性能。當然了,除非你是一名工程師,同時要有極好的悟性,然后周期性將自己的代碼編譯成全新的內核。甚至這種做法也同樣存在問題,因為在許多情況下,谷歌對你遇到的問題的重視程度不會超過他們對運營商以及硬件廠商的重視程度。
舉例來說,谷歌的安卓WebView自今年1月起就被曝出嚴重的安全漏洞,在數以億計的安卓用戶中,至今仍有60%的用戶會受到威脅。谷歌就沒有想要修補該漏洞的意思。起碼Adobe不會無視這種漏洞的存在,世界上任何一個負責任的廠商都不會這樣,但是在安卓的世界里,這種事情已經見怪不怪了。
安卓的安全問題與谷歌的設計思路不無關系。
安卓系統不僅由一堆缺乏責任心、完全不靠譜的硬件廠商負責維護,谷歌自己有時也處于不作為的狀態。在安卓的核心政策中就能找到證據,其只是為了在意識形態上與蘋果針鋒相對,就愚蠢的做出了將Flash整合進安卓設備這種選擇。
在安卓的意識形態中,作為開源自由派的先鋒代表,搭載這種系統的設備無需采取任何阻止可執行文件安裝的措施,無論是來自網絡鏈接的還是NFC的,甚至是谷歌自己的技術也可能將用戶暴露在危險中,例如其近期推出的嘗試對蘋果iBeacon叫板的全新協議Eddystone。該技術可以讓隨機的設備向安卓移動設備發送網址,進而可能導致安全問題。
從一開始,谷歌就在宣揚一種想法,那就是讓安卓可以載入來自任何地方的軟件,這也從側面反映了“自由”的風格深深的植根在了安卓系統中。而嚴酷的事實證明了一個開放的應用商店從安全角度來說與將Flash深度整合進瀏覽器的想法一樣瘋狂。幾乎所有惡意軟件都是針對安卓平臺編寫的這一事實也凸顯了谷歌政策的諸多漏洞,安卓設備可以安裝來自任何地方的軟件,而在某些情況下,用戶甚至對此毫不知情。
去年,安卓老大桑德·皮蔡曾經說過,如果他擁有一家致力于惡意軟件業務的公司,也會選擇安卓作為目標。他的意思是說,由于安卓和Windows一樣,用戶數量眾多,自然會成為惡意軟件編寫者的目標。
如果安卓和Windows是全球唯一兩個用戶基數在10億級別的平臺,或許這一觀點還值得相信。但是,多年來,蘋果已經默默的將Mac的市場從很小的規模發展到了如今的地步,雖然沒有趕超PC,但其市場占有率已經大為提高。按照安卓老大的說法,Mac上多半也存在惡意軟件泛濫的現象了。
此外,蘋果的iOS很快就將超越Windows的裝機量。而且,為數眾多的蘋果設備仍運行iOS8。蘋果擁有數以億計的iOS用戶以及數千萬Mac用戶,但這些平臺從未面臨安卓以及Windows上如潮水般涌現的惡意軟件。
無可辯駁的事實指出了惡意軟件與產品的流行程度不存在必然聯系。如同其他捕食者一樣,惡意軟件作者同樣需要考慮容易受到影響的用戶數,而非簡單的從裝機量來考慮。蘋果的安全政策無法停止各類博取眼球的媒體成日進行聳人聽聞的報道,使讀者有一種iOS與安卓一樣很糟糕的印象。然而,對于惡意軟件作者來說卻心知肚明,那就是:針對iOS撰寫惡意軟件幾乎無利可圖。
另一方面,針對安卓和Windows用戶存在大量的欺詐與窺探行為,且某些人從中獲得大筆利潤,實施此類行為的軟件在互聯網上公開售賣。然而,并沒有針對iOS的此類軟件存在,甚至連執法部門手中也沒有,用戶只有將手中的設備“越獄”才可能成為潛在的受害者。
這意味著,iOS對于黑客來說顯然具備價值,但由于蘋果完善的安全策略,使得選擇該平臺作為目標的代價非常高昂,而且過往被暴露的漏洞也在短時間內得以修復。而谷歌經常讓大量用戶暴露在已知問題面前,使得選擇這些用戶作為目標非常容易得手,而且利潤豐厚。
這種局面也在逐漸影響用戶的選擇。蘋果用戶在設備上做出了更多的購買行為,在應用商店中訂購了更多的應用,在設備上瀏覽了更多的信息,同時也在廣告主眼中具備更多的價值。反觀安卓,由于惡意軟件的泛濫,即便是最忠實的粉絲也逐漸心灰意冷,開始轉投其他平臺。
這種轉變將使得谷歌面對的用戶所具備的價值更低。實際上,用戶的倒戈并非停留在理論上,蘋果最新的iPhone6從安卓平臺吸引過來的新用戶數量創下紀錄,而安卓設備最大的制造商三星在過去數個季度就遭遇了收入的大幅度下滑。此外,很少有安卓設備廠商可以實現持續贏利。
從目前的種種跡象來看,局勢絲毫沒有改變的跡象,各種趨勢仍得以延續。
京公網安備 11010502049343號