日前谷歌發布了第二份年度Android安全報告,報告涵蓋谷歌為提高其平臺安全性所做的改進,但同時,補丁修復和升級的問題依然存在。
根據該報告顯示,谷歌對內置到Google Play服務的各種安全產品進行了改進,Google Play是獨立于Android操作系統進行更新的軟件套件,它涵蓋了大部分谷歌Android設備。
“截至2015年年底,超過10億設備由谷歌安全服務提供保護,同時,谷歌每天會對4億多設備進行安全掃描,”谷歌稱,“這使得我們的安全服務成為世界上最廣泛部署和使用的端點保護服務。”
反惡意軟件公司Bitdefender的高級電子威脅分析師Liviu Arsene表示,這種說法是有道理的,特別是考慮到,并非所有這些用戶會為他們的Android設備安裝或使用任何其他安全解決方案。
在過去一年中,谷歌比較重要的一個更新是在Verify Apps上,這個基于云的服務會在應用安裝前檢查每個應用,以確定其是否是潛在有害程序(PHA)。如果應用被認為是潛在的威脅,Verify Apps會在安裝時通知用戶;谷歌聲稱他們對這個警告對話框做出了更改,有效減少了50%PHA的安裝。
“Verify Apps也可以刪除應用,而無需用戶確認刪除,”谷歌在Android安全報告中寫道,“在2015年,我們改進了Verify Apps,讓它可以刪除注冊為Device Administrators(設備管理員)的應用。我們還向Verify Apps增加了一個功能,讓它可禁用在設備安全模型受攻擊后被安裝到系統分區的應用。”
Black Duck Software公司安全戰略副總裁Mike Pittenger表示,Verify Apps可刪除注冊為設備管理員的應用,這是非常重要的改進,因為用戶通常不會注意到這樣的威脅。
“用戶從朋友、網絡或通過廣告聽說一款應用后,直接下載應用,而不檢查其權限,要知道,應用根本不需要管理或根級權限來訪問用戶的設備,”Pittenger表示,“這種權限可讓應用訪問設備上幾乎所有數據,并允許惡意攻擊者在用戶完全不知情的情況下控制設備,安裝PHA或其他惡意軟件。”
谷歌指出,Verify Apps能夠找到PHA是因為其系統會對超過3500萬Android應用套件(APK)持續進行自動分析,這包括Google Play中發布的所有應用的所有版本,以及Google Play中從未發布的數百萬APK,每個APK都會被多次分析。
Arsene表示,這些掃描很重要,因為盡管我們建議用戶不要從官網Google Play Store之外的地方安裝應用,但在Android中在其他地方下載應用相對容易;用戶通常會選擇這樣做,因為這讓他們可免費安裝原本要付費的游戲或工具。
“而且有些國家還會阻止谷歌及其所有服務,這不可避免地催生了替代性應用商店,”Arsene稱,“考慮到Android在智能手機操作系統市場中的份額,這意味著數百萬用戶會安裝Google Play之外的應用。”
谷歌表示,在他們掃描的3500萬APK中,大約75%的APK沒有在活躍值,也就是零安裝率,另外10%目前只有不到5次安裝。
Arsene稱:“谷歌會掃描所有應用,甚至包括沒有安裝的應用,這表明他們對所有應用都同樣地嚴格。但是,非常多應用沒有被安裝也表明,很多應用要么對用戶沒有吸引力,要么根本不能提供所期待的功能。”
盡管在亞洲和俄羅斯地區第三方應用商店很普及,Android安全報告指出,平均而言,在2015年,不到0.5%的設備安裝有PHA,而僅從Google Play安裝應用的設備平均不到0.15%。
另外,谷歌還改進了SafetyNet,SafetyNet可抵御已成功安裝的應用中的網絡和應用威脅,還允許設備提供安全相關信息到谷歌基于云的服務中去。
“自2014年10月起,SafetyNet采用主動網絡探測來發現系統證書存儲被操縱的情況,”Android安全報告稱,“在2015年,SafetyNet發現,在每百萬設備中只有不到兩臺設備安裝了本地證書以允許中間人網絡連接到谷歌服務。”
然而,盡管做出了這么多改進,谷歌承認,對于Android這么多樣化的平臺,推送補丁和軟件更新仍然是一個挑戰。谷歌稱:“Android安全團隊會定期向制造商提供Android 4.4.4及更高版本的安全補丁,讓他們可更新其設備;70.8%的Android設備都在使用我們提供了補丁的版本。”
谷歌此前估計,世界上大約有14億活躍的Android設備,即使所有受支持的設備可獲得谷歌提供的補丁(專家稱可能性不大),至少有4億設備沒有最新的補丁。
Arsene稱,雖然企業有移動設備管理解決方案可在一定程度上減少未打補丁設備的風險,但企業還應使用安全技術來增強本地Android安全功能。
“攻擊者極有可能會使用漏洞利用,因為世界上有超過4億Android設備在運行沒有安全支持的Android操作系統,”Arsene稱,“我們這里談論的是嚴重漏洞,其中有些很容易被利用。”
Pittenger稱,現在越來越多的員工攜帶自己的設備到工作場所,這使得企業更難以發現網絡中所有有風險的設備。
“雖然Android安全性正在不斷提高,但我們知道,移動設備對攻擊者來說是極具吸引力的目標。盡管谷歌正在部署靜態和動態分析來發現安全問題,但這些工具并不完美,安全研究人員仍在不斷發現安全漏洞。”
京公網安備 11010502049343號