據(jù)Digital Trends網(wǎng)站報道，有關(guān)Android平臺不安全的觀念很是流行和根深蒂固，只是這很可能是錯誤的。

Android生態(tài)鏈的復(fù)雜性，使得這一問題雪上加霜。碎片化意味著Android平臺的更新異常困難，大量廠商生產(chǎn)運行不同版本Android的數(shù)千種智能手機和平板電腦。因此，包含有安全補丁軟件的更新包，通常需要數(shù)月時間才會發(fā)布——更糟糕的是，甚至根本不會發(fā)布。許多廠商只是更新旗艦機型，對舊機型或非旗艦機型中的缺陷視而不見，這會使用戶面臨風(fēng)險。

以Stagefright缺陷為例——使黑客能通過音、視頻文件中的惡意代碼控制Android設(shè)備。有媒體報道稱，至多95%的Android設(shè)備存在Stagefright缺陷，但有多少設(shè)備因此受到攻擊了呢？

Android安全團隊主管艾德里安·路德維格(Adrian Ludwig)向Digital Trends表示，“Stagefright缺陷被曝光已經(jīng)1年半，距離我們發(fā)現(xiàn)它約有2年了，但我們?nèi)匀徊恢烙杏脩粽嬲驗樗艿焦簟?rdquo;

Digital Trends表示，令人擔(dān)憂的是，谷歌開發(fā)補丁軟件的速度相對快，而且會即時發(fā)布給自家Nexus系列設(shè)備。其他設(shè)備補丁軟件的發(fā)布，則取決于設(shè)備廠商。

這意味著，安裝Android 7.0 Nougat的谷歌Pixel手機用戶，可以受益于最新安全補丁軟件，但仍然運行KitKat(占到全部Android設(shè)備20%)的手機用戶，已經(jīng)有1年或更長時間沒有收到過更新包，他們可能會面臨風(fēng)險。

Digital Trends稱，這是一個棘手的問題，而且不容易解決，但Android安全團隊在努力降低用戶的風(fēng)險。令人恐慌的統(tǒng)計數(shù)據(jù)有助于催生吸引眼球的新聞標(biāo)題，但Android該背不安全這個鍋嗎？

路德維格解釋說，“我認(rèn)為我們面臨諸多認(rèn)知問題，但與實際的用戶危險有很大不同之處。我們一直在進行的密碼工作，開發(fā)的沙盒技術(shù)，以及提高缺陷利用難度的諸多工作，共同降低了用戶受到攻擊的概率。”

Digital Trends日前對路德維格進行了采訪，討論當(dāng)前的Android安全形勢，以及用戶是否應(yīng)當(dāng)擔(dān)憂媒體報道的缺陷和惡意件，了解谷歌在解決碎片化問題方面所做的工作。

問：Android真的不安全嗎？

答：這個問題的答案是否定的，Android并非不安全。最近2年，我們采取許多措施，提高了Android安全性。

用戶需要第三方安全軟件保護Mac或Windows系統(tǒng)的安全，但我們在為所有用戶提供安全軟件，而且是免費的。

在Android安全領(lǐng)域，應(yīng)用沙盒是一個相對新穎的概念——應(yīng)用不能訪問全部用戶數(shù)據(jù)，只能訪問它們自己的數(shù)據(jù)，是一個全新理念。在Mac或Windows上不存在這樣的理念。

還有設(shè)備加密問題。大多數(shù)企業(yè)并不總是開啟這一功能。手機用戶預(yù)期，所有設(shè)備應(yīng)當(dāng)是始終加密的；他們甚至預(yù)期，加密技術(shù)足夠強勁，沒有用戶同意，再老練的黑客攻擊也無法訪問用戶數(shù)據(jù)。

我們對黑客和它們的所作所為有了很多了解，目前處于一個轉(zhuǎn)折點。前些年，我們一直在學(xué)習(xí)，積累知識，提高我們的技能，現(xiàn)在我們已經(jīng)趕超黑客了。例如，過去3或4年，新惡意件出現(xiàn)的速度相對平穩(wěn)，但我認(rèn)為今年惡意件出現(xiàn)的速度將會放緩，甚至大幅放緩，因為我們已經(jīng)掌握了足夠的技術(shù)，獲得了足夠經(jīng)驗。我們現(xiàn)在行動的速度快于黑客，能更快地發(fā)現(xiàn)他們，在整個生態(tài)鏈中比以往更高效地采取措施。

我認(rèn)為，即使按Android的標(biāo)準(zhǔn)，我們也已經(jīng)到了一個轉(zhuǎn)折點，在惡意件方面我們將開始看到重大改進。

當(dāng)然，我們還有更多工作要做，但人們很容易忘記過去5年我們?nèi)〉玫某删汀?/p>

問：大量媒體報道中都包含有令人恐慌的統(tǒng)計數(shù)據(jù)。那么，用戶Android設(shè)備受到攻擊或挾持的實際風(fēng)險會有多大呢？例如，據(jù)稱Stagefright可能影響95%的Android設(shè)備。我們知道有多少設(shè)備因此受到挾持嗎？

答：這一缺陷曝光已經(jīng)1年半，我們是在約2年前發(fā)現(xiàn)它的，但目前我們不知道有人因它真正受到攻擊。有傳言稱少量設(shè)備可能受到攻擊，但我們并沒有獲得確鑿的證據(jù)。

相信我，聽到這類傳言后，我們會嘗試發(fā)現(xiàn)真相。我們會與相關(guān)公司溝通，請求它們分享數(shù)據(jù)。我們從未能證實相關(guān)數(shù)據(jù)。我可以肯定地說，不會有9億臺設(shè)備受到攻擊。

有一點可以肯定的是，媒體報道中的數(shù)據(jù)與實際情況并不相符，甚至可能不會有用戶受到攻擊。業(yè)內(nèi)存在一種擔(dān)憂，我們可能沒有發(fā)現(xiàn)某些問題，但時間似乎會揭示這些盲區(qū)。

過去6年，我一直從事與Android安全有關(guān)的工作。每次對有人聲稱的“盲區(qū)”進行調(diào)查時，我們都一無所獲。對“Google Play中存在大量惡意件”的說法進行調(diào)查時，我們確實發(fā)現(xiàn)一些惡意件，并已經(jīng)清除了它們；然后有說法稱“Google Play之外有惡意件”，我們經(jīng)過調(diào)查發(fā)現(xiàn)確實存在部分惡意件，我們采取了一些安全措施；有人說“明年惡意件會增加”，這種情況并沒有發(fā)生。現(xiàn)在，業(yè)界有傳言稱“這些缺陷將被黑客用來興風(fēng)作浪”，但這種情況并未出現(xiàn)。

我們一次次地出手查找惡意代碼，但并未發(fā)現(xiàn)有用戶真正受到攻擊。

我們盡可能地保持謹(jǐn)慎，因此我們對服務(wù)進行投資，在“犄角旮旯”查找惡意代碼。我們還與合作伙伴合作，確保它們能對惡意代碼作出盡可能快的反應(yīng)，因此，我們在安全更新方面投入大量資源，并非是我們發(fā)現(xiàn)大量惡意代碼，而是我們不想使?jié)撛陲L(fēng)險變成現(xiàn)實風(fēng)險。

我們的許多努力，旨在領(lǐng)先黑客一步，防止真正出現(xiàn)安全問題。

問：你認(rèn)為Android是“漏洞地獄”的說法經(jīng)久不衰的原因是什么？

答：這一問題的原因有多個。一個原因是復(fù)雜的事物通常很嚇人，有關(guān)Android生態(tài)鏈的這一說法就是一個復(fù)雜問題。Android生態(tài)鏈中存在大量不同的手機和平板電腦廠商，以及眾多不同的設(shè)備型號。

要簡單地描述Android生態(tài)鏈的動態(tài)很困難，就像描述人體解剖結(jié)構(gòu)非常困難一樣。但我們知道，藥物越來越好，人的壽命越來越長。我們還知道，人類健康水平不斷提高，但媒體上仍然有大量有關(guān)死亡、疾病的報道。

我認(rèn)為，這是Android生態(tài)鏈的真實寫照。它很復(fù)雜，因此不會有令人滿意、超級簡單的答案。但總體而言，Android越來越安全，功能越來越強大了。

問：我們看到大量惡意件報道，但從未在Google Play之外下載過應(yīng)用的普通Android用戶危險嗎？

答：在Google Play中惡意件占比是0.05%，這意味著每10000款應(yīng)用中只有5款存在惡意件，占比相當(dāng)?shù)汀Ｖ劣诒桓腥镜脑O(shè)備占比，如果我們不說，沒有人會知道。

我們談?wù)撨@一問題，目的是確保風(fēng)險水平的透明。通常情況下平臺不會討論這方面的信息，它們對此視而不見。我們希望外部黑客，以及我們的政策和程序都是透明的，以取得用戶的信任。我們不希望用戶盲目地信任我們。

我推測，在Android生態(tài)鏈中，Google Play是最干凈的應(yīng)用商店。我認(rèn)為，Google Play可以媲美生態(tài)鏈更封閉的其他應(yīng)用商店。(Digital Trends認(rèn)為艾德里安指的是蘋果App Store。)

問：通過與許多人溝通，我們不知道有人遭遇了Android惡意件問題，但我本人就曾遭遇Windows安全問題。為什么人人都在談?wù)揂ndroid安全問題呢？

答：我認(rèn)為我們對Windows惡意件已經(jīng)疲了，沒有興趣再討論它了。Android惡意件相對是新生事物。

我的經(jīng)歷表明，從Google Play安裝應(yīng)用的數(shù)億臺Android設(shè)備，干凈程度比企業(yè)Windows設(shè)備高一個數(shù)量級。我們的感染率是0.5%，企業(yè)Windows設(shè)備要高一些，消費者的Windows設(shè)備會更高。

Android令人興奮，它是一個不斷增長的市場。對消費者來說它是一個不斷增長的市場，對安全產(chǎn)業(yè)而言也是如此，因此它們對確保人們了解并思考安全問題非常有興趣。

問：你發(fā)現(xiàn)的最常見惡意件類型？

答：我們看到的大多數(shù)惡意件屬于廣告性質(zhì)。它們嘗試賺錢，在手機上創(chuàng)收的途徑是安裝應(yīng)用。我們確實發(fā)現(xiàn)少量應(yīng)用設(shè)法獲得銀行密碼或類似數(shù)據(jù)，但最簡單的賺錢途徑是安裝應(yīng)用。很大一部分惡意件與惡意下載器有關(guān)。

有趣的是，惡意件在手機上安裝的應(yīng)用并沒有什么危害。通常安裝的可能是進行推廣的游戲，或者可能是另外一款服務(wù)，增加惡意件的發(fā)布渠道。惡意件的結(jié)果與人們對惡意件的想象大相徑庭，惡意件通常并不意味著有人要竊取用戶的數(shù)據(jù)。

還有間諜件。我不想說間諜件不存在，我們本周甚至披露了一款我們發(fā)現(xiàn)的非常高端的間諜件，但它只感染了25臺設(shè)備，并沒有感染大量設(shè)備。

問：與其他移動操作系統(tǒng)相比，Android是否天然地不安全？

答：我并不認(rèn)為Android平臺有天然不安全的因素。我認(rèn)為，復(fù)雜性使得人們很難評定整個Android平臺安全性怎么樣。

人們喜歡把iPhone與Android進行比較。iPhone是一家廠商推出的預(yù)裝有操作系統(tǒng)的硬件設(shè)備，事實上，它包含約5種不同設(shè)備。如果考慮一家Android設(shè)備廠商——其中三星是最大的Android設(shè)備廠商，它們通常有數(shù)百種不同型號的產(chǎn)品。從設(shè)備數(shù)量上來看，僅僅三星產(chǎn)品的復(fù)雜性就是iOS的約20倍。把iPhone與Android進行比較是不合理的。

問：把Pixel和Nexus與iPhone進行比較更公平嗎？

答：是的。它們的應(yīng)用商店有相似的安全屬性，經(jīng)過驗證的應(yīng)用，應(yīng)用隔離——非常相似的安全屬性。它們都承諾快速更新。

它們的區(qū)別在于透明性。Android是開放源代碼軟件，信息供所有人使用。我們鼓勵第三方對我們的安全技術(shù)進行深入研究，因此我們知道，不僅僅是我們，第三方也在查找平臺的安全隱患。它們在透明性方面是有差別的。

我認(rèn)為服務(wù)方面也存在巨大差別。我們有意設(shè)計了可見性和對在用設(shè)備進行檢查的能力，這是其他平臺所沒有的。這意味著我們能獲得大量反饋信息，并對出現(xiàn)的問題做出反應(yīng)。

問：你們?nèi)绾谓鉀Q非原生Android設(shè)備安全更新包發(fā)布慢的問題？解決起來很困難嗎？

答：我們意識到許多人在使用Android，許多設(shè)備在運行Android。Android生態(tài)鏈的多樣性意味著，一些廠商行動很快，其他廠商則相對慢一些。

過去一年，我們花大量時間幫助行動慢的廠商解決它們面臨的技術(shù)挑戰(zhàn)、工程挑戰(zhàn)，有時甚至是組織性挑戰(zhàn)。它們可能缺乏提供更新包的工程師，有時它們意識不到及時提供更新包的重要性。

這顯然使情況變得更為復(fù)雜，但這也是Android為何如此成功的核心——因為大量不同的人能制造Android設(shè)備。

問：Android團隊采取了哪些措施來提高平臺的安全性？你們計劃未來在哪些方面做出改進？

答：我認(rèn)為所有元素應(yīng)當(dāng)很好地融合在一起。這是一個歷時多年的過程，但我們一直在研發(fā)的加密技術(shù)、沙盒技術(shù)和提高惡意代碼興風(fēng)作浪難度的許多技術(shù)，將融合在一起。因此，我們將繼續(xù)開發(fā)上述技術(shù)。

問：發(fā)現(xiàn)缺陷的第三方研究計劃很重要？

答：它確實很重要。去年我們向第三方研究人員支付了約100萬美元(約合人民幣688萬元)。有約120名研究人員發(fā)現(xiàn)了缺陷并報告給我們。每月有數(shù)十人向我們報告缺陷，因此這對我們來說很重要。

有趣的一個方面是，我們開始收到越來越多的問題報告，不僅僅是Android，還有設(shè)備中的其他組件。例如，本周有研究人員報告了博通WiFi驅(qū)動程序中的一個問題，影響Android和iOS設(shè)備。我們收到的這類問題報告越來越多了。

問：更安全是否意味著失去部分開放性和可定制性？這兩個因素使Android成為世界上最流行的移動操作系統(tǒng)。

答：完全不會。開放性、可定制性和安全是Android最大的優(yōu)勢。我們認(rèn)為，這三者繼續(xù)改進是可能的。

當(dāng)遇到一項特性使這些原則發(fā)生沖突時，我們會不遺余力地尋求平衡的解決之道。一個常見的策略是，在使用戶有多種選項(能進行定制)的情況下，使提高安全性成為默認(rèn)選項(保護盡可能多的用戶)。

我們在與設(shè)備廠商合作方面也是如此，定義一個健壯的安全模式，但也提供多種創(chuàng)新和定制的機遇。這種多樣性的結(jié)果是更高的安全性，單一性更容易存在系統(tǒng)性風(fēng)險。在某些情況下，定制會帶來創(chuàng)新性的安全措施，這對生態(tài)鏈有利。

問：你認(rèn)為第三方Android安全應(yīng)用有必要嗎？

答：我們致力于使Google Play提供的免費安全技術(shù)，成為世界上最好的安全技術(shù)。我們認(rèn)為，我們已經(jīng)實現(xiàn)這一目標(biāo)。我們將繼續(xù)公布相關(guān)信息，使第三方能進行復(fù)核，并證實這一點。