Android設備不安全？專家稱就看你更不更新

­　　

­　　[摘要]雖然谷歌為提升Android安全性做了許多工作，但其安全性能仍然不能令人滿意，一個重要原因是Android設備不能及時安裝更新包。

­　　騰訊數碼訊（文心）據Digital Trends 網站報道，Android是世界上用戶最多的移動平臺，每天有逾14億人使用Android智能手機或平板電腦。Android是開放源代碼軟件，供設備廠商免費使用，是它吸引如此多用戶使用的一個重要原因。但開放性是一把雙刃劍：它帶來的一個后果是，許多Android手機沒有定期更新最新的安全補丁。

­　　過去數年，惡意件幽靈一直籠罩著Android，研究人員在其中發現一些名頭非常大的安全缺陷，例如Stagefright。頻頻出現的負面新聞，使得人們很難全面、客觀地對待Android安全性。上周有媒體披露了FalseGuide惡意件，稱它可能影響多達180萬名Android用戶。

­　　如果只看媒體報道，人們擔憂Android安全性情有可原。但是，有關Android安全性的媒體報道哪些是夸大其詞，哪些是客觀真實的？Android平臺真的不安全嗎？

­　　谷歌Android團隊主管艾德里安·路德維格(Adrian Ludwig)，在最近一次采訪中向Digital Trends表示，“不是這樣，Android并非不安全。我認為我們存在認知方面的問題，我們的認識不同于實際的用戶危險。我們一直在開發的加密技術、沙盒技術，以及提高黑客利用安全缺陷興風作浪難度的其他技術，完美地共同發揮作用。”

­　　毋庸置疑的是，最新版本的Android，比之前的版本更安全，但問題是許多Android用戶從未感受到這一點。早在2016年，谷歌Android安全團隊在一篇博文中證實，截至2016年年底，約半數在用Android設備，在至少12個月內沒有安裝過更新包。

­　　反病毒軟件評估機構AV-Test首席執行官馬伊克·莫根斯特恩(Maik Morgenstern)向Digital Trends表示，“谷歌最新版本Android可以被認為是安全的。但是，尤其在許多舊版Android中，越來越多缺陷被發現，許多設備廠商不為它們的設備發布更新包。目前，舊版Android中被發現逾800個安全缺陷。”

­　　截至4月份的官方Android版本資料顯示，只有4.9%的Android設備運行最新版本Android操作系統——Nougat 7.0或7.1，這是一個令人失望的數據。Android 6.0 Marshmallow在Android設備中的占比為31.2%，Android 5.0或5.1占比為31%，五分之一的Android設備仍然運行Android 4.4 KitKat。在運行舊版操作系統的Android設備中，大多數永遠不大可能得到更新。

­　　以色列移動安全公司Zimperium平臺研究和利用部門副總裁約書亞·德拉克(Joshua J. Drake)向Digital Trends表示，“84%的手機沒有得到更新，這意味著大多數移動設備仍然面臨受到攻擊的風險。”

­　　德拉克2015年發現了Stagefright缺陷。據當時的媒體報道稱，Stagefright缺陷使黑客可能通過潛伏在音頻或視頻文件中的惡意代碼控制Android設備，高達95%的設備受到它的影響。德拉克向Digital Trends表示，目前只有不到1%的Android設備受Stagefright缺陷影響。

­　　雖然潛在的危害令人恐懼，只是目前尚不清楚Stagefright缺陷給Android用戶造成的實際危害。路德維格說，“我們發現它快2年了，但尚不知道有用戶真正因它受到了攻擊。”

­　　但德拉克不同意這種說法， “我們知道已經存在利用libstagefright和mediaserver中缺陷的針對性攻擊。我們知道，要證明普遍的危害很困難，我們尊重谷歌為提高其平臺安全性所做的努力。但是，由于設備上沒有相應傳感器，沒有人可以了解設備的風險或威脅狀態——尤其是移動設備。”

­　　Digital Trends表示，問題在于，用戶要判斷自己的設備是否受到攻擊并非易事。在Stagefright 缺陷被發現后。Zimperium成立了“Zimperium手機聯盟”，增進研究人員、移動運營商、移動應用開發者和設備廠商之間的交流。

­　　德拉克說，“研究人員需要研究每個月的安全更新包，嘗試利用這些缺陷，以促進更好地修正缺陷，提高整個移動領域的安全性。”

­　　谷歌已經采取一些重要措施來降低安全風險，按月發布更新包。但舊版本Android被遺忘了。

­　　要解決Android碎片化問題并非易事。對于谷歌來說，說服移動運營商和制造商更新它們的Android設備一直很困難。而這正好給了對手機會，在2014年的全球開發者大會上，蘋果首席執行官蒂姆·庫克(Tim Cook)提到ZDNet上的一篇文章——《Android碎片化使設備成為漏洞地獄》。但iOS的安全性真的更好嗎？如果更安全，原因何在？

­　　德拉克表示，“一直以來人們都有這種印象：iOS安全性優于Android，但事實可能未必如此。”

­　　因為Android是開放源代碼軟件，安全研究人員更容易發現其中的缺陷和建議廠商開發補丁軟件。德拉克說，iOS的封閉特性，使得研究人員很難發現它內部的“奧秘”。莫根施特恩同意這種說法，但提到兩者之間的一個重要差別——使得惡意件對Android威脅更大。

­　　莫根施特恩解釋說，“Android用戶可以輕而易舉地安裝任何來源的應用，這使得惡意應用可以很容易感染硬件。其他平臺在這方面要嚴格得多，只允許用戶安裝來自其封閉的應用商店的應用。”

­　　Android是一大攻擊目標。擁有如此眾多的用戶和開放源代碼特性，使得Android成為對網絡犯罪分子有吸引力的目標。AV-Test每天收集至多3萬個新Android惡意件樣本，這是一個可怕的數據，但是，關心安全的Android用戶可以采取一些措施——例如堅持通過Google Play安裝應用、及時安裝更新包和安裝第三方Android安全應用，大幅降低受到攻擊的風險。

­　　德拉克和莫根施特恩還警告用戶不要連接未知網絡和WiFi熱點，至少是在沒有使用合適的Android VPN(虛擬專用網)應用的情況下。

­　　德拉克解釋說，“我們的數據顯示，大多數攻擊具有網絡化性質，它們不會區分iOS、Android和其他平臺。一旦黑客悄悄地攔截并重定向設備網絡流量，設備就可能受到侵入性監視。”

­　　Digital Trends 稱，Android安全性在不斷提升，原因包括更快的更新包發布、設備加密、授權請求、使應用相互隔離的應用沙盒、有限制的資源訪問、Play Store自動對惡意件進行掃描。但很顯然，Android安全性還有提升空間。

­　　在被問到第三方研究的重要性時，路德維格說，“去年我們向研究人員支付了約100萬美元(約合人民幣690萬元)。”雖然谷歌有自己的研究項目，德拉格感覺需要更多類似研究項目。

­　　他說，“要提高Android整體安全性，谷歌與安全廠商進行更密切合作是必要的。蘋果和其他廠商擴大了它們的合作項目，但谷歌縮小了合作項目。谷歌的邏輯是，它們可以自行完成所有工作，但令人遺憾的是，這會給用戶帶來損害，而對黑客有利。”

­　　最終，Android安全問題可能與用戶使用的設備有關。如果用戶使用2、3年前購買的手機、運行舊版Android，而且數月來沒有得到更新，用戶就需要關注設備安全性了。相比之下，谷歌Pixel手機用戶能及時收到最新安全更新包，至少是購買手機后的未來2年內。

­　　很難說大多數Android設備何時能用上Nougat或之后的Android版本，部分設備廠商和運營商發布更新包慢半拍將繼續是個問題。

­　　莫根施特恩說，“除非所有設備都及時安裝更新包，用戶仍然會面臨危險。”

­　　來源：Digital Trends

­