您現(xiàn)在的位置:海峽網(wǎng)>新聞中心>IT科技>科技數(shù)碼
分享

[摘要]雖然谷歌為提升Android安全性做了許多工作,但其安全性能仍然不能令人滿意,一個重要原因是Android設備不能及時安裝更新包。

Android設備不安全?專家稱就看你更不更新

騰訊數(shù)碼訊(文心)據(jù)Digital Trends 網(wǎng)站報道,Android是世界上用戶最多的移動平臺,每天有逾14億人使用Android智能手機或平板電腦。Android是開放源代碼軟件,供設備廠商免費使用,是它吸引如此多用戶使用的一個重要原因。但開放性是一把雙刃劍:它帶來的一個后果是,許多Android手機沒有定期更新最新的安全補丁。

過去數(shù)年,惡意件幽靈一直籠罩著Android,研究人員在其中發(fā)現(xiàn)一些名頭非常大的安全缺陷,例如Stagefright。頻頻出現(xiàn)的負面新聞,使得人們很難全面、客觀地對待Android安全性。上周有媒體披露了FalseGuide惡意件,稱它可能影響多達180萬名Android用戶。

如果只看媒體報道,人們擔憂Android安全性情有可原。但是,有關Android安全性的媒體報道哪些是夸大其詞,哪些是客觀真實的?Android平臺真的不安全嗎?

谷歌Android團隊主管艾德里安·路德維格(Adrian Ludwig),在最近一次采訪中向Digital Trends表示,“不是這樣,Android并非不安全。我認為我們存在認知方面的問題,我們的認識不同于實際的用戶危險。我們一直在開發(fā)的加密技術、沙盒技術,以及提高黑客利用安全缺陷興風作浪難度的其他技術,完美地共同發(fā)揮作用?!?/p>

毋庸置疑的是,最新版本的Android,比之前的版本更安全,但問題是許多Android用戶從未感受到這一點。早在2016年,谷歌Android安全團隊在一篇博文中證實,截至2016年年底,約半數(shù)在用Android設備,在至少12個月內(nèi)沒有安裝過更新包。

反病毒軟件評估機構AV-Test首席執(zhí)行官馬伊克·莫根斯特恩(Maik Morgenstern)向Digital Trends表示,“谷歌最新版本Android可以被認為是安全的。但是,尤其在許多舊版Android中,越來越多缺陷被發(fā)現(xiàn),許多設備廠商不為它們的設備發(fā)布更新包。目前,舊版Android中被發(fā)現(xiàn)逾800個安全缺陷?!?/p>

截至4月份的官方Android版本資料顯示,只有4.9%的Android設備運行最新版本Android操作系統(tǒng)——Nougat 7.0或7.1,這是一個令人失望的數(shù)據(jù)。Android 6.0 Marshmallow在Android設備中的占比為31.2%,Android 5.0或5.1占比為31%,五分之一的Android設備仍然運行Android 4.4 KitKat。在運行舊版操作系統(tǒng)的Android設備中,大多數(shù)永遠不大可能得到更新。

以色列移動安全公司Zimperium平臺研究和利用部門副總裁約書亞·德拉克(Joshua J. Drake)向Digital Trends表示,“84%的手機沒有得到更新,這意味著大多數(shù)移動設備仍然面臨受到攻擊的風險?!?/p>

德拉克2015年發(fā)現(xiàn)了Stagefright缺陷。據(jù)當時的媒體報道稱,Stagefright缺陷使黑客可能通過潛伏在音頻或視頻文件中的惡意代碼控制Android設備,高達95%的設備受到它的影響。德拉克向Digital Trends表示,目前只有不到1%的Android設備受Stagefright缺陷影響。

雖然潛在的危害令人恐懼,只是目前尚不清楚Stagefright缺陷給Android用戶造成的實際危害。路德維格說,“我們發(fā)現(xiàn)它快2年了,但尚不知道有用戶真正因它受到了攻擊?!?/p>

但德拉克不同意這種說法, “我們知道已經(jīng)存在利用libstagefright和mediaserver中缺陷的針對性攻擊。我們知道,要證明普遍的危害很困難,我們尊重谷歌為提高其平臺安全性所做的努力。但是,由于設備上沒有相應傳感器,沒有人可以了解設備的風險或威脅狀態(tài)——尤其是移動設備。”

Digital Trends表示,問題在于,用戶要判斷自己的設備是否受到攻擊并非易事。在Stagefright 缺陷被發(fā)現(xiàn)后。Zimperium成立了“Zimperium手機聯(lián)盟”,增進研究人員、移動運營商、移動應用開發(fā)者和設備廠商之間的交流。

德拉克說,“研究人員需要研究每個月的安全更新包,嘗試利用這些缺陷,以促進更好地修正缺陷,提高整個移動領域的安全性?!?/p>

谷歌已經(jīng)采取一些重要措施來降低安全風險,按月發(fā)布更新包。但舊版本Android被遺忘了。

要解決Android碎片化問題并非易事。對于谷歌來說,說服移動運營商和制造商更新它們的Android設備一直很困難。而這正好給了對手機會,在2014年的全球開發(fā)者大會上,蘋果首席執(zhí)行官蒂姆·庫克(Tim Cook)提到ZDNet上的一篇文章——《Android碎片化使設備成為漏洞地獄》。但iOS的安全性真的更好嗎?如果更安全,原因何在?

德拉克表示,“一直以來人們都有這種印象:iOS安全性優(yōu)于Android,但事實可能未必如此?!?/p>

因為Android是開放源代碼軟件,安全研究人員更容易發(fā)現(xiàn)其中的缺陷和建議廠商開發(fā)補丁軟件。德拉克說,iOS的封閉特性,使得研究人員很難發(fā)現(xiàn)它內(nèi)部的“奧秘”。莫根施特恩同意這種說法,但提到兩者之間的一個重要差別——使得惡意件對Android威脅更大。

莫根施特恩解釋說,“Android用戶可以輕而易舉地安裝任何來源的應用,這使得惡意應用可以很容易感染硬件。其他平臺在這方面要嚴格得多,只允許用戶安裝來自其封閉的應用商店的應用?!?/p>

Android是一大攻擊目標。擁有如此眾多的用戶和開放源代碼特性,使得Android成為對網(wǎng)絡犯罪分子有吸引力的目標。AV-Test每天收集至多3萬個新Android惡意件樣本,這是一個可怕的數(shù)據(jù),但是,關心安全的Android用戶可以采取一些措施——例如堅持通過Google Play安裝應用、及時安裝更新包和安裝第三方Android安全應用,大幅降低受到攻擊的風險。

德拉克和莫根施特恩還警告用戶不要連接未知網(wǎng)絡和WiFi熱點,至少是在沒有使用合適的Android VPN(虛擬專用網(wǎng))應用的情況下。

德拉克解釋說,“我們的數(shù)據(jù)顯示,大多數(shù)攻擊具有網(wǎng)絡化性質(zhì),它們不會區(qū)分iOS、Android和其他平臺。一旦黑客悄悄地攔截并重定向設備網(wǎng)絡流量,設備就可能受到侵入性監(jiān)視?!?/p>

Android設備不安全?專家稱就看你更不更新

Digital Trends 稱,Android安全性在不斷提升,原因包括更快的更新包發(fā)布、設備加密、授權請求、使應用相互隔離的應用沙盒、有限制的資源訪問、Play Store自動對惡意件進行掃描。但很顯然,Android安全性還有提升空間。

在被問到第三方研究的重要性時,路德維格說,“去年我們向研究人員支付了約100萬美元(約合人民幣690萬元)?!彪m然谷歌有自己的研究項目,德拉格感覺需要更多類似研究項目。

他說,“要提高Android整體安全性,谷歌與安全廠商進行更密切合作是必要的。蘋果和其他廠商擴大了它們的合作項目,但谷歌縮小了合作項目。谷歌的邏輯是,它們可以自行完成所有工作,但令人遺憾的是,這會給用戶帶來損害,而對黑客有利。”

最終,Android安全問題可能與用戶使用的設備有關。如果用戶使用2、3年前購買的手機、運行舊版Android,而且數(shù)月來沒有得到更新,用戶就需要關注設備安全性了。相比之下,谷歌Pixel手機用戶能及時收到最新安全更新包,至少是購買手機后的未來2年內(nèi)。

很難說大多數(shù)Android設備何時能用上Nougat或之后的Android版本,部分設備廠商和運營商發(fā)布更新包慢半拍將繼續(xù)是個問題。

莫根施特恩說,“除非所有設備都及時安裝更新包,用戶仍然會面臨危險。”

來源:Digital Trends

精彩視頻推薦

責任編輯:海凡

最新科技數(shù)碼 頻道推薦
進入新聞頻道新聞推薦
【盛世蓮開】習言道|澳門是偉大祖國的
進入圖片頻道最新圖文
進入視頻頻道最新視頻
一周熱點新聞
下載海湃客戶端
關注海峽網(wǎng)微信
?

職業(yè)道德監(jiān)督、違法和不良信息舉報電話:0591-87095414 舉報郵箱:service@hxnews.com

本站游戲頻道作品版權歸作者所有,如果侵犯了您的版權,請聯(lián)系我們,本站將在3個工作日內(nèi)刪除。

溫馨提示:抵制不良游戲,拒絕盜版游戲,注意自我保護,謹防受騙上當,適度游戲益腦,沉迷游戲傷身,合理安排時間,享受健康生活。

CopyRight ?2016 海峽網(wǎng)(福建日報主管主辦) 版權所有 閩ICP備15008128號-2 閩互聯(lián)網(wǎng)新聞信息服務備案編號:20070802號

福建日報報業(yè)集團擁有海峽都市報(海峽網(wǎng))采編人員所創(chuàng)作作品之版權,未經(jīng)報業(yè)集團書面授權,不得轉(zhuǎn)載、摘編或以其他方式使用和傳播。

版權說明| 海峽網(wǎng)全媒體廣告價| 聯(lián)系我們| 法律顧問| 舉報投訴| 海峽網(wǎng)跟帖評論自律管理承諾書

友情鏈接:新聞頻道?| 福建頻道?| 新聞聚合