安卓设备容易感染病毒和恶意代码,这是一个根的问题。
2008年10月份,第一部安卓手机正式问世,主打开源和免费的Android系统逐渐成为移动手持设备厂商进入智能时代的不二之选,但随着设备基数的不断增长(谷歌官方最新数据为14亿台),开源这一特性又反过来威胁Android的“安全”。 据报道,日前安全技术公司Check Point对一款名为HadmingBad的恶意应用进行分析,数据显示,这款应用控制了全球范围内近1000万Android设备,尽管和全球安卓设备总数相比,0.7%的比重意味着问题并不泛滥,但值得关注的是,HadmingBad这款应用的开发商“微盈互动”旗下的非恶意应用覆盖量高达7500万。 这意味着,7500万用户都有受HadmingBad恶意应用波及的可能,这可是个大问题。 买安卓机意味着买风险? 开源和免费是Android的基因,但这个基因也注定了消费者购买安卓手机就有遭遇恶意应用的风险,而考虑到恶意应用后台运行且隐蔽性强的特点,用户一般很难发现,这也是为什么很多用户称,用了安卓手机很多年,但从未遇到恶意应用或者病毒的原因。 日前,有报道称,百度地图在用户未知情的情况下,后台偷跑流量下载郭德纲相声,问题曝光后官方回应称,该功能是为了让用户在使用线路雷达时,方便收听当季流行节目,并表示“考虑不周”而低调将该功能下线。 一般情况下,人们很难将百度地图和恶意应用,甚至是病毒应用联系在一起,但类似的应用确实在偷偷执行未授权指令,Android系在权限管理方面的问题,非常值得关注。 相比百度地图越权执行的案例,HadmingBad这样的应用风险就更加的不可控,尤其是应用会通过篡改设备信息的方式模拟下载操作,对应用商店的应用进行刷量以提升排名,这意味着用户基数越大,刷的排名就可能越高,受感染设备的量就越多,进而形成恶性循环。 事实上,除了开源操作系统有安全和隐私风险外,封闭系统比如iOS也有相同的问题存在,比如之前iOS开发工具Xcode被注入恶意代码,并通过非官方平台分发出去,导致大量经过受感染工具开发的应用,从源头就遭遇了恶意代码。 安卓的应用分发不可控 封闭的iOS在应用分发上有一个优势开源的Android无法相提评论——应用分发的唯一性,这也是Android应用分发最不可控的根源。 Android操作系统的应用分发至少有三种类型,分别是正统Google Play,手机厂商本地化应用商店,第三方(app和网站)推荐。 正常情况下,Google Play和手机厂商官方商店的应用都经过了机器+人工至少其中之一的认证机制,这和苹果App Store比较类似,差别在于审核认证标准,但总体上不会有问题应用存在。 相比前面两种分发机制,第三方分发的应用在隐私安全上很难有100%的保障,尤其是非正规渠道分发的应用,如果是恶意应用,那么用户下载apk包后感染的概率基本上就是100%,而第三方独立app渠道分发出来的应用,如果第三方平台的审核资质不够,或者审核不够严格,也会有相似的问题。 根据Ars Technica的报道,HadmingBad利用了多种分发渠道感染设备,其中之一就是通过挂马攻击第三方色情网站,此外,如果HadmingBad这种应用通过伪装成广告主的形式进行投放,那么展示这些应用广告的流量主app们,都有可能成为不可控的分发渠道。 举个例子,如果你下载了一个免费的安卓应用,而这款应用中内置的了app应用推荐广告,这条广告恰恰就是恶意应用,那么用户就有可能在不知情的情况下中招。 系统碎片化严重 由于Android操作系统开源的基因和各大手机厂商本地化定制的原因,每一代系统发布到大面积覆盖,间隔期至少在半年以上,更重要的是,用户系统更新的节奏并不是和厂商推送完全同步,甚至一些用户根本就不对设备进行更新。 今年6月12日,谷歌发布了最新一期的Android系统版本分布图,数据显示,尽管Android 6.0的覆盖在提速,但整体比例仍然只有10.1%,Android 5.0和5.1的占比则为35.4%,值得关注的是Android 4.4占据的31.6%份额。 此外,更早的4.1.x和4.2.x,乃至2.3.x版本都仍然有活跃设备。 运行旧版系统的设备不能及时更新,恶意应用和病毒就是刀俎,这样的设备则是鱼肉,这也是开源的Android操作系统,因为碎片化而存在的软肋之一。 倒是在碎片化方面,中国本土手机厂商做得都还不错,大多数厂商都将自主ROM纳入了产品竞争力的重要构成,并且积极推进ROM的更新,不过即便如此,仍然也有特例存在。 2015年8月份,有爆料称,原酷派旗下子品牌大神手机向用户推送的官方版本系统更新被检测出存在自动发送短信,进行恶意扣费的问题,且应用被卸载之后仍然会自动安装,这个问题在当时将酷派和大神推向封口浪尖。 事后,酷派回应称将提供用户解决问题的方案,并对遭受损失的用户进行赔偿,同时安排工程师对问题的原因进行排查,并且向有关部门报案,宣称及时向用户公布结果,但实际上酷派只是做了危机公关的一部分工作,最终到底是什么原因造成官方升级中出现了恶意病毒,后续并没有准确的说法,最后问题也是不了了之。 谷歌捞够了钱却没当好保镖 谷歌虽然不靠Android授权获益,但却在特定市场要求采用Android系统的设备内置GMS(Google Mobile Service)框架,通过这个框架为自身的广告平台导流量以寻求变现。 根据今年1月份甲骨文在和谷歌的诉讼中称,过去近8年的时间里,谷歌借助GMS框架,获得了310亿美元的营收,利润达到220亿美元,而瑞穗证券的分析师更是表示,310亿美元可能还是保守的计算结果。 谷歌通过Android挣得盆满钵满,但是对于整个操作系统却没有负起100%的责任。 今年4月份谷歌发布的《年度Android安全报告》显示,2015年Google Play中的恶意应用比例不足0.15%,尽管数据上相对乐观,但缺陷是数据只针对Google Play平台,其他分发渠道方面,谷歌并没有起到决定性作用,比较讽刺的是,侵害Android用户利益的恶意应用,绝大部分来自于Google Play之外。 Android缺乏一个统一的应用认证和联动机制,这是谷歌目前做的还不够的地方。 事实上,此前谷歌提出通过组建开放手机联盟来加速Android更新、迭代和完善的做法,在应用检测认证方面非常值得参考,谷歌有必要为第三方提供统一的检测认证标准和应用程序接口以及固定更新的恶意应用报告平台。 对于Google Play以外的应用分发渠道,谷歌在今年的年度报告中也有过表态,“对于那些从Google Play以外的渠道下载应用程序的用户,我们也有必要保护他们的安全”,只不过现在人们看到的是,谷歌挣得足够多,保护者的角色扮演的却不好。 |