据Digital Trends网站报道,有关
Android平台不安全的观念很是流行和根深蒂固,只是这很可能是错误的。
安卓生态链的复杂性,使得这一问题雪上加霜。碎片化意味着Android平台的更新异常困难,大量厂商生产运行不同版本Android的数千种智能手机和平板电脑。因此,包含有安全补丁软件的更新包,通常需要数月时间才会发布——更糟糕的是,甚至根本不会发布。许多厂商只是更新旗舰机型,对旧机型或非旗舰机型中的缺陷视而不见,这会使用户面临风险。
以Stagefright缺陷为例——使黑客能通过音、视频文件中的恶意代码控制Android设备。有媒体报道称,至多95%的Android设备存在Stagefright缺陷,但有多少设备因此受到攻击了呢?
Android安全团队主管艾德里安·路德维格(Adrian Ludwig)向Digital Trends表示,“Stagefright缺陷被曝光已经1年半,距离我们发现它约有2年了,但我们仍然不知道有用户真正因为它受到攻击。”
Digital Trends表示,令人担忧的是,谷歌开发补丁软件的速度相对快,而且会即时发布给自家Nexus系列设备。其他设备补丁软件的发布,则取决于设备厂商。
这意味着,安装
Android 7.0一漀甀最愀琀萀谷歌Pixel手机用户,可以受益于最新安全补丁软件,但仍然运行KitKat(占到全部Android设备20%)的手机用户,已经有1年或更长时间没有收到过更新包,他们可能会面临风险。
Digital Trends称,这是一个棘手的问题,而且不容易解决,但Android安全团队在努力降低用户的风险。令人恐慌的统计数据有助于催生吸引眼球的新闻标题,但Android该背不安全这个锅吗?
路德维格解释说,“我认为我们面临诸多认知问题,但与实际的用户危险有很大不同之处。我们一直在进行的密码工作,开发的沙盒技术,以及提高缺陷利用难度的诸多工作,共同降低了用户受到攻击的概率。”
Digital Trends日前对路德维格进行了采访,讨论当前的Android安全形势,以及用户是否应当担忧媒体报道的缺陷和恶意件,了解谷歌在解决碎片化问题方面所做的工作。
问:Android真的不安全吗?
答:这个问题的答案是否定的,Android并非不安全。最近2年,我们采取许多措施,提高了Android安全性。
用户需要第三方安全软件保护Mac或Windows系统的安全,但我们在为所有用户提供安全软件,而且是免费的。
在Android安全领域,应用沙盒是一个相对新颖的概念——应用不能访问全部用户数据,只能访问它们自己的数据,是一个全新理念。在Mac或Windows上不存在这样的理念。
还有设备加密问题。大多数企业并不总是开启这一功能。手机用户预期,所有设备应当是始终加密的;他们甚至预期,加密技术足够强劲,没有用户同意,再老练的黑客攻击也无法访问用户数据。
我们对黑客和它们的所作所为有了很多了解,目前处于一个转折点。前些年,我们一直在学习,积累知识,提高我们的技能,现在我们已经赶超黑客了。例如,过去3或4年,新恶意件出现的速度相对平稳,但我认为今年恶意件出现的速度将会放缓,甚至大幅放缓,因为我们已经掌握了足够的技术,获得了足够经验。我们现在行动的速度快于黑客,能更快地发现他们,在整个生态链中比以往更高效地采取措施。
我认为,即使按Android的标准,我们也已经到了一个转折点,在恶意件方面我们将开始看到重大改进。
当然,我们还有更多工作要做,但人们很容易忘记过去5年我们取得的成就。
问:大量媒体报道中都包含有令人恐慌的统计数据。那么,用户Android设备受到攻击或挟持的实际风险会有多大呢?例如,据称Stagefright可能影响95%的Android设备。我们知道有多少设备因此受到挟持吗?
答:这一缺陷曝光已经1年半,我们是在约2年前发现它的,但目前我们不知道有人因它真正受到攻击。有传言称少量设备可能受到攻击,但我们并没有获得确凿的证据。
相信我,听到这类传言后,我们会尝试发现真相。我们会与相关公司沟通,请求它们分享数据。我们从未能证实相关数据。我可以肯定地说,不会有9亿台设备受到攻击。
有一点可以肯定的是,媒体报道中的数据与实际情况并不相符,甚至可能不会有用户受到攻击。业内存在一种担忧,我们可能没有发现某些问题,但时间似乎会揭示这些盲区。
过去6年,我一直从事与Android安全有关的工作。每次对有人声称的“盲区”进行调查时,我们都一无所获。对“Google Play中存在大量恶意件”的说法进行调查时,我们确实发现一些恶意件,并已经清除了它们;然后有说法称“Google Play之外有恶意件”,我们经过调查发现确实存在部分恶意件,我们采取了一些安全措施;有人说“明年恶意件会增加”,这种情况并没有发生。现在,业界有传言称“这些缺陷将被黑客用来兴风作浪”,但这种情况并未出现。
我们一次次地出手查找恶意代码,但并未发现有用户真正受到攻击。
我们尽可能地保持谨慎,因此我们对服务进行投资,在“犄角旮旯”查找恶意代码。我们还与合作伙伴合作,确保它们能对恶意代码作出尽可能快的反应,因此,我们在安全更新方面投入大量资源,并非是我们发现大量恶意代码,而是我们不想使潜在风险变成现实风险。
我们的许多努力,旨在领先黑客一步,防止真正出现安全问题。
问:你认为Android是“漏洞地狱”的说法经久不衰的原因是什么?
答:这一问题的原因有多个。一个原因是复杂的事物通常很吓人,有关Android生态链的这一说法就是一个复杂问题。Android生态链中存在大量不同的手机和平板电脑厂商,以及众多不同的设备型号。
要简单地描述Android生态链的动态很困难,就像描述人体解剖结构非常困难一样。但我们知道,药物越来越好,人的寿命越来越长。我们还知道,人类健康水平不断提高,但媒体上仍然有大量有关死亡、疾病的报道。
我认为,这是Android生态链的真实写照。它很复杂,因此不会有令人满意、超级简单的答案。但总体而言,Android越来越安全,功能越来越强大了。
问:我们看到大量恶意件报道,但从未在Google Play之外下载过应用的普通Android用户危险吗?
答:在Google Play中恶意件占比是0.05%,这意味着每10000款应用中只有5款存在恶意件,占比相当低。至于被感染的设备占比,如果我们不说,没有人会知道。
我们谈论这一问题,目的是确保风险水平的透明。通常情况下平台不会讨论这方面的信息,它们对此视而不见。我们希望外部黑客,以及我们的政策和程序都是透明的,以取得用户的信任。我们不希望用户盲目地信任我们。
我推测,在Android生态链中,Google Play是最干净的应用商店。我认为,Google Play可以媲美生态链更封闭的其他应用商店。(Digital Trends认为艾德里安指的是苹果App Store。)
问:通过与许多人沟通,我们不知道有人遭遇了Android恶意件问题,但我本人就曾遭遇Windows安全问题。为什么人人都在谈论Android安全问题呢?
答:我认为我们对Windows恶意件已经疲了,没有兴趣再讨论它了。Android恶意件相对是新生事物。
我的经历表明,从Google Play安装应用的数亿台Android设备,干净程度比企业Windows设备高一个数量级。我们的感染率是0.5%,企业Windows设备要高一些,消费者的Windows设备会更高。
Android令人兴奋,它是一个不断增长的市场。对消费者来说它是一个不断增长的市场,对安全产业而言也是如此,因此它们对确保人们了解并思考安全问题非常有兴趣。