Google發佈Android系統年度安全報告,一半的設備一年都沒收到安全更新
2015年,網絡安全機構Zimperium的安全研究人員Joshua Drake披露了Android系統有史以來最嚴重漏洞——Stagefright。利用這個漏洞,只需簡單的一條彩信,黑客就可能完全控制用户手機。據悉,這個漏洞波及了超過9.5億台Android手機。
Stagefright漏洞引發了大眾對Android生態系統安全性的關注,Google隨後開始嘗試每個月都對Android設備推送安全更新。
今天(3月23日),Google發佈了Android系統年度安全報告,全面回顧了2016年在安全方面的各項工作進展。
在月度安全更新方面,Android安全部門主管Adrian Ludwig表示,Google通過與運營商和製造商的合作,將安全更新的等待時間從6~9個星期降低到了幾天。而且Google還縮減了安全更新程序包的大小,並取消了每次更新都需要用户同意這一過程。
此外,Google Play裏幾乎每種PHA(Potentially Harmful App,潛在有害應用)的安裝量都降低了。2016年底,只從Google Play下載應用的設備只有0.05%存在PHA,相比2015年的0.15%大幅下降。
不過,報告裏透露的並不只有好消息。數據顯示,截至2016年底,仍然有一半的活躍Android設備在過去一年中並未收到平台安全更新。而且,2015年初只有0.5%的Android設備安裝了PHA,但是到2016年底,這個數據上漲到了0.71%。
對於普通用户來説,想要確保手機的安全性,要記住的只有兩點:
- 選擇會每月推送安全更新的Android手機;
- 只從Google的Play Store應用商店中下載App。
下文來自Google Blog,雷鋒網對全文做了不改變原意的編譯。
保護用户免受PHA的威脅
PHA會讓用户的數據和設備面臨風險。多年來,我們已經構建了一系列的系統來解決這些威脅,比如能夠檢測應用程序不安全行為的應用分析器,以及定期檢查用户設備是否存在PHA的Verify Apps。當這些系統檢測到PHA時,我們就會向用户發出警告,建議他們考慮是否確定要下載該App,甚至把App從他們的設備上徹底移除。
2016年,Verify Apps的日均檢查次數從2015年的4.5億次增長到了7.5億次,有效降低了Android設備的PHA安裝率。
數據顯示,Google Play裏幾乎每種PHA的安裝量都降低了:
- 木馬應用的安裝量為0.016%,與2015年相比下降了51.5%;
- 惡意下載應用的安裝量為0.016%,與2015年相比下降了54.6%;
- 有後門程序的應用的安裝量為0.016%,與2015年相比下降了30.5%;
- 釣魚應用的安裝量為0.0018%,與2015年相比下降了73.4%;
- 截至2016年底,只從Google Play下載應用的設備只有0.05%存在PHA,相比2015年的0.15%大幅下降。
不過,儘管到2016年底的時候,只有0.71%的Android設備安裝了PHA,但是相比2015年初的0.5%,這個數據實際上是上漲了的。
提升Android Nougat安全性
去年,我們為Android Nougat推出了一系列的安全功能,並加強了Linux Kernel的安全性。
加密技術的改進:在Android Nougat中,我們使用了基於文件的加密技術,所有用户的資料都會使用唯一的祕鑰進行加密。例如,一個賬號的密碼不能解鎖另一個賬號下的數據。其實,2014年末的時候,已經有很多設備可以對用户數據進行加密,如今,80%運行Android Nougat的設備都啟用了這個功能。
全新的音頻、視頻防護:我們為提高Android設備對音頻和視頻文件的安全性做了大量工作,並重構了Android系統處理音頻和視頻媒體的方式。我們分離了Android系統中的媒體服務器和權限管理,最終將它們分為若干個部分和沙盒。現在不同的媒體部分將會被放到單獨的沙盒中,這樣即使是某個部分受到威脅,也不會自動獲得其他部分的權限,從而避免可能出現的安全問題。
為企業用户提供更多的安全功能:我們為企業用户提供了一系列的安全功能,包括 “Always On” VPN,防止用户的數據通過不安全的鏈接從工作手機傳送到私人設備。此外,我們還為企業工具增加了安全策略的透明度、流程記錄,並改進了WiFi認證的處理方式以及客户認證方式。
與各方合作,保證Android生態系統的安全
我們會與設備廠商、學術界以及其他各方之間的共享信息。2015年,在Stagefright漏洞被公佈之後,我們啟動了月度安全更新計劃,以幫助加速修復來自不同製造商的設備中的安全漏洞。這個計劃在2016年實現了大幅擴張:
- 2016年,超過200家制造商的7.35億多台設備都收到了平台安全更新;
- 2016年全年,我們針對運行Android 4.4.4 及以上版本的設備發佈了月度Android更新計劃,這佔到了全球活躍Android設備的86.3%。
截至2016年底,大約有一半的活躍Android設備在過去一年中並未收到平台安全更新。我們正在努力簡化安全更新過程,讓製造商更容易部署安全修補程序以及發佈A/B更新。
在研究方面,我們的Android Security Rewards(Android安全獎勵)項目發展迅速:2016年,我們向報告漏洞的研究人員支付了將近100萬美元的獎金。同時,我們還與安全公司密切合作。
雖然Google的Android系統在中國市場的佔有率達到了驚人的83.2%(2017年1月數據),但是對於國內的用户來説,這一切似乎關係不大。不過,雷鋒網此前曾報道,網易正在與Google談判,希望將Google Play引入中國市場。至少,我們還有一絲希望。
via. Google Blog,雷鋒網(公眾號:雷鋒網)編譯
*圖片來自網絡
雷鋒網版權文章,未經授權禁止轉載。詳情見轉載須知。
資料來源:雷鋒網
作者/編輯:周翔