2015年,网络安全机构Zimperium的安全研究人员Joshua Drake披露了Android系统有史以来最严重漏洞——Stagefright。利用这个漏洞,只需简单的一条彩信,黑客就可能完全控制用户手机。据悉,这个漏洞波及了超过9.5亿台Android手机。
Stagefright漏洞引发了大众对Android生态系统安全性的关注,谷歌随后开始尝试每个月都对Android设备推送安全更新。
今天(3月23日),谷歌发布了Android系统年度安全报告,全面回顾了2016年在安全方面的各项工作进展。
在月度安全更新方面,Android安全部门主管Adrian Ludwig表示,谷歌通过与运营商和制造商的合作,将安全更新的等待时间从6~9个星期降低到了几天。而且谷歌还缩减了安全更新程序包的大小,并取消了每次更新都需要用户同意这一过程。
此外,Google Play里几乎每种PHA(Potentially Harmful App,潜在有害应用)的安装量都降低了。2016年底,只从Google Play下载应用的设备只有0.05%存在PHA,相比2015年的0.15%大幅下降。
不过,报告里透露的并不只有好消息。数据显示,截至2016年底,仍然有一半的活跃Android设备在过去一年中并未收到平台安全更新。而且,2015年初只有0.5%的Android设备安装了PHA,但是到2016年底,这个数据上涨到了0.71%。
对于普通用户来说,想要确保手机的安全性,要记住的只有两点:
选择会每月推送安全更新的Android手机;
只从谷歌的Play Store应用商店中下载App。
下文来自Google Blog,雷锋网对全文做了不改变原意的编译。
PHA会让用户的数据和设备面临风险。多年来,我们已经构建了一系列的系统来解决这些威胁,比如能够检测应用程序不安全行为的应用分析器,以及定期检查用户设备是否存在PHA的Verify Apps。当这些系统检测到PHA时,我们就会向用户发出警告,建议他们考虑是否确定要下载该App,甚至把App从他们的设备上彻底移除。
2016年,Verify Apps的日均检查次数从2015年的4.5亿次增长到了7.5亿次,有效降低了Android设备的PHA安装率。
数据显示,Google Play里几乎每种PHA的安装量都降低了:
木马应用的安装量为0.016%,与2015年相比下降了51.5%;
恶意下载应用的安装量为0.016%,与2015年相比下降了54.6%;
有后门程序的应用的安装量为0.016%,与2015年相比下降了30.5%;
钓鱼应用的安装量为0.0018%,与2015年相比下降了73.4%;
截至2016年底,只从Google Play下载应用的设备只有0.05%存在PHA,相比2015年的0.15%大幅下降。
不过,尽管到2016年底的时候,只有0.71%的Android设备安装了PHA,但是相比2015年初的0.5%,这个数据实际上是上涨了的。
去年,我们为Android Nougat推出了一系列的安全功能,并加强了Linux Kernel的安全性。
加密技术的改进:在Android Nougat中,我们使用了基于文件的加密技术,所有用户的资料都会使用唯一的秘钥进行加密。例如,一个账号的密码不能解锁另一个账号下的数据。其实,2014年末的时候,已经有很多设备可以对用户数据进行加密,如今,80%运行Android Nougat的设备都启用了这个功能。
全新的音频、视频防护:我们为提高安卓设备对音频和视频文件的安全性做了大量工作,并重构了Android系统处理音频和视频媒体的方式。我们分离了Android系统中的媒体服务器和权限管理,最终将它们分为若干个部分和沙盒。现在不同的媒体部分将会被放到单独的沙盒中,这样即使是某个部分受到威胁,也不会自动获得其他部分的权限,从而避免可能出现的安全问题。
为企业用户提供更多的安全功能:我们为企业用户提供了一系列的安全功能,包括 “Always On” VPN,防止用户的数据通过不安全的链接从工作手机传送到私人设备。此外,我们还为企业工具增加了安全策略的透明度、流程记录,并改进了WiFi认证的处理方式以及客户认证方式。
我们会与设备厂商、学术界以及其他各方之间的共享信息。2015年,在Stagefright漏洞被公布之后,我们启动了月度安全更新计划,以帮助加速修复来自不同制造商的设备中的安全漏洞。这个计划在2016年实现了大幅扩张:
2016年,超过200家制造商的7.35亿多台设备都收到了平台安全更新;
2016年全年,我们针对运行Android 4.4.4 及以上版本的设备发布了月度安卓更新计划,这占到了全球活跃安卓设备的86.3%。
截至2016年底,大约有一半的活跃Android设备在过去一年中并未收到平台安全更新。我们正在努力简化安全更新过程,让制造商更容易部署安全修补程序以及发布A/B更新。
在研究方面,我们的Android Security Rewards(安卓安全奖励)项目发展迅速:2016年,我们向报告漏洞的研究人员支付了将近100万美元的奖金。同时,我们还与安全公司密切合作。
虽然谷歌的Android系统在中国市场的占有率达到了惊人的83.2%(2017年1月数据),但是对于国内的用户来说,这一切似乎关系不大。不过,雷锋网此前曾报道,网易正在与谷歌谈判,希望将Google Play引入中国市场。至少,我们还有一丝希望。
via. Google Blog,雷锋网编译
*图片来自网络
【招聘】雷锋网坚持在人工智能、无人驾驶、VR/AR、Fintech、未来医疗等领域第一时间提供海外科技动态与资讯。我们需要若干关注国际新闻、具有一定的科技新闻选题能力,翻译及写作能力优良的外翻编辑加入。
简历投递至 wudexin@leiphone.com,工作地 北京。