日前谷歌發(fā)布了第二份年度Android安全報(bào)告,報(bào)告涵蓋谷歌為提高其平臺(tái)安全性所做的改進(jìn),但同時(shí),補(bǔ)丁修復(fù)和升級(jí)的問(wèn)題依然存在。
根據(jù)該報(bào)告顯示,谷歌對(duì)內(nèi)置到Google Play服務(wù)的各種安全產(chǎn)品進(jìn)行了改進(jìn),Google Play是獨(dú)立于Android操作系統(tǒng)進(jìn)行更新的軟件套件,它涵蓋了大部分谷歌Android設(shè)備。
“截至2015年年底,超過(guò)10億設(shè)備由谷歌安全服務(wù)提供保護(hù),同時(shí),谷歌每天會(huì)對(duì)4億多設(shè)備進(jìn)行安全掃描,”谷歌稱(chēng),“這使得我們的安全服務(wù)成為世界上最廣泛部署和使用的端點(diǎn)保護(hù)服務(wù)。”
反惡意軟件公司Bitdefender的高級(jí)電子威脅分析師Liviu Arsene表示,這種說(shuō)法是有道理的,特別是考慮到,并非所有這些用戶會(huì)為他們的Android設(shè)備安裝或使用任何其他安全解決方案。
在過(guò)去一年中,谷歌比較重要的一個(gè)更新是在Verify Apps上,這個(gè)基于云的服務(wù)會(huì)在應(yīng)用安裝前檢查每個(gè)應(yīng)用,以確定其是否是潛在有害程序(PHA)。如果應(yīng)用被認(rèn)為是潛在的威脅,Verify Apps會(huì)在安裝時(shí)通知用戶;谷歌聲稱(chēng)他們對(duì)這個(gè)警告對(duì)話框做出了更改,有效減少了50%PHA的安裝。
“Verify Apps也可以刪除應(yīng)用,而無(wú)需用戶確認(rèn)刪除,”谷歌在Android安全報(bào)告中寫(xiě)道,“在2015年,我們改進(jìn)了Verify Apps,讓它可以刪除注冊(cè)為Device Administrators(設(shè)備管理員)的應(yīng)用。我們還向Verify Apps增加了一個(gè)功能,讓它可禁用在設(shè)備安全模型受攻擊后被安裝到系統(tǒng)分區(qū)的應(yīng)用。”
Black Duck Software公司安全戰(zhàn)略副總裁Mike Pittenger表示,Verify Apps可刪除注冊(cè)為設(shè)備管理員的應(yīng)用,這是非常重要的改進(jìn),因?yàn)橛脩敉ǔ2粫?huì)注意到這樣的威脅。
“用戶從朋友、網(wǎng)絡(luò)或通過(guò)廣告聽(tīng)說(shuō)一款應(yīng)用后,直接下載應(yīng)用,而不檢查其權(quán)限,要知道,應(yīng)用根本不需要管理或根級(jí)權(quán)限來(lái)訪問(wèn)用戶的設(shè)備,”Pittenger表示,“這種權(quán)限可讓?xiě)?yīng)用訪問(wèn)設(shè)備上幾乎所有數(shù)據(jù),并允許惡意攻擊者在用戶完全不知情的情況下控制設(shè)備,安裝PHA或其他惡意軟件。”
谷歌指出,Verify Apps能夠找到PHA是因?yàn)槠湎到y(tǒng)會(huì)對(duì)超過(guò)3500萬(wàn)Android應(yīng)用套件(APK)持續(xù)進(jìn)行自動(dòng)分析,這包括Google Play中發(fā)布的所有應(yīng)用的所有版本,以及Google Play中從未發(fā)布的數(shù)百萬(wàn)APK,每個(gè)APK都會(huì)被多次分析。
Arsene表示,這些掃描很重要,因?yàn)楸M管我們建議用戶不要從官網(wǎng)Google Play Store之外的地方安裝應(yīng)用,但在Android中在其他地方下載應(yīng)用相對(duì)容易;用戶通常會(huì)選擇這樣做,因?yàn)檫@讓他們可免費(fèi)安裝原本要付費(fèi)的游戲或工具。
“而且有些國(guó)家還會(huì)阻止谷歌及其所有服務(wù),這不可避免地催生了替代性應(yīng)用商店,”Arsene稱(chēng),“考慮到Android在智能手機(jī)操作系統(tǒng)市場(chǎng)中的份額,這意味著數(shù)百萬(wàn)用戶會(huì)安裝Google Play之外的應(yīng)用。”
谷歌表示,在他們掃描的3500萬(wàn)APK中,大約75%的APK沒(méi)有在活躍值,也就是零安裝率,另外10%目前只有不到5次安裝。
Arsene稱(chēng):“谷歌會(huì)掃描所有應(yīng)用,甚至包括沒(méi)有安裝的應(yīng)用,這表明他們對(duì)所有應(yīng)用都同樣地嚴(yán)格。但是,非常多應(yīng)用沒(méi)有被安裝也表明,很多應(yīng)用要么對(duì)用戶沒(méi)有吸引力,要么根本不能提供所期待的功能。”
盡管在亞洲和俄羅斯地區(qū)第三方應(yīng)用商店很普及,Android安全報(bào)告指出,平均而言,在2015年,不到0.5%的設(shè)備安裝有PHA,而僅從Google Play安裝應(yīng)用的設(shè)備平均不到0.15%。
另外,谷歌還改進(jìn)了SafetyNet,SafetyNet可抵御已成功安裝的應(yīng)用中的網(wǎng)絡(luò)和應(yīng)用威脅,還允許設(shè)備提供安全相關(guān)信息到谷歌基于云的服務(wù)中去。
“自2014年10月起,SafetyNet采用主動(dòng)網(wǎng)絡(luò)探測(cè)來(lái)發(fā)現(xiàn)系統(tǒng)證書(shū)存儲(chǔ)被操縱的情況,”Android安全報(bào)告稱(chēng),“在2015年,SafetyNet發(fā)現(xiàn),在每百萬(wàn)設(shè)備中只有不到兩臺(tái)設(shè)備安裝了本地證書(shū)以允許中間人網(wǎng)絡(luò)連接到谷歌服務(wù)。”
然而,盡管做出了這么多改進(jìn),谷歌承認(rèn),對(duì)于Android這么多樣化的平臺(tái),推送補(bǔ)丁和軟件更新仍然是一個(gè)挑戰(zhàn)。谷歌稱(chēng):“Android安全團(tuán)隊(duì)會(huì)定期向制造商提供Android 4.4.4及更高版本的安全補(bǔ)丁,讓他們可更新其設(shè)備;70.8%的Android設(shè)備都在使用我們提供了補(bǔ)丁的版本。”
谷歌此前估計(jì),世界上大約有14億活躍的Android設(shè)備,即使所有受支持的設(shè)備可獲得谷歌提供的補(bǔ)?。▽?zhuān)家稱(chēng)可能性不大),至少有4億設(shè)備沒(méi)有最新的補(bǔ)丁。
Arsene稱(chēng),雖然企業(yè)有移動(dòng)設(shè)備管理解決方案可在一定程度上減少未打補(bǔ)丁設(shè)備的風(fēng)險(xiǎn),但企業(yè)還應(yīng)使用安全技術(shù)來(lái)增強(qiáng)本地Android安全功能。
“攻擊者極有可能會(huì)使用漏洞利用,因?yàn)槭澜缟嫌谐^(guò)4億Android設(shè)備在運(yùn)行沒(méi)有安全支持的Android操作系統(tǒng),”Arsene稱(chēng),“我們這里談?wù)摰氖菄?yán)重漏洞,其中有些很容易被利用。”
Pittenger稱(chēng),現(xiàn)在越來(lái)越多的員工攜帶自己的設(shè)備到工作場(chǎng)所,這使得企業(yè)更難以發(fā)現(xiàn)網(wǎng)絡(luò)中所有有風(fēng)險(xiǎn)的設(shè)備。
“雖然Android安全性正在不斷提高,但我們知道,移動(dòng)設(shè)備對(duì)攻擊者來(lái)說(shuō)是極具吸引力的目標(biāo)。盡管谷歌正在部署靜態(tài)和動(dòng)態(tài)分析來(lái)發(fā)現(xiàn)安全問(wèn)題,但這些工具并不完美,安全研究人員仍在不斷發(fā)現(xiàn)安全漏洞。”