张磊:下一代Android系统 安全只迈了一小步
作者系百度移动安全总经理张磊(点心移动CEO)
最近谷歌开完了2014年的Google I/O大会,发布了下一代操作系统Android L。Android L堪称谷歌历史上改变最大的版本,自Android系统诞生以来无论从设计逻辑、界面,还是支持设备等方面都进行了重大改变,尤其值得注意的是谷歌将Android的安全问题摆到了台面上,用Android L的安全功能改进正面回应了外界长久以来对安卓系统安全性的质疑。然而, Android系统长久以来安全“顽疾”真的就因此而消除了吗?
事实恐怕并非如此。
一、Android还远远弱于N年前Windows的安全能力
根据谷歌的介绍,AndroidL在安全方面最大的改进是可以通过GooglePlay推送安全补丁的形式,来修复漏洞,解决安全问题。AndroidL系统通过新增的安全功能,可以扫描所有应用的安全问题,哪怕应用不是来自谷歌的应用商店GooglePlay Store。而且AndroidL的安全补丁升级不再随系统发布,而是跟着GooglePlay推送给用户。众所周知,过去Android一直采用系统升级的方式来做安全更新。这更多是因为技术限制,Linux Kernel,硬件驱动,Android框架,应用这是Android的主要技术层次。Android L更进一步对系统的各个服务进行了分离,完善了通过GooglePlay Service来升级的体系。这样的做法可以加速系统缺陷和漏洞的修复速度,不必像之前的系统那样,很多东西都要等待新版本的ROM才能解决,这在一定程度上加强了系统的安全性,对于用户来说,谷歌的安全服务的确是进步了。
然而,Google对Android的拆解并不到位,甚至无法以更新某个文件的形式来做安全更新。要知道,在PC上,N年前Windows就已经可以完成这样的工作。同时,由于Android的碎片化,这项技术可能还很难全面应用。因此,这次的更新,也只是在这个方向上迈出了一小步,仅能做到有限的一些组件或者服务的更新。
另外,不得不提的是,GooglePlay在中国市场并不普及,国内都是本地应用商店的天下,中国用户能否享受到谷歌的新安全服务还得打个问号。首先,GooglePlay推送安全补丁的方式在中国仅限于特定机型和针对部分组件、服务,没有办法落地。在国外Android手机都带有Google Play的官方应用市场,并且系统中自带GooglePlay Service的底层服务。但是这些程序和服务在国内的安卓手机中均没有提供。因为安卓系统是开放的,手机厂商修改了安卓系统的源代码,将这部分功能去掉,嵌入了本地的APPs商店。由于这些程序和服务是系统的一部分,国内用户拿到被“阉割”过的手机之后无法自行安装这些内容,从而也就无法享受相应的服务。其次,谷歌并未将中国市场纳入其安卓体系,没有对中国境内机型进行服务的计划,也没有在中国大力推广GooglePlay,但是Android漏洞的修补方式大多是与手机机型相关的,需要针对机型定制补丁,没有合作的话,补丁制作和发布的流程几乎无法走通。
GooglePlay推送安全补丁的方式,其一是范围非常有限,仅限于特定机型和针对部分组件、服务;其二是国内没有办法落地。因此,在国内,安卓安全补丁可能会更多地由本地安全团队依托于第三方安全APP,来推送到用户。
二、Google工程师思维做系统安全在国内行不通
此外,隐私权限方面,安卓用户也可以像苹果FindMy iPhone一样远程锁定手机,在手机被盗或丢失时清空数据。例如“终止开关”的反盗功能。这一功能使机主在手机丢失或失窃后,可远程删除手机存储的信息并锁死手机,保护私人信息安全。其实Android在隐私权限的管理上,一直在做积极的尝试。比如从前几个版本就逐渐开放给工程师的权限管理应用,从技术上已经有办法做一些解决。但隐私权限的问题,是生态的问题。Android和iOS的差距在于,iOS对权限的管理,以及应用的审核,都十分严格,而Google对待生态的开放策略,造就了生态的繁荣,但同时也造成了隐私权限泛滥,安全问题严重的现状。同时,我们看到,这样的权限管理应用在易用性上非常差。移动时代的安全,并不仅仅是技术安全,用户对于新时代的安全产品,有着对良好用户体验的强烈追求。Google的权限管理,还停留在工程师思维,仅仅做出一个具备功能的版本。相比之下,国内的很多产品,如百度手机卫士权限管理,在易用性上下了很大功夫,用户也非常愿意使用。在隐私权限这点上,Google还有很长的路要走。
另外,在ROOT和系统破解方面。Google从前几个版本,就开启了SeLinux服务。这能极大程度上提高Android系统的安全性,Android L同样延续了这一优点。但另一方面,各黑客团队也加大了投入,力争最早攻破新系统,新手机。因此,从长期来讲,安全都是开放战场,都是拉锯战,也希望国内外安全团队不要放松警惕,持续产出,让用户可以更好的享受移动生活。
三、关于提升手机安全的几点建议
Android L此次的安全增强和以前一样,只是迈出了一小步,不能完全解决安卓平台的安全性问题。加上国内用户根本无法使用增强的补丁推送和隐私控制功能,可以说对中国用户来说AndroidL安全功能几乎等于失效的状态。究其原因,是安卓的过度开放带来了系统的碎片化,导致了安全的失控。而对于中国市场,更是因为GooglePlay的萎缩而作用有限,基本上依赖于手机厂商、安全公司的技术维护和用户的安全意识增强。
因此对于安卓平台的APP提供商来说,我建议:
第一, 要考虑用户客户端的安全。首先要尽可能的不把用户的数据存储在服务器上,在数据的传输过程,要加密。
第二, 创业者在服务器信息数据管理上,要培养专业的团队,或者同专业的数据管理企业以及安全公司来合作,加强对服务器的维护和管理
而对于普通安卓手机用户而言,我建议可以从以下方面入手保护自身手机的安全:
第一,为手机设置密码
第二,利用手机的安全功能
第三,从正规安卓市场下载手机应用和升级包
第四,建立关闭Wi-Fi自动连接功能,且不要随意链接免费Wi-Fi
第五,为手机安装百度手机卫士等正规的第三方安全软件
第六,经常为手机做数据同步备份
第七,减少手机中的本地分享
第八,警惕陌生的电话和信息,以及含有可疑链接的短信息
您可能也感兴趣:
官方微博/微信
每日头条、业界资讯、热点资讯、八卦爆料,全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与,TechWeb官方微博期待您的关注。
想在手机上看科技资讯和科技八卦吗?
想第一时间看独家爆料和深度报道吗?
请关注TechWeb官方微信公众帐号:
1.用手机扫左侧二维码;
2.在添加朋友里,搜索关注TechWeb。
为您推荐
中科曙光董事长收到证监会立案告知书
外媒揭露苹果手机回收商私自将报废手机销往中国
刘强东会亲自开播吗?
5499元起!华为Pura70系列先锋计划开售
iPhone 16 Pro影像规格曝光:超广角将升级至4800万像素
一季度全球智能手机出货近2.9亿部 小米传音出货量同比均有大增
花旗预计“每卖一台SU7亏6800元” 小米高管回应:信息偏差较大
苹果将允许用户和第三方维修商使用二手正品零部件维修iPhone
苹果市值一夜暴涨8113亿元 据称拟升级整个Mac产品线
更多
- OceanBase 4.3发布:打造PB级实时分析数据库 可实现秒级实时分析
- 延迟降低2倍!英特尔披露至强6处理器针对Meta Llama 3模型的推理性能
- 中科曙光董事长收到证监会立案告知书
- 外媒揭露苹果手机回收商私自将报废手机销往中国
- 润开鸿发布鸿蒙应用产品 蚂蚁数科mPaaS提供支持
- 2023年营收165亿元,三七互娱拟提升分红频次至一年四次
- “AI换脸”骗走2亿港元 专家支招如何防范
- 媲美GPT4的开源模型Llama 3怎么用?亚马逊云科技官方教程已上线
- 谷雨“龙井”奶茶外卖量涨5倍,茉莉奶白等多品牌联合饿了么上线“春日收官”新品
- 《热辣滚烫》获北影节“春节档特别荣誉” 出品人侯晓楠:海外票房已破700万美元
更多
- 消息称特斯拉下周将宣布在印度投资 最多30亿美元
- 特斯拉全球裁员不会影响墨西哥超级工厂建设 当地称正按计划推进
- Meta推出Llama 3大模型 在集成近25000块英伟达H100计算集群上训练
- 消息称苹果12.9英寸版iPad Air将采用mini-LED显示屏 在5月初推出
- 从5nm制程工艺来看 台积电3nm工艺或要明年才能成为最大营收来源
- 台积电一季度营收188.7亿美元 预计二季度会更高
- 分析师称iPhone 17 Plus屏幕将略小于iPhone 15 Plus和iPhone 16 Plus
- 苹果有意代工商在印尼建厂 CEO库克称将评估可行性
- SK海力士Q1营收有望超过12万亿韩元 营业利润重回万亿韩元之上
- 消息称苹果有意在印度生产iPhone摄像头部件 同当地厂商有过接触