文章標籤:安全更新沒收設備報告安全年度系統Android發布谷歌

谷歌發布Android系統年度安全報告,一半的設備一年都沒收到安全更新

文章推薦指數: 80 %
投票人數:10人

2015年,網絡安全機構Zimperium的安全研究人員Joshua Drake披露了Android系統有史以來最嚴重漏洞——Stagefright。

利用這個漏洞,只需簡單的一條彩信,黑客就可能完全控制用戶手機。

據悉,這個漏洞波及了超過9.5億台Android手機。

Stagefright漏洞引發了大眾對Android生態系統安全性的關注,谷歌隨後開始嘗試每個月都對Android設備推送安全更新。

今天(3月23日),谷歌發布了Android系統年度安全報告,全面回顧了2016年在安全方面的各項工作進展。

在月度安全更新方面,Android安全部門主管Adrian Ludwig表示,谷歌通過與運營商和製造商的合作,將安全更新的等待時間從6~9個星期降低到了幾天。

而且谷歌還縮減了安全更新程序包的大小,並取消了每次更新都需要用戶同意這一過程。

此外,Google Play里幾乎每種PHA(Potentially Harmful App,潛在有害應用)的安裝量都降低了。

2016年底,只從Google Play下載應用的設備只有0.05%存在PHA,相比2015年的0.15%大幅下降。

不過,報告里透露的並不只有好消息。

數據顯示,截至2016年底,仍然有一半的活躍Android設備在過去一年中並未收到平台安全更新。

而且,2015年初只有0.5%的Android設備安裝了PHA,但是到2016年底,這個數據上漲到了0.71%。

對於普通用戶來說,想要確保手機的安全性,要記住的只有兩點:

  • 選擇會每月推送安全更新的Android手機;

  • 只從谷歌的Play Store應用商店中下載App。

下文來自Google Blog,雷鋒網對全文做了不改變原意的編譯。

保護用戶免受PHA的威脅

PHA會讓用戶的數據和設備面臨風險。

多年來,我們已經構建了一系列的系統來解決這些威脅,比如能夠檢測應用程式不安全行為的應用分析器,以及定期檢查用戶設備是否存在PHA的Verify Apps。

當這些系統檢測到PHA時,我們就會向用戶發出警告,建議他們考慮是否確定要下載該App,甚至把App從他們的設備上徹底移除。

2016年,Verify Apps的日均檢查次數從2015年的4.5億次增長到了7.5億次,有效降低了Android設備的PHA安裝率。

數據顯示,Google Play里幾乎每種PHA的安裝量都降低了:

  • 木馬應用的安裝量為0.016%,與2015年相比下降了51.5%;

  • 惡意下載應用的安裝量為0.016%,與2015年相比下降了54.6%;

  • 有後門程序的應用的安裝量為0.016%,與2015年相比下降了30.5%;

  • 釣魚應用的安裝量為0.0018%,與2015年相比下降了73.4%;

  • 截至2016年底,只從Google Play下載應用的設備只有0.05%存在PHA,相比2015年的0.15%大幅下降。

不過,儘管到2016年底的時候,只有0.71%的Android設備安裝了PHA,但是相比2015年初的0.5%,這個數據實際上是上漲了的。

提升Android Nougat安全性

去年,我們為Android Nougat推出了一系列的安全功能,並加強了Linux Kernel的安全性。

加密技術的改進:在Android Nougat中,我們使用了基於文件的加密技術,所有用戶的資料都會使用唯一的秘鑰進行加密。

例如,一個帳號的密碼不能解鎖另一個帳號下的數據。

其實,2014年末的時候,已經有很多設備可以對用戶數據進行加密,如今,80%運行Android Nougat的設備都啟用了這個功能。

全新的音頻、視頻防護:我們為提高安卓設備對音頻和視頻文件的安全性做了大量工作,並重構了Android系統處理音頻和視頻媒體的方式。

我們分離了Android系統中的媒體伺服器和權限管理,最終將它們分為若干個部分和沙盒。

現在不同的媒體部分將會被放到單獨的沙盒中,這樣即使是某個部分受到威脅,也不會自動獲得其他部分的權限,從而避免可能出現的安全問題。

為企業用戶提供更多的安全功能:我們為企業用戶提供了一系列的安全功能,包括 「Always On」 VPN,防止用戶的數據通過不安全的連結從工作手機傳送到私人設備。

此外,我們還為企業工具增加了安全策略的透明度、流程記錄,並改進了WiFi認證的處理方式以及客戶認證方式。

與各方合作,保證Android生態系統的安全

我們會與設備廠商、學術界以及其他各方之間的共享信息。

2015年,在Stagefright漏洞被公布之後,我們啟動了月度安全更新計劃,以幫助加速修復來自不同製造商的設備中的安全漏洞。

這個計劃在2016年實現了大幅擴張:

  • 2016年,超過200家製造商的7.35億多台設備都收到了平台安全更新;

  • 2016年全年,我們針對運行Android 4.4.4 及以上版本的設備發布了月度安卓更新計劃,這占到了全球活躍安卓設備的86.3%。

截至2016年底,大約有一半的活躍Android設備在過去一年中並未收到平台安全更新。

我們正在努力簡化安全更新過程,讓製造商更容易部署安全修補程序以及發布A/B更新。

在研究方面,我們的Android Security Rewards(安卓安全獎勵)項目發展迅速:2016年,我們向報告漏洞的研究人員支付了將近100萬美元的獎金。

同時,我們還與安全公司密切合作。

雖然谷歌的Android系統在中國市場的占有率達到了驚人的83.2%(2017年1月數據),但是對於國內的用戶來說,這一切似乎關係不大。

不過,雷鋒網此前曾報導,網易正在與谷歌談判,希望將Google Play引入中國市場。

至少,我們還有一絲希望。

via. Google Blog,雷鋒網編譯

*圖片來自網絡

請為這篇文章評分?

相關文章