Google 一直致力于为 Android 的用户及开发者提供安全的系统环境。今天,Google 连续第二年发布《2015 Android 系统年度安全报告》,详细介绍了过去一年中为构建更加安全的 Android 生态系统而做出的努力。
这一报告旨在通过介绍“Google 正在做什么”和“Google 在 Android 生态系统中注意到的趋势”等,让用户清晰地了解 Android 的安全情况。Google 相信,严谨且基于数据的安全问题讨论有助于构建更加安全的 Android 生态系统。
提升 Google 服务来保护 Android 用户
去年,Google 已经显著改善了机器学习和事件关联 (event correlation)技术以探测潜在的有害行为。
- 通过每天检查超过60亿个已安装的应用程序,保护用户免受恶意软件以及其他潜在有害应用程序(PHA)的攻击。
- 通过每天为4亿部设备提供安全服务,使用户远离网络与移动设备上的威胁。
- 通过 安全浏览(Safe Browsing) 屏蔽危险网站,为数以亿计的 Android Chrome 用户提供保护。
同时,Google 也致力于阻止潜在有害应用程序(PHA)出现在 Google Play 中。相比2014年, 通过 Google Play 安装 PHA 的可能性降低了40%以上。在 Google Play 中,安装数量减少最为显著的 PHA 种类包括:
- 数据收集类——安装比例下降了40%以上,下降至0.08%。
- 间谍软件类——安装比例下将了60%,下降至0.02%。
- 恶意下载程序类——安装比例下降了50%,下降至0.01%。
2015年,在仅通过 Google Play 安装应用的设备中,PHA 的占比不到 0.15%。而在通过 Google Play 和其他渠道下载应用的移动设备中,大约有 0.5% 的设备中装有 PHA。此数据与去年报告中呈现的数据相同。
值得一提的是,除了保护通过 Google Play 下载应用的用户,Google 还通过验证应用服务(Verify Apps service)保护那些不通过 Google Play 下载应用的用户。同时,Google 也通过验证应用 (Verify Apps)将PHA警告的有效性提高了50%以上。2015年,在 Google Play 以外的平台中,PHA 的尝试安装量呈上升趋势。对此,Google 中断了Google Play 平台以外的那些在 Android 设备中安装 PHA 的尝试。
Android 平台的新安全特性
去年,Google 推出 Android 6.0 Marshmallow,其中包括多种最新安全保护与控制功能:
- 全磁盘加密现已成为那些具备充足硬件性能的新 Marshmallow 设备的必备,并已扩展至SD卡数据加密。
- 更新的应用许可功能帮助用户更精确地管理那些特定应用间共享的数据。
- 新启动验证功能 (New verified boot)可以为用户的手机提供全面防护,使不论是引导加载程序 ( bootloader )还是操作系统,均可保持健康状态。
- Android 安全补丁级别 (Android security patch level) 可以帮助用户检查并确保其设备已安装了最新安全更新。
- 此外还包括支持指纹扫描和 SELinux 的改进。
Android 生态系统的深度融合
Google 致力于 Android 安全研究并通过长期不断地投入来加强整个 Android 生态系统的保护。
去年六月,Android 加入 Google “漏洞奖励计划” (Google’s Vulnerability Rewards Program)——安全研究人员在找到安全漏洞并向 Google 报告之后,可获得奖励。通过这种方式,Google 修复了100余个安全漏洞,并为发现漏洞的研究人员支付超过20万美元奖金。
去年八月,Google 为 Android 开源项目推出 ”月度公共安全更新计划“ (monthly public security update program),并为 Nexus 设备建立了安全更新周期。Google 希望基于Nexus 设备所建立的安全更新周期可以为所有 Android 设备生产商提供参考和借鉴。同时,Google 也在积极地与 Android 生态系统中的伙伴们合作来共同促成相似的程序。从那时起,生产商们每月会为数百种型号的 Android 设备提供安全更新。数以亿计的用户已经在设备上安装了每月安全更新。尽管进展明显,但是仍有许多 Android 设备接收不到每月的更新。为此,Google 也正在努力为合作伙伴们提供支持,让他们可以及时处理那些更新需求。
更高的透明度、更全面的安全讨论和持续的创新保障了 Android 用户的安全。Google 将会继续努力来加强 Android 系统的保护。同时,Google 也希望在2016年继续致力于Android 生态系统和安全社区的发展。