谷歌发布Android系统年度安全报告,一半的设备一年都没收到安全更新

谷歌发布Android系统年度安全报告,一半的设备一年都没收到安全更新

2015年,网络安全机构Zimperium的安全研究人员Joshua Drake披露了Android系统有史以来最严重漏洞——Stagefright。利用这个漏洞,只需简单的一条彩信,黑客就可能完全控制用户手机。据悉,这个漏洞波及了超过9.5亿台Android手机。

Stagefright漏洞引发了大众对Android生态系统安全性的关注,谷歌随后开始尝试每个月都对Android设备推送安全更新。

今天(3月23日),谷歌发布了Android系统年度安全报告,全面回顾了2016年在安全方面的各项工作进展。

在月度安全更新方面,Android安全部门主管Adrian Ludwig表示,谷歌通过与运营商和制造商的合作,将安全更新的等待时间从6~9个星期降低到了几天。而且谷歌还缩减了安全更新程序包的大小,并取消了每次更新都需要用户同意这一过程。

此外,Google Play里几乎每种PHA(Potentially Harmful App,潜在有害应用)的安装量都降低了。2016年底,只从Google Play下载应用的设备只有0.05%存在PHA,相比2015年的0.15%大幅下降。

不过,报告里透露的并不只有好消息。数据显示,截至2016年底,仍然有一半的活跃Android设备在过去一年中并未收到平台安全更新。而且,2015年初只有0.5%的Android设备安装了PHA,但是到2016年底,这个数据上涨到了0.71%。

对于普通用户来说,想要确保手机的安全性,要记住的只有两点:

  • 选择会每月推送安全更新的Android手机;

  • 只从谷歌的Play Store应用商店中下载App。

下文来自Google Blog,雷锋网(公众号:雷锋网)对全文做了不改变原意的编译。

保护用户免受PHA的威胁

PHA会让用户的数据和设备面临风险。多年来,我们已经构建了一系列的系统来解决这些威胁,比如能够检测应用程序不安全行为的应用分析器,以及定期检查用户设备是否存在PHA的Verify Apps。当这些系统检测到PHA时,我们就会向用户发出警告,建议他们考虑是否确定要下载该App,甚至把App从他们的设备上彻底移除。

2016年,Verify Apps的日均检查次数从2015年的4.5亿次增长到了7.5亿次,有效降低了Android设备的PHA安装率。

数据显示,Google Play里几乎每种PHA的安装量都降低了:

  • 木马应用的安装量为0.016%,与2015年相比下降了51.5%;

  • 恶意下载应用的安装量为0.016%,与2015年相比下降了54.6%;

  • 有后门程序的应用的安装量为0.016%,与2015年相比下降了30.5%;

  • 钓鱼应用的安装量为0.0018%,与2015年相比下降了73.4%;

  • 截至2016年底,只从Google Play下载应用的设备只有0.05%存在PHA,相比2015年的0.15%大幅下降。

不过,尽管到2016年底的时候,只有0.71%的Android设备安装了PHA,但是相比2015年初的0.5%,这个数据实际上是上涨了的。

提升Android Nougat安全性

去年,我们为Android Nougat推出了一系列的安全功能,并加强了Linux Kernel的安全性。

加密技术的改进:在Android Nougat中,我们使用了基于文件的加密技术,所有用户的资料都会使用唯一的秘钥进行加密。例如,一个账号的密码不能解锁另一个账号下的数据。其实,2014年末的时候,已经有很多设备可以对用户数据进行加密,如今,80%运行Android Nougat的设备都启用了这个功能。

全新的音频、视频防护:我们为提高安卓设备对音频和视频文件的安全性做了大量工作,并重构了Android系统处理音频和视频媒体的方式。我们分离了Android系统中的媒体服务器和权限管理,最终将它们分为若干个部分和沙盒。现在不同的媒体部分将会被放到单独的沙盒中,这样即使是某个部分受到威胁,也不会自动获得其他部分的权限,从而避免可能出现的安全问题。

为企业用户提供更多的安全功能:我们为企业用户提供了一系列的安全功能,包括 “Always On” VPN,防止用户的数据通过不安全的链接从工作手机传送到私人设备。此外,我们还为企业工具增加了安全策略的透明度、流程记录,并改进了WiFi认证的处理方式以及客户认证方式。

与各方合作,保证Android生态系统的安全

我们会与设备厂商、学术界以及其他各方之间的共享信息。2015年,在Stagefright漏洞被公布之后,我们启动了月度安全更新计划,以帮助加速修复来自不同制造商的设备中的安全漏洞。这个计划在2016年实现了大幅扩张:

  • 2016年,超过200家制造商的7.35亿多台设备都收到了平台安全更新;

  • 2016年全年,我们针对运行Android 4.4.4 及以上版本的设备发布了月度安卓更新计划,这占到了全球活跃安卓设备的86.3%。

截至2016年底,大约有一半的活跃Android设备在过去一年中并未收到平台安全更新。我们正在努力简化安全更新过程,让制造商更容易部署安全修补程序以及发布A/B更新。

在研究方面,我们的Android Security Rewards(安卓安全奖励)项目发展迅速:2016年,我们向报告漏洞的研究人员支付了将近100万美元的奖金。同时,我们还与安全公司密切合作。

虽然谷歌的Android系统在中国市场的占有率达到了惊人的83.2%(2017年1月数据),但是对于国内的用户来说,这一切似乎关系不大。不过,雷锋网此前曾报道,网易正在与谷歌谈判,希望将Google Play引入中国市场。至少,我们还有一丝希望。

via. Google Blog,雷锋网编译

*图片来自网络

【招聘】雷锋网坚持在人工智能、无人驾驶、VR/AR、Fintech、未来医疗等领域第一时间提供海外科技动态与资讯。我们需要若干关注国际新闻、具有一定的科技新闻选题能力,翻译及写作能力优良的外翻编辑加入。 

简历投递至 wudexin@leiphone.com,工作地 北京。

雷锋网版权文章,未经授权禁止转载。详情见。

原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/85032.html

(0)
上一篇 2021年8月12日 22:43
下一篇 2021年8月12日

相关推荐

发表回复

登录后才能评论