Android设备不安全？专家称就看你更不更新

虽然谷歌为提升Android安全性做了许多工作，但其安全性能仍然不能令人满意，一个重要原因是Android设备不能及时安装更新包。

据Digital Trends 网站报道，Android是世界上用户比较多的移动平台，每天有逾14亿人使用Android智能手机或平板电脑。Android是开放源代码软件，供设备厂商免费使用，是它吸引如此多用户使用的一个重要原因。但开放性是一把双刃剑：它带来的一个后果是，许多Android手机没有定期更新比较新的安全补丁。

过去数年，恶意件幽灵一直笼罩着Android，研究人员在其中发现一些名头非常大的安全缺陷，例如Stagefright。频频出现的负面新闻，使得人们很难全面、客观地对待Android安全性。上周有媒体披露了FalseGuide恶意件，称它可能影响多达180万名Android用户。

如果只看媒体报道，人们担忧Android安全性情有可原。但是，有关Android安全性的媒体报道哪些是夸大其词，哪些是客观真实的？Android平台真的不安全吗？

谷歌Android团队主管艾德里安路德维格(Adrian Ludwig)，在比较近一次采访中向Digital Trends表示，“不是这样，Android并非不安全。我认为馒头存在认知方面的问题，馒头的认识不同于实际的用户危险。馒头一直在开发的加密技术、沙盒技术，以及提高黑客利用安全缺陷兴风作浪难度的其他技术，完美地共同发挥作用。”

毋庸置疑的是，比较新版本的Android，比之前的版本更安全，但问题是许多Android用户从未感受到这一点。早在2016年，谷歌Android安全团队在一篇博文中证实，截至2016年年底，约半数在用Android设备，在至少12个月内没有安装过更新包。

反病毒软件评估机构AV-Test首席执行官马伊克莫根斯特恩(Maik Morgenstern)向Digital Trends表示，“谷歌比较新版本Android可以被认为是安全的。但是，尤其在许多旧版Android中，越来越多缺陷被发现，许多设备厂商不为它们的设备发布更新包。目前，旧版Android中被发现逾800个安全缺陷。”

截至4月份的官方Android版本资料显示，只有4.9%的Android设备运行比较新版本Android操作系统Nougat 7.0或7.1，这是一个令人失望的数据。Android 6.0 Marshmallow在Android设备中的占比为31.2%，Android 5.0或5.1占比为31%，五分之一的Android设备仍然运行Android 4.4 KitKat。在运行旧版操作系统的Android设备中，大多数永远不大可能得到更新。

以色列移动安全公司Zimperium平台研究和利用部门副总裁约书亚德拉克(Joshua J. Drake)向Digital Trends表示，“84%的手机没有得到更新，这意味着大多数移动设备仍然面临受到攻击的风险。”

德拉克2015年发现了Stagefright缺陷。据当时的媒体报道称，Stagefright缺陷使黑客可能通过潜伏在音频或视频文件中的恶意代码控制Android设备，高达95%的设备受到它的影响。德拉克向Digital Trends表示，目前只有不到1%的Android设备受Stagefright缺陷影响。

虽然潜在的危害令人恐惧，只是目前尚不清楚Stagefright缺陷给Android用户造成的实际危害。路德维格说，“馒头发现它快2年了，但尚不知道有用户真正因它受到了攻击。”

但德拉克不同意这种说法， “馒头知道已经存在利用libstagefright和mediaserver中缺陷的针对性攻击。馒头知道，要证明普遍的危害很困难，馒头尊重谷歌为提高其平台安全性所做的努力。但是，由于设备上没有相应传感器，没有人可以了解设备的风险或威胁状态尤其是移动设备。”

Digital Trends表示，问题在于，用户要判断自己的设备是否受到攻击并非易事。在Stagefright 缺陷被发现后。Zimperium成立了“Zimperium手机联盟”，增进研究人员、移动运营商、移动应用开发者和设备厂商之间的交流。

德拉克说，“研究人员需要研究每个月的安全更新包，尝试利用这些缺陷，以促进更好地修正缺陷，提高整个移动领域的安全性。”

谷歌已经采取一些重要措施来降低安全风险，按月发布更新包。但旧版本Android被遗忘了。

要解决Android碎片化问题并非易事。对于谷歌来说，说服移动运营商和制造商更新它们的Android设备一直很困难。而这正好给了对手机会，在2014年的全球开发者大会上，苹果首席执行官蒂姆库克(Tim Cook)提到ZDNet上的一篇文章《Android碎片化使设备成为漏洞地狱》。但iOS的安全性真的更好吗？如果更安全，原因何在？

德拉克表示，“一直以来人们都有这种印象：iOS安全性优于Android，但事实可能未必如此。”

因为Android是开放源代码软件，安全研究人员更容易发现其中的缺陷和建议厂商开发补丁软件。德拉克说，iOS的封闭特性，使得研究人员很难发现它内部的“奥秘”。莫根施特恩同意这种说法，但提到两者之间的一个重要差别使得恶意件对Android威胁更大。

莫根施特恩解释说，“Android用户可以轻而易举地安装任何来源的应用，这使得恶意应用可以很容易感染硬件。其他平台在这方面要严格得多，只允许用户安装来自其封闭的应用商店的应用。”

Android是一大攻击目标。拥有如此众多的用户和开放源代码特性，使得Android成为对网络犯罪分子有吸引力的目标。AV-Test每天收集至多3万个新Android恶意件样本，这是一个可怕的数据，但是，关心安全的Android用户可以采取一些措施例如坚持通过Google Play安装应用、及时安装更新包和安装第三方Android安全应用，大幅降低受到攻击的风险。

德拉克和莫根施特恩还警告用户不要连接未知网络和WiFi热点，至少是在没有使用合适的Android VPN(虚拟专用网)应用的情况下。

德拉克解释说，“馒头的数据显示，大多数攻击具有网络化性质，它们不会区分iOS、Android和其他平台。一旦黑客悄悄地拦截并重定向设备网络流量，设备就可能受到侵入性监视。”

Digital Trends 称，Android安全性在不断提升，原因包括更快的更新包发布、设备加密、授权请求、使应用相互隔离的应用沙盒、有限制的资源访问、Play Store自动对恶意件进行扫描。但很显然，Android安全性还有提升空间。

在被问到第三方研究的重要性时，路德维格说，“去年馒头向研究人员支付了约100万美元(约合人民币690万元)。”虽然谷歌有自己的研究项目，德拉格感觉需要更多类似研究项目。

他说，“要提高Android整体安全性，谷歌与安全厂商进行更密切合作是必要的。苹果和其他厂商扩大了它们的合作项目，但谷歌缩小了合作项目。谷歌的逻辑是，它们可以自行完成所有工作，但令人遗憾的是，这会给用户带来损害，而对黑客有利。”

比较终，Android安全问题可能与用户使用的设备有关。如果用户使用2、3年前购买的手机、运行旧版Android，而且数月来没有得到更新，用户就需要关注设备安全性了。相比之下，谷歌Pixel手机用户能及时收到比较新安全更新包，至少是购买手机后的未来2年内。

很难说大多数Android设备何时能用上Nougat或之后的Android版本，部分设备厂商和运营商发布更新包慢半拍将继续是个问题。

莫根施特恩说，“除非所有设备都及时安装更新包，用户仍然会面临危险。”