关于 Android 安全的六个问题

标签: 前缀分类 访谈 Andrian Ludwig Google Google/Android | 发表时间:2015-02-13 14:56 | 作者:积木
出处:http://www.ifanr.com?utm_source=rss&utm_medium=rss&utm_campaign=

Security-breach

由于 Android 的开放性,安全问题一直是人们关注的焦点。每当安全公司爆出手机恶意软件,Android 用户都要提心吊胆一番。为此,你或许已经安装了杀毒软件,安装软件也开始小心谨慎了。不过,Android 安全问题真的非常严重吗?我们不妨看看权威人士的看法。近日, Androidcentral 网站邮件采访了 Android 首席安全工程师 Andrian Ludwig,提到了六个方面的问题。

Google 扮演了什么角色

在设计 Android 的时候,Google 加入了许多层的安全措施。从系统层面上,有应用沙盒、SELinux、ASLR(地址空间配置随机加载);从应用和服务上,有 Google Play、设备管理器、应用验证。同时,Google 也鼓励第三方提供安全方案。当 Google 了解到新型的潜在风险后,也会将其考虑到未来的计划中。Andrian Ludwig 认为,移动设备最紧迫的安全问题包括:设备被盗;网络层面的攻击;恶意的应用程度。在这些方面,Google 都采取了应对措施。

Google 有什么样的支持策略

对于潜在的安全风险,Google 提供了不同类型的支持:

  • 如果安全问题能够通过升级Google 应用( Chrome、Gmail、Google Play 等)解决。那么,所有版本的 Android 都能够得到应用更新。
  • Nexus 和 Google Play Editon 设备能够及时得到安全升级。
  • Google 向 AOSP(Android 开源项目)提供补丁,并且直接向 Android 厂商提供补丁(至少支持最新的两个大版本)。如果厂商要求向老版本提供安全补丁,Google 也会提供帮助。
  • Google 会向所有的 Android 设备提供安全服务 ,即使这些设备已经不被厂商支持。
  • Google 向应用开发者提供必要的信息和工具,帮助他们对抗安全风险。
  • Google 会与厂商分享安全方面的信息。同时在进行系统兼容性测试的时候,也会对潜在的安全问题进行测试。

用户可以使用什么工具

Android 向用户提供了一系列的控制选项,比如,用户可以看到应用权限、限定其行为。当用户不想看到某项通知,可以在通知中心长按,看看通知来自那个应用。然后,用户可以关闭通知或者卸载应用。

如果用户忽视了安全警告呢

在对付恶意应用方面,Google 提供了多层安全措施。首先,Google 应用中集成警告系统,比如,用户使用 Chrome 下载软件之前,就有可能得到警告说,这是一个有恶意软件的网站。然后,如果用户决定下载软件,安装阶段会再次得到警告。再次,即使应用被安装,在运行前也不会做任何事情,用户仍有机会卸载它。最后,应用验证服务会对恶意程序进行标记,并且定期提醒用户卸载它。

第三方安全软件有用吗

Google Play 的安全措施是非常 。如果用户选择 Google Play 以外的软件,最好打开应用验证的功能。2014 年,Google 从应用验证收集的数据中发现,美国地区,在 Android 设备中安装的 Google Play 外应用中,恶意应用不超过 0.15%。因此,用户安装第三方安全软件,并没有太大的意义。

第三方 ROM 是否安全

一般来说,第三方 ROM 都是基于 AOSP 的,因此,Google 的安全措施也适用于这些 ROM。它们都支持应用沙盒,使用 Google 应用,包括 Google 的安全服务。

图片来自 tweaktown

It is well that there are palaces of peace,and discipline and dreaming and desire.

#欢迎关注爱范儿认证微信公众号:AppSolution(微信号:appsolution),发现新酷精华应用。



爱范儿 · Beats of Bits | 原文链接 · 查看评论 · 新浪微博 · 微信订阅 · 加入爱范社区!


相关 [android 安全 问题] 推荐:

关于 Android 安全的六个问题

- - 爱范儿 · Beats of Bits
由于 Android 的开放性,安全问题一直是人们关注的焦点. 每当安全公司爆出手机恶意软件,Android 用户都要提心吊胆一番. 为此,你或许已经安装了杀毒软件,安装软件也开始小心谨慎了. 不过,Android 安全问题真的非常严重吗. 近日, Androidcentral 网站邮件采访了 Android 首席安全工程师 Andrian Ludwig,提到了六个方面的问题.

移动安全:android app proguard混淆配置与常见问题

- - Seay's blog 网络安全博客
Java代码编译成二进制class 文件,这个class 文件也可以反编译成源代码 ,除了注释外,原来的code 基本都可以看到. 为了防止重要code 被泄露,我们往往需要混淆(Obfuscation code , 也就是把方法,字段,包和类这些java 元素的名称改成无意义的名称,这样代码结构没有变化,还可以运行,但是想弄懂代码的架构却很难.

BizzTrust:用虚拟手机的方法解决 Android 的安全问题

- SotongDJ - 爱范儿 · Beats of Bits
一向以严谨著称的德国人,试图用“隔离”的方法来解决 Android 手机的安全隐患,这家名为 Fraunhofer  的公司,发布了 BizzTrust For Android 计划,并提出了“虚拟手机”的概念. “隔离”的概念由来已久,这与欧洲人非常注重自己的私人空间有关. 诺基亚 E71 的老用户应该还记得“工作”和“个人”的两套设置:不同的桌面主题,不同的铃声和快捷方式.

安全问题的本质

- - 博客园_新闻
注:一口气写完此文,然后上网搜了下相关新闻,发现阿里小微金融的风险官胡晓明已经做出正式回应. 最近在网上有篇关于支付宝安全的文章,讲的是如果手机丢失了以后,别人捡到手机,就可以通过手机登录支付宝帐号、取回密码、解绑数字证书,最后把钱从支付宝里给弄走. 有朋友发消息来向我求证这篇文章的真实性. 原本对于这种水文我是不太关注的,因为支付宝从始至终都不缺乏这种负面新闻.

MQTT协议 - 安全问题

- - ITeye博客
        物联网的核心是连接万物,通过交换并分析数据使得生活更舒适与便捷. 不过,敏感数据泄露或者设备被非法控制可不是闹着玩的. 比如前段时间国内某著名家电企业的智能洗衣机,使用了某著名电商基于XMPP协议的物联网平台,不费吹灰之力便被黑客攻破并远程遥控,给智能家居的发展带来了一些阴影. 究其本质,并不是物联网技术本身有缺陷,而是在物联网系统的设计中最基本的安全设计被工程师轻视了,才导致整个系统的崩塌.

Android操作系统安全

- - CSDN博客推荐文章
        Android在迅猛发展的同时,其安全问题一直没有引起足够的重视,但在2010年6月研究人员发布Android平台的KernelRootkit以来,Android平台的安全问题引来了越来越多的关注,而同时,Android平台的恶意软件也开始流行起来.        根据以上的Android系统架构分析,可以发现在三个层面可能存在恶意软件.

Android DEX安全攻防战

- - CSDN博客推荐文章
本文章由Jack_Jia编写,转载请注明出处. 文章链接: http://blog.csdn.net/jiazhijun/article/details/9428861. 作者:Jack_Jia    邮箱:  309zhijun@163.com.       英文原版: http://www.strazzere.com/papers/DexEducation-PracticingSafeDex.pdf.

ANDROID应用安全防御

- - 移动开发 - ITeye博客
Android应用的安全隐患包括三个方面:代码安全、数据安全和组件安全.   代码安全主要是指Android apk有被篡改、盗版等风险,产生代码安全的主要原因是apk很容易被反编译、重打包. 我们可以采用以下方法对apk进行保护:.   代码混淆可以在一定程度上增加apk逆向分析的难度. Android SDK从2.3开始就加入了ProGuard代码混淆功能,开发者只需进行简单的配置就可以实现对代码的混淆.

[原]Android HttpURLConnection Accept-Encoding: gzip 版本问题

- - bob007abc的专栏
Android 官方文档对 HttpURLConnection 的 Performance 的描述有一段:. 参见: http://developer.android.com/reference/java/net/HttpURLConnection.html. 就是说 使用HttpURLConnection发请求时,默认的request hearder里会加上 Accept-Encoding: gzip.