Android安全性真相:危险被杀毒软件商夸大
据国外媒体报道,去年大部分时间,移动安全公司和Android反对者都在重复讲述一件事:由于恶意软件的快速进入,谷歌移动操作系统据说存在安全隐患。 然而,虽然如“Android恶意软件数量在7个月里增长了3325%”(Juniper Networks今年早些时候报道)等统计数据会吓到普通用
户,但Android用户对被感染可能的害怕程度应该有多大依然存在争议。
在Juniper的报告发布不久后,谷歌就表示,2011年下半年谷歌应用店Google Play的恶意应用程序数量下降了40%。尽管存在潜在危险,但移动平台现在已经是人们连接互联网的主要方式之一--因此,著名安全公司如赛门铁克和迈克 菲在从桌面转到智能手机上有着重大的财务利益,认识到他们的未来将在移动。迈克菲已向美国移动市场的真正力量:运营商求助。约一年前,迈克菲与 Sprint联合向该运营商的客户提供独家Android安全软件,费用为20美元-30美元/年。
但 现在迈克菲与美国最大运营商Verizon签订协议,提供移动安全组合软件--这两家公司现在都有告诉消费者移动恶意软件的威胁是真实存在的利益。在新闻 发布会上Verizon宣布了新的Android移动安全软件,该运营商毫无保留地表示:“很多(消费者)不知道智能手机与笔记本和台式机一样,很容易受到安全和隐私威胁”。这篇新闻稿可以帮助说服用户的父母或缺少科技头脑的朋友每月花1.99美元保护他们的手机,抵御迈克菲在其2012年第二季度“病毒威胁报告”中提到的1.3万个手机病毒。
今 年7月Verizon报告其9420万客户有一半在使用智能手机。虽然这些客户不是所有的人都在使用Android智能手机,但毫无疑问,如果每个人每月 支付1美元(如果客户也参与了Verizon设备全面保险计划)或1.99美元购买迈克菲的移动安全软件,那么这将是一个巨大的市场。虽然该服务的收入与 这家运营商上季度152亿美元的营收相比不足挂齿,但却是Verizon和迈克菲追求的非常重大的变化。
至 于谷歌对该局势的看法,在大的方面该公司拒绝讨论Android的安全性,在小的方面拒绝谈论Verizon和迈克菲的合作伙伴关系。不过,像 Verizon移动安全这种应用程序是谷歌所称的Android核心价值在于开放的结果。谷歌关注的是,Verizon和迈克菲有在Play店出售移动安 全产品--客户可以通过下载应用程序来对该软件是否有用进行投票。当然这也有例外,但且不管好坏,Play店通常被认为是比苹果或微软应用程序店限制更少的市场。
尽 管谷歌Play店可能比苹果应用店更开放,这并不意味着可以是无法无天的充满恶意软件的地方;毫无疑问,谷歌非常关注安全。去年2月谷歌推出了 Bouncer安全工具,自动扫描上传的任何应用程序中是否存在已知的恶意软件、病毒、木马等。此外,谷歌在虚拟环境中运行每个上传的应用程序,以检测隐 藏的不端行为。SecurityWeek执行主编迈克·列侬(Mike Lennon)称,这些安全措施使Android成为大多数用户相对安全的平台。
列 侬表示:“我们确实看到Android存在的威胁在上升,但从谷歌Play店下载的人,不太可能有问题,比如说,中国用户(存在危险)是因为使用了替代市 场,因为他们无法访问官方下载来源。”这让谷歌处于不幸的境地,必须防止Android出现的与日俱增的不安全名声,最大的问题在于谷歌无法控制的第三方 店。事实上西方市场大多数用户,这些地方有关Android恶意软件的报道非常公开,通常不会访问这些不安全店。
F- Secure的米克·海波宁(Mikko Hyppönen)同意这种观点。他通过电子邮件表示,普通Android用户不需要关心恶意软件,“特别是如果你不从替代市场安装Android应用程 序”。尽管如此,他依然认为“相比iPhone或Windows手机用户,Android用户有一些现实问题,因为前者根本不存在恶意软件问题”。
虽 然Bouncer在谷歌Play确实能拦截恶意软件,但并不是万无一失--7月初赛门铁克发现,有两个恶意程序在Play店获得了5万和10万次下载。赛 门铁克的研究人员认为,这些应用是将恶意代码分为多个部分远程发布,绕开了Bouncer。几周后安全公司Trustwave公开展示了Bouncer的 一些安全漏洞。不过这种感染是相对罕见的--列侬认为更多的用户应该关心他们的个人隐私而不是“真正的恶意软件”。
列 侬称:“对我来说,现在真正的威胁不是直接的网络犯罪,而是有可能遇到侵犯用户隐私的可疑程序。”他继续指出,谷歌将应用程序许可权限放在第一位的做法, 会让“用户提出这些应用程序能看到什么的疑问。例如,‘为什么这个游戏要访问我的整个地址簿?’当然,这需要用户停下来阅读过去大多数时候可能忽略的屏 幕,因为他们既不关心风险也不明白消息的意思。
很多时候,侵犯移动隐私并不是恶意而是 粗心大意的结果,举几周前丢失了100万个苹果唯一识别码(UDID)的Blue Toad为例,该公司几个月前就停止收集UDID,其CEO表示,他“不知道最终将导致什么样的影响”。最后发现,该公司似乎只是粗心--给那些设备ID 被泄露用户一些安慰。
至于Verizon和迈克菲的新产品有何价值,列侬和海波宁都认 为运营商支持的解决方案有些用处。列侬称:“我认为他们是在营销上玩一些手段,但在另一方面,这是无线运营商--我认为很多人至少会考虑这个选项。”海波 宁也认同这种看法,他称“外包安全给运营商对大多数用户来说是有意义的。极客们喜欢花时间保护系统,但大多数用户不会。终端用户信任运营商,而运营商在提 供安全上处于关键地位。”
列侬还提到,这些应用程序“能做很多事,不仅是扫描恶意软 件”。事实上,Verizon的移动安全高级组合软件还提供远程定位、锁定或删除丢失手机信息的能力--苹果通过Find My iPhone一直在提供这种能力,但奇怪的是,谷歌Android还未提供。事实上,有人会说光这些远程管理工具本身就值2美元/月--当然前提是好用。 对很多用户来说,反恶意软件工具可能是第二位的。
不过,尽管迈克菲和Verizon的 新闻稿用词比较硬,但Android平台仍然是相对安全的,能确保大多数用户在Play店下载应用程序。虽然用户可能会遇到麻烦,但这种可能存在于所有计 算平台--无论是移动还是其他平台。
那些探索性的替代市场和侧载应用程序有望有足够智慧理解所冒的风险。安装程序的人必须小心:侧载应用程序应该注意安全 公司的警告,确保他们安装的东西不会麻烦比价值还大。而Verizon客户也要考虑,他们支付1.99美元/月是否能真的获得安全。