你的手机到底安不安全?看看Android和iOS是如何防御恶意应用的吧

标签: 前沿 Android iOS | 发表时间:2014-03-05 09:29 | 作者:cyzhou
出处:http://www.pingwest.com

001

在刚刚过去的世界移动通信大会上,Android负责人Sundar Pichai也出现在会场。 由于媒体上经常出现各类有关Android被恶意软件占领的新闻,所以和Android、iOS安全性相关的问题自然也被抛给了Sundar Pichai。作为Google高级副总裁,Pichai当然表示Android是相当安全的。而在这个问题的背后,Android和iOS到底是如何抵挡恶意软件的呢?

作为一个移动操作系统其安全性相关多个方面,但正如苹果在 iOS安全白皮书中所说的那样——应用程序已经是现代移动操作系统安全体系结构中最关键的要素之一,所以本文就从应用的层面来看一看Android和iOS的安全机制。

先来看Android,早在Google Play Store还被叫做Android Market的时候,Google就发布了一个代号为“ Bouncer”服务。Bouncer会自动扫描Android Market上已经存在的所有应用来分析他们是否包含潜在的安全威胁。通过构建在云端的模拟器,Bouncer可以模拟应用在Android设备上运行的状态进而找出隐藏的恶意行为。此外,Bouncer还会扫描开发者账户以防止恶意软件开发商再度向Google提交恶意应用。通过此举Google基本上已经可以保证Google Play Store上应用的安全性。

在系统层面, Android在4.2及以后的版本中增加了应用程序验证机制。当用户安装第三方渠道的应用时,该验证机制便会向Google的服务器发送验证信息来确认其安全性,如果返回的结果是否定的,那么系统便会阻止用户继续安装。为了丰富自己的数据库,除了Google Play Store外,Google还会扫描网络上各类APK文件。而且在接下来, Google还将升级应用验证机制,在升级后,应用验证机制将可以在后台运行以监测那些已经安装的应用是否有不轨行为。预计相关功能将会随着Google Play Services的下次更新悄悄推送给Android 2.3及以上版本的用户。通过此举Google也就让安装第三方渠道应用给用户带来的风险大大降低。

image03

在系统底层上,Android还故意限制了应用程序对一些API的调用,比如Android并不提供直接操纵SIM卡的API。当第三方应用调用相关地理位置、相机、蓝牙、短信等“受保护的API”时则需要得到用户另外的许可。在数据保护上,第三方应用只有通过Android系统权限检查之后才可以访问个人信息、敏感数据输入设备、设备元数据等相关信息。

再来看iOS,由于iOS用户获取应用的途径相对单一, 所以苹果可以从源头上来控制应用的安全性。而事实上,苹果也确实是这么做的。iOS系统要求所有可执行的代码都需要使用苹果颁发的证书进行签名,这当然也包括第三方的各类应用。应用开发商想获得苹果颁发的证书就必须到苹果那里注册加入iOS开发项目组。这样所有获得了证书并且有权利向App Store提交和发布应用的开发商都是事先通过了苹果验证的,苹果也很容易就可以辨别出每款应用背后对应的公司或个人信息。用苹果的话说,这样对那些恶意应用开发者来说就有了很好的威慑作用。

事实上,应用签名在Android上也是必须的。而之所以苹果能在这一环节上更好地控制应用的安全性是由于它可以要求所有的开发者都使用苹果的证书进行签名,这在Android上基本上是不可行的。Android上并没有一个“中央权威”来控制所有应用的签名,各运营商、OEM以及第三方市场都可以给应用签名。

在系统层面上,苹果一样做了诸多限制措施。 比如当一个第三方应用需要读取信息在应用本身之外时,它只能使用iOS系统提供的API来读取这些信息;需要后台处理能力的应用同样只能使用系统提供的API;而且由于整个OS分区被挂载为只读,所以API也不允许应用程序不断提升自己的权限来修改其他应用或者iOS系统本身。在保护应用内数据方面,iOS的软件开发工具包则提供了一整套API来帮助开发者提升数据的安全性。

此外,由于iOS系统硬件也都受苹果控制,所以苹果还使用了 ARM处理器的“禁止执行位”安全技术来防止应用程序做恶。

总结来看,虽然Google和苹果对各自系统的掌控能力不同,但双方都在自己可控的范围内为Android和iOS在系统接入层面、应用未到达设备端时以及应用已经在设备端运行时提供了防护措施。由于苹果可以控制硬件,所以iOS多了一层处理器层面的防护。不过Android是开源的,所以它可以从社区中汲取力量加强自己的安全性,而且 Google也确实这么做了。所以两者可以说是各有优势。

相对于iOS,Android的确把更多的选择权交给了用户让他们自行选择。这在某些时候确实会带来隐患,但Android的安全并没有媒体以及一些非独立的安全机构经常宣传的那样脆弱。所以如果你使用新的Android系统并且从正规渠道下载应用,那么下次再看到“99%的Android设备将受到病毒感染”这样的新闻时,并不需要惊慌,也没必要马上为安全厂商送去钞票了。

图片来自: ShutterstockAOSP

相关阅读:

     Android糟糕体验背后:Google的愿景和商业利益的深渊

     应用开发者:靠谱的渠道在哪儿?

     Google是怎样控制Android厂商的?

     追踪睡眠、定制旋转屏幕、重力锁屏:工具类App可以好用又好玩

相关 [手机 安全 看看] 推荐:

你的手机到底安不安全?看看Android和iOS是如何防御恶意应用的吧

- - PingWest中文网
在刚刚过去的世界移动通信大会上,Android负责人Sundar Pichai也出现在会场. 由于媒体上经常出现各类有关Android被恶意软件占领的新闻,所以和Android、iOS安全性相关的问题自然也被抛给了Sundar Pichai. 作为Google高级副总裁,Pichai当然表示Android是相当安全的.

手机数据传输安全分析

- - FreeBuf.COM | 关注黑客与极客
如今手机已经成了我们离不开的伙伴和知己,它了解我们的日常生活. 然而每一天在路上的时候,它都会收集我们的私密信息. 平时我们会用它拍照,在社交网络中分享我们的心情;我们也用它发送邮件、短信以及拨打电话. 所以,这些信息则让我们的智能手机成为黑客眼热的宝库. 最重要的是,我们中大多数人相信手机中的数据是绝对安全的.

来看看美国青少年是如何使用手机的

- - cnBeta.COM
最受中学生欢迎的社交网络、应用和网站是什么. 据市场研究公司Niche在7000多名中学生中进行的一项调查显示,用户最活跃的社交网络是Instagram,每日用户数量最多的是Facebook,使用最广泛的是YouTube. 然而每天使用率最高的应用或网站却是短信息. 中学生每天使用短信息的次数几乎是他们打电话的次数的3倍.

QQ安全我做主—手机令牌2.0设计分享

- nAODI - 腾讯CDC
  一款小小的工具软件,如何赢得  iPhone app store4星级+评价;Android 电子市场4.5星评价,让我与您一起分享手机令牌的设计过程.   手机令牌是通过6位动态密码保护QQ帐号、Q币和游戏装备等虚拟财产安全的手机软件. 手机令牌每30S更换一次动态密码,用户在敏感操作的时候验证动态密码,以此保障自己的帐号安全.

亚马逊CEO贝佐斯发明手机“安全气囊”

- Kenji Kee - 译言-每日精品译文推荐
来源Jeff Bezos Just Patented Airbags For The Bottom Of Your Cell Phone. 埃利斯·汉堡(Ellis Hamburger)    | 2011年8月12日,9:02 AM . 杰夫·贝佐斯(Jeff Bezos)是不是笨手笨脚的啊. 据Register(通过Geekwire)报导,他跟副总裁格雷格·哈特(Greg Heart)一起申请了一项专利,专利内容是可用于手机坠落时的微型安全气囊.

手机安全公司Lookout推出iPhone客户端

- SotongDJ - 36氪
随着智能手机日益普及,丢手机成为一种必然发生的小概率事件. 由于智能手机越来越智能,里面存储的信息越来越多、越重要,如何保证手机的信息安全是一个让人挠头的问题. 如果你的手机丢了,如何确定手机位置呢. 万一你使用的WiFi会记录你的网银密码呢. 和PC平台一样,移动平台上的数据安全也越来越受到人们的重视.

当心了,HTC多部手机存在重大安全隐患

- geek2live - 36氪
如果你正在使用的HTC手机的型号是EVO 3D, EVO 4G和Thunderbolt等,那你要小心了. 因为,HTC手机上普遍安装的Sense UI中的记录工具存在严重漏洞. 手机上的应用获取访问互联网的权限后,记录工具将同时允许这些应用访问其他数据,包括账户列表中的电子邮箱地址和同步状态、通讯录中的电话号码、存储的短信等隐私数据,以及处理器,内存和电池等硬件配置信息.

国行手机和国产应用软件安全隐患

- - Solidot
paopao 写道 "据官方数据,在网民上网设备中,手机使用率达83.4%,超越传统PC整体80.9%的使用率,移动终端已经成为一种重要的媒介. 然而国产手机的安全性能却令人堪忧. 国行版智能手机基本都经过深度改装,预装了很多国产APP,难以卸载. 国内流行范围广的许多应用软件都有被曝光过“流氓”特征,如腾讯QQ、搜狗输入法、360安全卫士等很多国内软件,都出现过窃取和上传用户信息及操作记录、扫描硬盘、留有后门等行为.

手机使用人群观察分析报告:看看你属于哪类手机人物?

- 没剑 - 互联网的那点事
本期主题-对号入座,看看你属于哪类手机人物. 各位好,《手机使用人群观察分析报告》第二季(以下简称“《报告》”)终于跟大家见面了. 从今年5月份开始,博主在上下班的路上留心观察周围使用手机的人群,到今天已经整整过去7个多月了. 在这7个月间,博主记录1-200号手机人物花了近5个月的时间(2010年5月-10月),而记录201-400号人物却只花费了2个月(2010年10月-12月),貌似博主的效率提高了不少,呵呵.

手机面临新的入侵方式,安全问题日益严重

- Wakey - 爱范儿 · Beats of Bits
我们每天使用的手机,面临越来越多的安全问题. 如今电脑安全专家们又找到了一种新的入侵手机的方式,这让使用 iOS 和 Android 系统的手机的安全问题变得更加令人头痛. 目前,手机的入侵手段所利用的大多是手机操作系统和软件其本身的漏洞. 比如欺骗某人访问一个存在恶意代码的网站,然后黑客们就可以利用手机浏览器的漏洞侵入手机内部.