centos 云计算 php nginx Firefox Android Python 程序员 开源 wordpress java linux 微软 apache mysql google 编程 shell Ubuntu Windows

Google發布2016 Android系統安全回顧

Google发布2016 Android系统安全回顾

今天,Google 發布了第三份 Android 安全年度回顧,全面回顧近一年 Google 是如何保護超過 14 億 Android 用戶及其信息安全的。 確保用戶安全是 Google 的目標在 2016 年,為實現保護用戶信息和設備安全的目標,Google 提升了對有害 App 的防範能力,為 Android 7.0 Nougat 增添了安全特性,與設備廠商、學者和 Android 生態系統中的其他成員緊密合作。

Google发布2016 Android系统安全回顾

查殺潛在有害 App

為防用戶的信息和設備受到“潛在有害 App”(Potentially Harmful Apps, PHA)的侵害,Google 一直在努力。長久以來 Google 都在追蹤和阻攔現有的潛在有害 App,並防範可能出現的新種類。

Google发布2016 Android系统安全回顾

幾年來,Google 建立了已系列的舉措來防範這些問題,如對 App 的不安全行為進行持續檢查的 App 分析系統,和主動對用戶的設備進行定期檢查的 Verify App。當潛在有害 App 被發現時,用戶會收到警報,提醒他們在下載此 App 前要三思,甚至把此 App 從設備上徹底移除。

Google 一直在持續監控這些威脅,並改進自身系統。在 2016 年,Verify Apps 進行的每日檢查從 2015 年的 4.5 億次增長到了 7.5 億次,降低了潛在有害 App 的安裝率。

為更好地保護用戶的設備(尤其是從其他眾多應用市場中下載 App 的設備),Google 還有很多工作要做。在未來的日子裏,Google 將為此采取更多的行動,使用戶無論選擇從哪裏下載和安裝 App,其設備都能夠得到更全面的保護。

提升 Android Nougat 安全性

去年,Google 在 Android Nougat 上推出了一系列全新的保護措施,也繼續加強了對於 Linux Kernel 的保護。

Google发布2016 Android系统安全回顾

加密技術改進:在 Android Nougat 中,Google 使用了基於文件的加密技術,以更好隔離並保護設備上的用戶和文件。每一份文件都會使用唯一的密鑰進行加密,例如,若同一設備上有著不同的賬號,那麽一個賬號的密碼就不能解鎖另一個賬號下的文件。用戶數據的加密從 2014 年末期就已可以在某些配置適宜的設備上使用,到現在已有超過 80% 的 Android Nougat 設備啟用了該功能。

全新的音頻、視頻防護:Google 對提高視頻和音頻媒體的安全性高度重視,重構了 Android 系統處理視頻和音頻媒體的方式。例如,現在不同的媒體組件將被放到單獨的沙盒中,這樣即便有組件受到威脅,它也不會獲得其他組件的權限,從而避免了可能出現的安全問題。

更多面向企業用戶的安全防護:Google 為企業用戶提供了一系列企業安全新特性,包括可以從設備開啟時就進行防護的“Always On”VPN。在面向企業的工具中,Google 還增加了安全策略,日誌記錄,經改進 Wi-Fi 認證處理方式,並對客戶認證進行了改進。

Google发布2016 Android系统安全回顾

通力協作確保 Android 生態系統的安全

Google、設備廠商、學界以及其他各方之間針對威脅安全的信息共享,讓用戶能更安全的使用 Android 系統。2016 年, Google 在安全合作方面最重要的合作是月度安全更新計劃以及與安全研究界的持續合作。

安全更新通常被認為是移動安全的支柱,事實也確是如此。2015 年,在 Stagefright 中的漏洞被公布之後,Google 啟動了安全更新計劃,以協助加速修復來自不同制造商的設備中的安全漏洞。這個計劃在 2016 年實現了大幅擴張:

2016 年, 超過 200 家制造商的超過 7.35 億部設備收到了平臺安全更新。
針對運行 Android 4.4.4 及以上版本的設備發布了月度 Android 安全更新,這占到了全球活躍 Android 設備的 86.3%。
Google 的運營商和硬件合作夥伴協助了這些更新的推廣。2016 年第 4 季度,全球使用量前 50 的設備中有半數以上的設備收到了更新。

Google发布2016 Android系统安全回顾

2016 年間, Google 針對所有支持 Pixel 和 Nexus 的設備提供每月安全更新。Google 也很高興看到合作夥伴在更新方面進行的投資。但是,在保護 Android 用戶方面依然任務艱巨:截止 2016 年底,大約有一半的活躍設備並未收到上一年度的平臺安全更新。 Google 正在努力通過精簡安全更新程序來適配更多設備,從而方便制造商配置安全補丁和發布 A/B 更新 (A/B updates),以便用戶更輕松地應用這些補丁。

在研究方面,Google 的“漏洞獎勵計劃”發展迅猛:2016 年,Google 向報告漏洞的研究人員支付了近 100 萬美元的獎金。與此同時,Google 與各大安全公司緊密合作,以識別並解決可能為用戶帶來風險的問題。

Google 感謝來自合作夥伴、外界研究人員以及 Google 內部團隊在整個安全領域方面的不懈堅持,和在 2016 年取得的可喜的成績。不過,保證用戶的安全需要 Google 的時刻警惕,Google 期待在 2017 和更遠的未來獲得新見解,取得新進展。

延伸阅读

评论