Google發佈Android系統年度安全報告，一半的設備一年都沒收到安全更新精選

由雷鋒網於 24/03/2017 發表收藏文章

http://static.leiphone.com/uploads/new/article/740_740/201703/58d3a4f7ba9d8.png?imageMogr2/format/jpg/quality/90

圖片來源：static.leiphone.com

2015年，網絡安全機構Zimperium的安全研究人員Joshua Drake披露了Android系統有史以來最嚴重漏洞——Stagefright。利用這個漏洞，只需簡單的一條彩信，黑客就可能完全控制用户手機。據悉，這個漏洞波及了超過9.5億台Android手機。
Stagefright漏洞引發了大眾對Android生態系統安全性的關注，Google隨後開始嘗試每個月都對Android設備推送安全更新。

今天（3月23日），Google發佈了Android系統年度安全報告，全面回顧了2016年在安全方面的各項工作進展。

在月度安全更新方面，Android安全部門主管Adrian Ludwig表示，Google通過與運營商和製造商的合作，將安全更新的等待時間從6~9個星期降低到了幾天。而且Google還縮減了安全更新程序包的大小，並取消了每次更新都需要用户同意這一過程。

此外，Google Play裏幾乎每種PHA（Potentially Harmful App，潛在有害應用）的安裝量都降低了。2016年底，只從Google Play下載應用的設備只有0.05％存在PHA，相比2015年的0.15％大幅下降。
不過，報告裏透露的並不只有好消息。數據顯示，截至2016年底，仍然有一半的活躍Android設備在過去一年中並未收到平台安全更新。而且，2015年初只有0.5%的Android設備安裝了PHA，但是到2016年底，這個數據上漲到了0.71%。

對於普通用户來説，想要確保手機的安全性，要記住的只有兩點：

選擇會每月推送安全更新的Android手機；
只從Google的Play Store應用商店中下載App。

下文來自Google Blog，雷鋒網對全文做了不改變原意的編譯。

保護用户免受PHA的威脅
PHA會讓用户的數據和設備面臨風險。多年來，我們已經構建了一系列的系統來解決這些威脅，比如能夠檢測應用程序不安全行為的應用分析器，以及定期檢查用户設備是否存在PHA的Verify Apps。當這些系統檢測到PHA時，我們就會向用户發出警告，建議他們考慮是否確定要下載該App，甚至把App從他們的設備上徹底移除。

2016年，Verify Apps的日均檢查次數從2015年的4.5億次增長到了7.5億次，有效降低了Android設備的PHA安裝率。

數據顯示，Google Play裏幾乎每種PHA的安裝量都降低了：

木馬應用的安裝量為0.016％，與2015年相比下降了51.5％；
惡意下載應用的安裝量為0.016％，與2015年相比下降了54.6％；
有後門程序的應用的安裝量為0.016％，與2015年相比下降了30.5％；
釣魚應用的安裝量為0.0018％，與2015年相比下降了73.4％；
截至2016年底，只從Google Play下載應用的設備只有0.05％存在PHA，相比2015年的0.15％大幅下降。

不過，儘管到2016年底的時候，只有0.71%的Android設備安裝了PHA，但是相比2015年初的0.5%，這個數據實際上是上漲了的。

提升Android Nougat安全性

去年，我們為Android Nougat推出了一系列的安全功能，並加強了Linux Kernel的安全性。
加密技術的改進：在Android Nougat中，我們使用了基於文件的加密技術，所有用户的資料都會使用唯一的祕鑰進行加密。例如，一個賬號的密碼不能解鎖另一個賬號下的數據。其實，2014年末的時候，已經有很多設備可以對用户數據進行加密，如今，80%運行Android Nougat的設備都啟用了這個功能。

全新的音頻、視頻防護：我們為提高Android設備對音頻和視頻文件的安全性做了大量工作，並重構了Android系統處理音頻和視頻媒體的方式。我們分離了Android系統中的媒體服務器和權限管理，最終將它們分為若干個部分和沙盒。現在不同的媒體部分將會被放到單獨的沙盒中，這樣即使是某個部分受到威脅，也不會自動獲得其他部分的權限，從而避免可能出現的安全問題。

為企業用户提供更多的安全功能：我們為企業用户提供了一系列的安全功能，包括 “Always On” VPN，防止用户的數據通過不安全的鏈接從工作手機傳送到私人設備。此外，我們還為企業工具增加了安全策略的透明度、流程記錄，並改進了WiFi認證的處理方式以及客户認證方式。
與各方合作，保證Android生態系統的安全

我們會與設備廠商、學術界以及其他各方之間的共享信息。2015年，在Stagefright漏洞被公佈之後，我們啟動了月度安全更新計劃，以幫助加速修復來自不同製造商的設備中的安全漏洞。這個計劃在2016年實現了大幅擴張：

2016年，超過200家制造商的7.35億多台設備都收到了平台安全更新；
2016年全年，我們針對運行Android 4.4.4 及以上版本的設備發佈了月度Android更新計劃，這佔到了全球活躍Android設備的86.3%。

截至2016年底，大約有一半的活躍Android設備在過去一年中並未收到平台安全更新。我們正在努力簡化安全更新過程，讓製造商更容易部署安全修補程序以及發佈A/B更新。
在研究方面，我們的Android Security Rewards（Android安全獎勵）項目發展迅速：2016年，我們向報告漏洞的研究人員支付了將近100萬美元的獎金。同時，我們還與安全公司密切合作。

雖然Google的Android系統在中國市場的佔有率達到了驚人的83.2%（2017年1月數據），但是對於國內的用户來説，這一切似乎關係不大。不過，雷鋒網此前曾報道，網易正在與Google談判，希望將Google Play引入中國市場。至少，我們還有一絲希望。

via. Google Blog，雷鋒網(公眾號：雷鋒網)編譯

*圖片來自網絡

雷鋒網版權文章，未經授權禁止轉載。詳情見轉載須知。