從 Android 安全主管 Adrian Ludwig 在柏林 Virus Bulletin 大會的簡報談起

趨勢科技全球安全研究副總裁 Rik Ferguson

有兩個和Google Android作業系統有關的消息吸引了我的注意。首先是Android的安全主管Adrian Ludwig在柏林Virus Bulletin大會上所做的簡報,標題是「Android – 從無到有實作安全」。第二個就是Eric Schmidt親自加入論戰,並且宣稱Android比其主要競爭對手Apple iOS還「更加安全」。把它想成這只是句場面話來爭取支持也就可以接受了。

讓我們來看看Adrian Ludwig在柏林VB大會上的演說內容。Adrian拿出Google所擁有的Android設備安裝應用程式的大量資料,來說明只有0.001%的應用程式可以穿過Android所提供的「多層次安全防護」,有辦法實際去危害到使用者。對於一個如此應用廣泛又被犯罪份子所針對的作業系統來說,這實在是個令人印象深刻的說法。根據其演說內容,這幾層的安全防護是:Google Play,來源不明警告,安裝確認,驗證同意應用程式,驗證應用程式警告,執行分析和每個應用程式都必須運作於其中的基於權限沙箱技術。如果我對這些演講稿理解正確的話,以使用者的說法,這就等於是:Google Play,對話框,對話框,驗證應用程式,對話框,執行分析和對話框。

雖然Google的應用程式驗證技術有很大的突破,特別是現在已經和作業系統本身脫鉤,還是有許多惡意應用程式出現在Google Play上。事實上,根據最新資料( 2013年10月12日 ),有超過46 %被趨勢科技列為「惡意」(姑且不算入高風險)的應用程式直接來自Google Play。至於說到來源不明警告,安裝確認對話框以及權限/沙箱警告,我們可以這樣說,不僅應用程式開發人員常設計出過多的請求動作,使用者也很少會真的看要求的內容,甚至不會去了解他們授予權限所帶來的潛在影響。如果可以取得權限,那又有誰需要漏洞攻擊碼呢?有關應用程式授權問題只會要求一次,之後沒辦法再隨時的撤銷。不是全有就是全無,應用程式開發人員也都待在自己的世界裡,所以還是照著傳統電腦世界裡的「下一步、下一步、下一步」作法。

除了大部分的安全層都是用對話框的方式將決定權交給使用者這件事之外,還有另一個潛在的問題。我找不到任何資料關於Google到底認為有多少應用程式是惡意的,或是有多主動廣泛地去收集這些應用程式。如果你的惡意和高風險應用程式的資料庫很有限,那當然你發現到的惡意應用程式安裝數量也會比較低。我並不是說Google沒有一個在這方面可靠的應用程式資料庫,因為我不會知道。我想說的是,展示惡意應用程式數量的圖表,卻沒有介紹惡意程式資料庫的運作方式,會讓人有種在現實世界裡的惡意應用程式並沒有很嚴重的錯覺。

 

我的確很想看到來自Google的統計數據。趨勢科技至今已經分析了370萬個Android應用程式和更新,這數字每天都在成長,其中有18%已經被列為惡意,另外有13%列為高風險。正如我之前所提過的,徹頭撤尾的惡意應用程式中,有超過46%是來自Google Play。

 

如果你不知道你要找什麼,那你看不到也就毫不奇怪了,下面的認知測試可以充分說明這件事。

http://www.youtube.com/watch?feature=player_embedded&v=Ahg6qcgoay4

 

至於Eric Schmidt在Gartner研討會所說的那段話,我要用Charlie Miller所說的最後一段話來回應…

 

「身為曾經在兩個平台上都寫過漏洞攻擊碼的人,我會說「不」」

 

@原文出處:The Bugs Don’t Work, apparently!

 

還不是趨勢科技粉絲嗎?想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚加入粉絲,各種粉絲專屬驚奇好禮,不定期放送中

 

 

 

 

免費下載 防毒軟體 PC-cillin 試用版下載

PC-cillin 2013雲端版跨平台同時支援Win、Mac及Android手機與平板,立即下載
◎即刻加入趨勢科技社群網站,精彩不漏網