趨勢科技全球安全研究副總裁 Rik Ferguson
有兩個和Google Android作業系統有關的消息吸引了我的注意。首先是Android的安全主管Adrian Ludwig在柏林Virus Bulletin大會上所做的簡報,標題是「Android – 從無到有實作安全」。第二個就是Eric Schmidt親自加入論戰,並且宣稱Android比其主要競爭對手Apple iOS還「更加安全」。把它想成這只是句場面話來爭取支持也就可以接受了。
讓我們來看看Adrian Ludwig在柏林VB大會上的演說內容。Adrian拿出Google所擁有的Android設備安裝應用程式的大量資料,來說明只有0.001%的應用程式可以穿過Android所提供的「多層次安全防護」,有辦法實際去危害到使用者。對於一個如此應用廣泛又被犯罪份子所針對的作業系統來說,這實在是個令人印象深刻的說法。根據其演說內容,這幾層的安全防護是:Google Play,來源不明警告,安裝確認,驗證同意應用程式,驗證應用程式警告,執行分析和每個應用程式都必須運作於其中的基於權限沙箱技術。如果我對這些演講稿理解正確的話,以使用者的說法,這就等於是:Google Play,對話框,對話框,驗證應用程式,對話框,執行分析和對話框。
雖然Google的應用程式驗證技術有很大的突破,特別是現在已經和作業系統本身脫鉤,還是有許多惡意應用程式出現在Google Play上。事實上,根據最新資料( 2013年10月12日 ),有超過46 %被趨勢科技列為「惡意」(姑且不算入高風險)的應用程式直接來自Google Play。至於說到來源不明警告,安裝確認對話框以及權限/沙箱警告,我們可以這樣說,不僅應用程式開發人員常設計出過多的請求動作,使用者也很少會真的看要求的內容,甚至不會去了解他們授予權限所帶來的潛在影響。如果可以取得權限,那又有誰需要漏洞攻擊碼呢?有關應用程式授權問題只會要求一次,之後沒辦法再隨時的撤銷。不是全有就是全無,應用程式開發人員也都待在自己的世界裡,所以還是照著傳統電腦世界裡的「下一步、下一步、下一步」作法。