资讯 政企安全
此为临时链接,仅用于文章预览,将在时失效

谷歌发布android系统年度安全报告,一半的设备一年都没收到安全更新 | 雷峰网-亚博电竞网

2017/03/23 19:26

2015年,网络安全机构zimperium的安全研究人员joshua drake披露了android系统有史以来最严重漏洞——stagefright。利用这个漏洞,只需简单的一条彩信,黑客就可能完全控制用户手机。据悉,这个漏洞波及了超过9.5亿台android手机。

stagefright漏洞引发了大众对android生态系统安全性的关注,谷歌随后开始尝试每个月都对android设备推送安全更新。

今天(3月23日),谷歌发布了android系统年度安全报告,全面回顾了2016年在安全方面的各项工作进展。

在月度安全更新方面,android安全部门主管adrian ludwig表示,谷歌通过与运营商和制造商的合作,将安全更新的等待时间从6~9个星期降低到了几天。而且谷歌还缩减了安全更新程序包的大小,并取消了每次更新都需要用户同意这一过程。

此外,google play里几乎每种pha(potentially harmful app,潜在有害应用)的安装量都降低了。2016年底,只从google play下载应用的设备只有0.05%存在pha,相比2015年的0.15%大幅下降。

不过,报告里透露的并不只有好消息。数据显示,截至2016年底,仍然有一半的活跃android设备在过去一年中并未收到平台安全更新。而且,2015年初只有0.5%的android设备安装了pha,但是到2016年底,这个数据上涨到了0.71%。

对于普通用户来说,想要确保手机的安全性,要记住的只有两点:

下文来自google blog,雷锋网对全文做了不改变原意的编译。

保护用户免受pha的威胁

pha会让用户的数据和设备面临风险。多年来,我们已经构建了一系列的系统来解决这些威胁,比如能够检测应用程序不安全行为的应用分析器,以及定期检查用户设备是否存在pha的verify apps。当这些系统检测到pha时,我们就会向用户发出警告,建议他们考虑是否确定要下载该app,甚至把app从他们的设备上彻底移除。

2016年,verify apps的日均检查次数从2015年的4.5亿次增长到了7.5亿次,有效降低了android设备的pha安装率。

数据显示,google play里几乎每种pha的安装量都降低了:

不过,尽管到2016年底的时候,只有0.71%的android设备安装了pha,但是相比2015年初的0.5%,这个数据实际上是上涨了的。

提升android nougat安全性

去年,我们为android nougat推出了一系列的安全功能,并加强了linux kernel的安全性。

加密技术的改进:在android nougat中,我们使用了基于文件的加密技术,所有用户的资料都会使用唯一的秘钥进行加密。例如,一个账号的密码不能解锁另一个账号下的数据。其实,2014年末的时候,已经有很多设备可以对用户数据进行加密,如今,80%运行android nougat的设备都启用了这个功能。

全新的音频、视频防护:我们为提高安卓设备对音频和视频文件的安全性做了大量工作,并重构了android系统处理音频和视频媒体的方式。我们分离了android系统中的媒体服务器和权限管理,最终将它们分为若干个部分和沙盒。现在不同的媒体部分将会被放到单独的沙盒中,这样即使是某个部分受到威胁,也不会自动获得其他部分的权限,从而避免可能出现的安全问题。

为企业用户提供更多的安全功能:我们为企业用户提供了一系列的安全功能,包括 “always on” vpn,防止用户的数据通过不安全的链接从工作手机传送到私人设备。此外,我们还为企业工具增加了安全策略的透明度、流程记录,并改进了wifi认证的处理方式以及客户认证方式。

与各方合作,保证android生态系统的安全

我们会与设备厂商、学术界以及其他各方之间的共享信息。2015年,在stagefright漏洞被公布之后,我们启动了月度安全更新计划,以帮助加速修复来自不同制造商的设备中的安全漏洞。这个计划在2016年实现了大幅扩张:

截至2016年底,大约有一半的活跃android设备在过去一年中并未收到平台安全更新。我们正在努力简化安全更新过程,让制造商更容易部署安全修补程序以及发布a/b更新。

在研究方面,我们的android security rewards(安卓安全奖励)项目发展迅速:2016年,我们向报告漏洞的研究人员支付了将近100万美元的奖金。同时,我们还与安全公司密切合作。

虽然谷歌的android系统在中国市场的占有率达到了惊人的83.2%(2017年1月数据),但是对于国内的用户来说,这一切似乎关系不大。不过,雷锋网此前曾报道,网易正在与谷歌谈判,希望将google play引入中国市场。至少,我们还有一丝希望。

via. ,雷锋网编译

*图片来自网络

【招聘】雷锋网坚持在人工智能、无人驾驶、vr/ar、fintech、未来医疗等领域第一时间提供海外科技动态与资讯。我们需要若干关注国际新闻、具有一定的科技新闻选题能力,翻译及写作能力优良的外翻编辑加入。 

简历投递至 wudexin@leiphone.com,工作地 北京。

长按图片保存图片,分享给好友或朋友圈

谷歌发布android系统年度安全报告,一半的设备一年都没收到安全更新

扫码查看文章
亚博电竞网

正在生成分享图...

取消
相关文章
网站地图