快捷搜索:

Android 安全更新的发展与沿革

作者: 技术支持  发布:2019-12-17

原标题:Android 安全更新的发展与沿革

二十六个字母都数到P了,然而Android生态的安全依然是一个让人堪忧的状况,而最近,这个情况更是集中爆发。

作者: Dave Kleidermacher, 副总裁兼 Android、 Chrome OS 及 Play 安全部门负责人

在今年的Google I/O大会上,Android平台安全负责人David Kleidermacher在推销Project Treble时透露,Google将把安全补丁更新纳入OEM协议当中,以此让更多的设备,更多的用户获得定期的安全补丁。

百乐门棋牌 1

这是一个积极的行为,但细究下就并不值得表扬了,因为之所以提出这一方案全因之前被人揭了短。

此前,我们在 Google I/O 2018 开发者大会上举办了一场名为《Android 安全新亮点》的主题演讲,简要介绍了谷歌在 Android 安全更新方面的最新工作进展。 Android 9 Pie 现已正式发布,借此机会,我们希望给大家呈现一份更加详尽的安全更新报告,内容主要涉及以下三个话题:

就在今年四月,Security安全研究实验室在测试了1200台不同品牌、不同渠道的手机后表示,安全补丁的安装状况并不尽人意,有些厂商甚至至少漏掉了4个月的安全补丁。

  • 设备厂商最佳实践指南
  • Google 如何简化 Android 更新流程
  • Google 如何保障 Android 安全更新的合规性

而就在这份报告发布前一个月,Kleidermacher在接受CNET的采访中刚说完“Android现在和竞争对手一样安全”。

>>《Android 安全新亮点》

友军

https://events.google.com/io/schedule/?sid=fac1fbb5-85e4-448e-ad4a-4f1d34a41a25

用过Google Pixel的人都会注意到,Google每个月都有一次安全推送的,而且不管你是否想要更新,其实这个安全补丁Google并不仅仅推送给自家手机。

Android 安全更新方面的最佳商业实践

对于安全问题,Google现在会在每个月的第一个周一发布一份安全补丁公告,公告中会列出已知漏洞的补丁。而同样是这份补丁,各大厂商一般会提前一个月收到,目的是让OEM和供应商——比如芯片厂——能够在公告之前好修补漏洞。

《2017年度 Android 安全报告》指出 Android 在反漏洞利用技术方面处于移动行业领先地位,高强度的安全防护极大地提高了黑客入侵操作系统的技术难度和花费成本。除了技术上的把控外,我们还制定了完善的深度防御战略,以确保用户能够及时获取安全更新。我们强烈建议所有 Android 智能手机能够以每月一次的频率进行安全更新。我们每个月都会与设备厂商分享 Android 源码补丁,然后由厂商负责整合补丁并向用户推送相应固件更新。此外,我们每个月还会为 Pixel 设备推送 OTA (over-the-air) 固件更新包,并且向厂商免费开放 Google FOTA (firmware over-the-air) 固件服务器。所有加入 Android One 项目的设备也必须满足每月推送的要求。

这个设想是好的,并且如果友军认真执行的话效果也不错,比如Essential手机,虽然销量不好,但是它可以与Google Pixel同一天推送安全更新。

>>《2017年度 Android 安全报告》

然而前面提到了,其他厂商并不都这么干的,具体各家差多少直接看图吧:

https://security.googleblog.com/2018/03/android-security-2017-year-in-review.html

Security还指出,这一结果的背后芯片供应商有很大责任,因为采用联发科芯片的手机在获得安全更新方面更显糟糕:

>> 反漏洞利用技术

这里更新和芯片供应商的关系不是绝对的,比如PingWest品玩这就有一台高通骁龙835的手机,目前Android安全更新还停留在2017年12月1日。

https://android-developers.googleblog.com/2018/06/compiler-based-security-mitigations-in.html

在这一现象被揭露之后,Google迅速就做出了回应,承认了这项研究的重要性,并表示将会进行核实。而最终的结果,就是这次Google I/O上宣布的事情了。并且Google这两年一直在推行的Project Treble正好能够用上,利用这一机制,厂商制作安全补丁更容易,成本更低。

>> Android One 项目

一边用政策来约束厂商,另一边又许拉低抵触心理,可以说是个非常棒的套路。但估计Kleidermacher怎么也想不到,在扶友军的同时,自家阵脚乱了。

https://www.android.com/one/

自家

每月推送更新是目前最佳的做法,但是如果设备厂商无法应对每月一次的更新频率,至少需要在 《Android 安全公告》披露重大漏洞之前为用户提供更新。常见漏洞披露时间为 90 天,因此每三个月提供一次更新是确保设备和用户安全的最低要求。

据老牌安全软件赛门铁克研究发现,有一些曾经被发现过的恶意应用重登Google Play了,而且使用的方法非常简单:改名。

最佳企业实践

这次发现的恶意应用程序有7个,它们早在去年就被汇报给Google并下架过了,但现在,它们通过更改包名称重新以表情符号键盘、空间清理、计算器等类型登录Google Play。

产品安全是影响企业制定设备采购决策的重要因素之一。企业在选择设备时,通常会将设备的安全更新频率、政策管控灵活度以及是否支持身份认证纳入考量范围。为此,我们在今年上半年推出了 Android 企业推荐计划(Android Enterprise Recommended Program),协助企业用户购置合适的 Android 设备。设备必须满足多项要求才能获得 “Android 企业推荐” 认证,比如,设备必须定期向用户推送安全更新:最低频率为每 90 天一次,我们强烈建议设备厂商将该频率提高至每月一次。除企业用户以外,我们也欢迎所有对安全更新和安全承诺感兴趣的消费者阅读《企业设备推荐名单》。

百乐门棋牌,这里简单介绍下这些恶意应用的表现,大家注意下:

>> Android 企业推荐计划

安装后会进入几小时静默期,以此避免被注意

顶着Google Play图标来索要管理员权限

把自己的图标改成Google Play、Google地图这些常见应用

通过提供内容来获利——比如重定向网站——并且这个形式是云端可控的

https://www.android.com/enterprise/recommended/

相对来说,这一次恶意软件的行为其实并不重要,更危险的是这次登录Google Play的形式,Google Play安全流程中的问题。

>> 《企业设备推荐名单》

首先,Google Play的审核机制可以说是漏洞百出。在应用上架Google Play前的过程中,安全测试成了摆设,自动检测算法根本没起作用,人工审核就像个宣传称号——据赛门铁克表示,这些应用根本不能提供正常功能,所以人工审了什么?

https://androidenterprisepartners.withgoogle.com/devices/

其次,在上架及用户安装后Google宣传的防护也没起作用。基于机器学习技术识别流氓软件的Google Play Protect,据称每天会扫描数十亿应用,一样被绕过了。

本文由百乐门棋牌发布于技术支持,转载请注明出处:Android 安全更新的发展与沿革

关键词: