2015年，網(wǎng)絡(luò)安全機(jī)構(gòu)Zimperium的安全研究人員Joshua Drake披露了Android系統(tǒng)有史以來最嚴(yán)重漏洞——Stagefright。利用這個(gè)漏洞，只需簡單的一條彩信，黑客就可能完全控制用戶手機(jī)。據(jù)悉，這個(gè)漏洞波及了超過9.5億臺Android手機(jī)。

Stagefright漏洞引發(fā)了大眾對Android生態(tài)系統(tǒng)安全性的關(guān)注，谷歌隨后開始嘗試每個(gè)月都對Android設(shè)備推送安全更新。

今天（3月23日），谷歌發(fā)布了Android系統(tǒng)年度安全報(bào)告，全面回顧了2016年在安全方面的各項(xiàng)工作進(jìn)展。

在月度安全更新方面，Android安全部門主管Adrian Ludwig表示，谷歌通過與運(yùn)營商和制造商的合作，將安全更新的等待時(shí)間從6~9個(gè)星期降低到了幾天。而且谷歌還縮減了安全更新程序包的大小，并取消了每次更新都需要用戶同意這一過程。

此外，Google Play里幾乎每種PHA（Potentially Harmful App，潛在有害應(yīng)用）的安裝量都降低了。2016年底，只從Google Play下載應(yīng)用的設(shè)備只有0.05％存在PHA，相比2015年的0.15％大幅下降。

不過，報(bào)告里透露的并不只有好消息。數(shù)據(jù)顯示，截至2016年底，仍然有一半的活躍Android設(shè)備在過去一年中并未收到平臺安全更新。而且，2015年初只有0.5%的Android設(shè)備安裝了PHA，但是到2016年底，這個(gè)數(shù)據(jù)上漲到了0.71%。

對于普通用戶來說，想要確保手機(jī)的安全性，要記住的只有兩點(diǎn)：

• 選擇會每月推送安全更新的Android手機(jī)；

• 只從谷歌的Play Store應(yīng)用商店中下載App。

下文來自Google Blog，雷鋒網(wǎng)對全文做了不改變原意的編譯。

保護(hù)用戶免受PHA的威脅

PHA會讓用戶的數(shù)據(jù)和設(shè)備面臨風(fēng)險(xiǎn)。多年來，我們已經(jīng)構(gòu)建了一系列的系統(tǒng)來解決這些威脅，比如能夠檢測應(yīng)用程序不安全行為的應(yīng)用分析器，以及定期檢查用戶設(shè)備是否存在PHA的Verify Apps。當(dāng)這些系統(tǒng)檢測到PHA時(shí)，我們就會向用戶發(fā)出警告，建議他們考慮是否確定要下載該App，甚至把App從他們的設(shè)備上徹底移除。

2016年，Verify Apps的日均檢查次數(shù)從2015年的4.5億次增長到了7.5億次，有效降低了Android設(shè)備的PHA安裝率。

數(shù)據(jù)顯示，Google Play里幾乎每種PHA的安裝量都降低了：

• 木馬應(yīng)用的安裝量為0.016％，與2015年相比下降了51.5％；

• 惡意下載應(yīng)用的安裝量為0.016％，與2015年相比下降了54.6％；

• 有后門程序的應(yīng)用的安裝量為0.016％，與2015年相比下降了30.5％；

• 釣魚應(yīng)用的安裝量為0.0018％，與2015年相比下降了73.4％；

• 截至2016年底，只從Google Play下載應(yīng)用的設(shè)備只有0.05％存在PHA，相比2015年的0.15％大幅下降。

不過，盡管到2016年底的時(shí)候，只有0.71%的Android設(shè)備安裝了PHA，但是相比2015年初的0.5%，這個(gè)數(shù)據(jù)實(shí)際上是上漲了的。

提升Android Nougat安全性

去年，我們?yōu)锳ndroid Nougat推出了一系列的安全功能，并加強(qiáng)了Linux Kernel的安全性。

加密技術(shù)的改進(jìn)：在Android Nougat中，我們使用了基于文件的加密技術(shù)，所有用戶的資料都會使用唯一的秘鑰進(jìn)行加密。例如，一個(gè)賬號的密碼不能解鎖另一個(gè)賬號下的數(shù)據(jù)。其實(shí)，2014年末的時(shí)候，已經(jīng)有很多設(shè)備可以對用戶數(shù)據(jù)進(jìn)行加密，如今，80%運(yùn)行Android Nougat的設(shè)備都啟用了這個(gè)功能。

全新的音頻、視頻防護(hù)：我們?yōu)樘岣甙沧吭O(shè)備對音頻和視頻文件的安全性做了大量工作，并重構(gòu)了Android系統(tǒng)處理音頻和視頻媒體的方式。我們分離了Android系統(tǒng)中的媒體服務(wù)器和權(quán)限管理，最終將它們分為若干個(gè)部分和沙盒?，F(xiàn)在不同的媒體部分將會被放到單獨(dú)的沙盒中，這樣即使是某個(gè)部分受到威脅，也不會自動獲得其他部分的權(quán)限，從而避免可能出現(xiàn)的安全問題。

為企業(yè)用戶提供更多的安全功能：我們?yōu)槠髽I(yè)用戶提供了一系列的安全功能，包括 “Always On” VPN，防止用戶的數(shù)據(jù)通過不安全的鏈接從工作手機(jī)傳送到私人設(shè)備。此外，我們還為企業(yè)工具增加了安全策略的透明度、流程記錄，并改進(jìn)了WiFi認(rèn)證的處理方式以及客戶認(rèn)證方式。

與各方合作，保證Android生態(tài)系統(tǒng)的安全

我們會與設(shè)備廠商、學(xué)術(shù)界以及其他各方之間的共享信息。2015年，在Stagefright漏洞被公布之后，我們啟動了月度安全更新計(jì)劃，以幫助加速修復(fù)來自不同制造商的設(shè)備中的安全漏洞。這個(gè)計(jì)劃在2016年實(shí)現(xiàn)了大幅擴(kuò)張：

• 2016年，超過200家制造商的7.35億多臺設(shè)備都收到了平臺安全更新；

• 2016年全年，我們針對運(yùn)行Android 4.4.4 及以上版本的設(shè)備發(fā)布了月度安卓更新計(jì)劃，這占到了全球活躍安卓設(shè)備的86.3%。

截至2016年底，大約有一半的活躍Android設(shè)備在過去一年中并未收到平臺安全更新。我們正在努力簡化安全更新過程，讓制造商更容易部署安全修補(bǔ)程序以及發(fā)布A/B更新。

在研究方面，我們的Android Security Rewards（安卓安全獎勵）項(xiàng)目發(fā)展迅速：2016年，我們向報(bào)告漏洞的研究人員支付了將近100萬美元的獎金。同時(shí)，我們還與安全公司密切合作。

雖然谷歌的Android系統(tǒng)在中國市場的占有率達(dá)到了驚人的83.2%（2017年1月數(shù)據(jù)），但是對于國內(nèi)的用戶來說，這一切似乎關(guān)系不大。不過，雷鋒網(wǎng)此前曾報(bào)道，網(wǎng)易正在與谷歌談判，希望將Google Play引入中國市場。至少，我們還有一絲希望。

via. Google Blog，雷鋒網(wǎng)編譯

*圖片來自網(wǎng)絡(luò)

【招聘】雷鋒網(wǎng)堅(jiān)持在人工智能、無人駕駛、VR/AR、Fintech、未來醫(yī)療等領(lǐng)域第一時(shí)間提供海外科技動態(tài)與資訊。我們需要若干關(guān)注國際新聞、具有一定的科技新聞選題能力，翻譯及寫作能力優(yōu)良的外翻編輯加入。 

簡歷投遞至 wudexin@leiphone.com，工作地 北京。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。