2015年，網絡安全機構Zimperium的安全研究人員Joshua Drake披露了Android系統(tǒng)有史以來最嚴重漏洞——Stagefright。利用這個漏洞，只需簡單的一條彩信，黑客就可能完全控制用戶手機。據(jù)悉，這個漏洞波及了超過9.5億臺Android手機。

Stagefright漏洞引發(fā)了大眾對Android生態(tài)系統(tǒng)安全性的關注，谷歌隨后開始嘗試每個月都對Android設備推送安全更新。

今天（3月23日），谷歌發(fā)布了Android系統(tǒng)年度安全報告，全面回顧了2016年在安全方面的各項工作進展。

在月度安全更新方面，Android安全部門主管Adrian Ludwig表示，谷歌通過與運營商和制造商的合作，將安全更新的等待時間從6~9個星期降低到了幾天。而且谷歌還縮減了安全更新程序包的大小，并取消了每次更新都需要用戶同意這一過程。

此外，Google Play里幾乎每種PHA（Potentially Harmful App，潛在有害應用）的安裝量都降低了。2016年底，只從Google Play下載應用的設備只有0.05％存在PHA，相比2015年的0.15％大幅下降。

不過，報告里透露的并不只有好消息。數(shù)據(jù)顯示，截至2016年底，仍然有一半的活躍Android設備在過去一年中并未收到平臺安全更新。而且，2015年初只有0.5%的Android設備安裝了PHA，但是到2016年底，這個數(shù)據(jù)上漲到了0.71%。

對于普通用戶來說，想要確保手機的安全性，要記住的只有兩點：

• 選擇會每月推送安全更新的Android手機；

• 只從谷歌的Play Store應用商店中下載App。

下文來自Google Blog，雷鋒網對全文做了不改變原意的編譯。

保護用戶免受PHA的威脅

PHA會讓用戶的數(shù)據(jù)和設備面臨風險。多年來，我們已經構建了一系列的系統(tǒng)來解決這些威脅，比如能夠檢測應用程序不安全行為的應用分析器，以及定期檢查用戶設備是否存在PHA的Verify Apps。當這些系統(tǒng)檢測到PHA時，我們就會向用戶發(fā)出警告，建議他們考慮是否確定要下載該App，甚至把App從他們的設備上徹底移除。

2016年，Verify Apps的日均檢查次數(shù)從2015年的4.5億次增長到了7.5億次，有效降低了Android設備的PHA安裝率。

數(shù)據(jù)顯示，Google Play里幾乎每種PHA的安裝量都降低了：

• 木馬應用的安裝量為0.016％，與2015年相比下降了51.5％；

• 惡意下載應用的安裝量為0.016％，與2015年相比下降了54.6％；

• 有后門程序的應用的安裝量為0.016％，與2015年相比下降了30.5％；

• 釣魚應用的安裝量為0.0018％，與2015年相比下降了73.4％；

• 截至2016年底，只從Google Play下載應用的設備只有0.05％存在PHA，相比2015年的0.15％大幅下降。

不過，盡管到2016年底的時候，只有0.71%的Android設備安裝了PHA，但是相比2015年初的0.5%，這個數(shù)據(jù)實際上是上漲了的。

提升Android Nougat安全性

去年，我們?yōu)锳ndroid Nougat推出了一系列的安全功能，并加強了Linux Kernel的安全性。

加密技術的改進：在Android Nougat中，我們使用了基于文件的加密技術，所有用戶的資料都會使用唯一的秘鑰進行加密。例如，一個賬號的密碼不能解鎖另一個賬號下的數(shù)據(jù)。其實，2014年末的時候，已經有很多設備可以對用戶數(shù)據(jù)進行加密，如今，80%運行Android Nougat的設備都啟用了這個功能。

全新的音頻、視頻防護：我們?yōu)樘岣甙沧吭O備對音頻和視頻文件的安全性做了大量工作，并重構了Android系統(tǒng)處理音頻和視頻媒體的方式。我們分離了Android系統(tǒng)中的媒體服務器和權限管理，最終將它們分為若干個部分和沙盒?，F(xiàn)在不同的媒體部分將會被放到單獨的沙盒中，這樣即使是某個部分受到威脅，也不會自動獲得其他部分的權限，從而避免可能出現(xiàn)的安全問題。

為企業(yè)用戶提供更多的安全功能：我們?yōu)槠髽I(yè)用戶提供了一系列的安全功能，包括 “Always On” VPN，防止用戶的數(shù)據(jù)通過不安全的鏈接從工作手機傳送到私人設備。此外，我們還為企業(yè)工具增加了安全策略的透明度、流程記錄，并改進了WiFi認證的處理方式以及客戶認證方式。

與各方合作，保證Android生態(tài)系統(tǒng)的安全

我們會與設備廠商、學術界以及其他各方之間的共享信息。2015年，在Stagefright漏洞被公布之后，我們啟動了月度安全更新計劃，以幫助加速修復來自不同制造商的設備中的安全漏洞。這個計劃在2016年實現(xiàn)了大幅擴張：

• 2016年，超過200家制造商的7.35億多臺設備都收到了平臺安全更新；

• 2016年全年，我們針對運行Android 4.4.4 及以上版本的設備發(fā)布了月度安卓更新計劃，這占到了全球活躍安卓設備的86.3%。

截至2016年底，大約有一半的活躍Android設備在過去一年中并未收到平臺安全更新。我們正在努力簡化安全更新過程，讓制造商更容易部署安全修補程序以及發(fā)布A/B更新。

在研究方面，我們的Android Security Rewards（安卓安全獎勵）項目發(fā)展迅速：2016年，我們向報告漏洞的研究人員支付了將近100萬美元的獎金。同時，我們還與安全公司密切合作。

雖然谷歌的Android系統(tǒng)在中國市場的占有率達到了驚人的83.2%（2017年1月數(shù)據(jù)），但是對于國內的用戶來說，這一切似乎關系不大。不過，雷鋒網此前曾報道，網易正在與谷歌談判，希望將Google Play引入中國市場。至少，我們還有一絲希望。

via. Google Blog，雷鋒網編譯

*圖片來自網絡

【招聘】雷鋒網堅持在人工智能、無人駕駛、VR/AR、Fintech、未來醫(yī)療等領域第一時間提供海外科技動態(tài)與資訊。我們需要若干關注國際新聞、具有一定的科技新聞選題能力，翻譯及寫作能力優(yōu)良的外翻編輯加入。 

簡歷投遞至 wudexin@leiphone.com，工作地 北京。

雷峰網版權文章，未經授權禁止轉載。詳情見轉載須知。