xml地图|网站地图|网站标签 [设为首页] [加入收藏]
来自 科技中心 2019-05-01 22:48 的文章
当前位置: 7276.com > 科技中心 > 正文

Android十周年:为了让Android更安全 Google都做了什

原标题:Android 安全更新的发展与沿革

2018年是Android发布的十周年。这款操作系统现在在全世界已拥有超过20亿的活跃用户,这也使得用户对其在数字领域的隐私及安全性问题上更为关注。因此,Google在为Android庆祝的同时也通过2018“年度回顾”报告详细介绍了Android安全性的细节,详细说明了它如何保护用户。

作者: Dave Kleidermacher, 副总裁兼 Android、 Chrome OS 及 Play 安全部门负责人

7276.com 1

7276.com 2

相比其他操作系统,更加开放的Android在安全方面不可避免地会存在一些问题。而Google公司近五年来一直都在有意识地提高自己的安全更新与方法,旨在为用户提供更加隐私更具安全性的系统环境。在2018“年度回顾“报告中,Google向用户阐述了其采用的三种保护途径。

此前,我们在 Google I/O 2018 开发者大会上举办了一场名为《Android 安全新亮点》的主题演讲,简要介绍了谷歌在 Android 安全更新方面的最新工作进展。 Android 9 Pie 现已正式发布,借此机会,我们希望给大家呈现一份更加详尽的安全更新报告,内容主要涉及以下三个话题:

7276.com,1.减少PHA的数量

  • 设备厂商最佳实践指南
  • Google 如何简化 Android 更新流程
  • Google 如何保障 Android 安全更新的合规性

首先来了解一个概念:什么是PHA。PHA全称为潜在有害应用。可以想像,跟踪Android及其安全性并非易事,Google采用的一种方法便是通过检测PHA来实现有效跟踪。

>>《Android 安全新亮点》

利用Google Play Protect检测PHA

https://events.google.com/io/schedule/?sid=fac1fbb5-85e4-448e-ad4a-4f1d34a41a25

Google Play Protect可以检测到来自Play商店以及外部来源安装应用的威胁。据统计,自2014年以来,安装PHA的趋势平均保持在1%以下。在2018年,这个数值已经降到了0.08%,即仅有0.08%的设备使用Play商店安装感染了一个或多个PHA的应用程序。不过,对于那些从外部来源下载应用程序的人来说,感染率要高出8倍,但数值也仅为0.68%。

Android 安全更新方面的最佳商业实践

利用API检测PHA

《2017年度 Android 安全报告》指出 Android 在反漏洞利用技术方面处于移动行业领先地位,高强度的安全防护极大地提高了黑客入侵操作系统的技术难度和花费成本。除了技术上的把控外,我们还制定了完善的深度防御战略,以确保用户能够及时获取安全更新。我们强烈建议所有 Android 智能手机能够以每月一次的频率进行安全更新。我们每个月都会与设备厂商分享 Android 源码补丁,然后由厂商负责整合补丁并向用户推送相应固件更新。此外,我们每个月还会为 Pixel 设备推送 OTA (over-the-air) 固件更新包,并且向厂商免费开放 Google FOTA (firmware over-the-air) 固件服务器。所有加入 Android One 项目的设备也必须满足每月推送的要求。

除了利用Google Play Protect降低PHA的数量外,BiometricPrompt,Protected Confirmation,StrongBox Keymaster和各种bug赏金计划等强大的API也为降低PHA受影响的设备的百分比做出了极大贡献。错误赏金计划允许来自世界各地的研究人员发现并提交漏洞,并且会给予他们对应的丰厚回报。

>>《2017年度 Android 安全报告》

7276.com 3

https://security.googleblog.com/2018/03/android-security-2017-year-in-review.html

2.利用操作系统提升安全性能

>> 反漏洞利用技术

除利用检测PHA实现有效追踪外,操作系统还利用加密,硬件支持的安全性,经过验证的启动,沙盒以及一系列其他功能来确保尽可能安全。

https://android-developers.googleblog.com/2018/06/compiler-based-security-mitigations-in.html

3.Project Treble和2018年BTS的运用

>> Android One 项目

对于之前Google更新操作系统而设备制造商会有延迟甚至不会发布更新的情况,Google也采用了一些对策。为了加快更新进程,Google将Project Treble在其更新的Android版本中推出,该版本允许OEM公司更快地发布更新。

https://www.android.com/one/

Google还发现,即使是全新的Android产品也可能被立即发现漏洞。因此在2018年,谷歌与合作的OEM厂商推出了构建测试套件以解决这个问题,允许他们提交构建映像,以便在它发布给用户之前检测安全问题和可能的PHA。自从实施BTS以来,已经阻止了使用PHA的242个版本和设备出现在生态环境中。

每月推送更新是目前最佳的做法,但是如果设备厂商无法应对每月一次的更新频率,至少需要在 《Android 安全公告》披露重大漏洞之前为用户提供更新。常见漏洞披露时间为 90 天,因此每三个月提供一次更新是确保设备和用户安全的最低要求。

7276.com 4

最佳企业实践

俗话说,“道高一尺,魔高一丈”。Google虽然在尽最大努力保护用户,但攻击者还是会采用各种策略将PHA注入Android设备,所以用户在在线浏览或安装应用程序时,还该有始终保持警惕的自觉意识。

产品安全是影响企业制定设备采购决策的重要因素之一。企业在选择设备时,通常会将设备的安全更新频率、政策管控灵活度以及是否支持身份认证纳入考量范围。为此,我们在今年上半年推出了 Android 企业推荐计划(Android Enterprise Recommended Program),协助企业用户购置合适的 Android 设备。设备必须满足多项要求才能获得 “Android 企业推荐” 认证,比如,设备必须定期向用户推送安全更新:最低频率为每 90 天一次,我们强烈建议设备厂商将该频率提高至每月一次。除企业用户以外,我们也欢迎所有对安全更新和安全承诺感兴趣的消费者阅读《企业设备推荐名单》。

>> Android 企业推荐计划

https://www.android.com/enterprise/recommended/

>> 《企业设备推荐名单》

https://androidenterprisepartners.withgoogle.com/devices/

本文由7276.com发布于科技中心,转载请注明出处:Android十周年:为了让Android更安全 Google都做了什

关键词: