安卓系统如何突破自身的安全困局

本篇文章3223字，读完约8分钟

几年前，由于adobe flash的安全性和性能问题，史蒂夫·乔布斯称这项技术是一列即将脱轨的列车，一度引起了大量投资该平台的制造商的强烈不满。现在，谷歌的安卓平台也收到了类似的负面评论，只是这次，负面评论来自安卓粉丝。

安卓正在成为谷歌的闪光点？

如今，对于绝大多数人来说，flash中存在的许多问题可能没有争议。《连线》杂志最近将闪存评为不安全且对系统资源贪得无厌，这是每个人都讨厌的。上述评论出现在关于mozilla禁止浏览器使用flash技术的评论中，以及facebook首席安全官alex stamos呼吁adobe让flash迅速成为历史。

甚至谷歌的态度也发生了变化。2010年，该公司是闪存技术的坚定支持者，它在安卓平板电脑上预装了这个封闭的网络中间件平台，作为苹果ipad差异化竞争的特征之一。今天，谷歌也在尽最大努力划清自己和flash的界限。

在经历了将adobe flash集成到安卓平台和浏览器的痛苦之后，谷歌的态度悄然改变。谷歌不仅未能证明苹果的判断是错误的，而且用自己的行动证明了将flash集成到移动设备中是徒劳的。

数以亿计的安卓设备具有播放flash内容的能力，现在用户正在为他们的优势付出沉重的代价。这项技术导致了各种各样的漏洞，包括假冒id，这是bluebox security去年发现的一个严重漏洞。许多漏洞被许多恶意软件利用。

Flash无处不在，即使它吸引了大量的负面评论。即使浏览器在用户冲浪时不断发出警告，许多网站仍然试图加载flash player插件，有时没有任何必要的原因，例如当前网站不需要播放视频、游戏或导航动画。闪光如此普遍，以至于无法避免。

因此，越来越多的安全专家和平台供应商呼吁adobe尽快淘汰闪存。

安卓和闪存的相似之处

正是谷歌工程师和产品经理将闪存集成到安卓系统中，导致了今天的局面。此外，具有讽刺意味的是，机器人标志的颜色在传统文化中也被视为病态。

考虑不周使该平台成为世界上最大的恶意软件分发中心。以前，微软的windows平台背负着这样的恶名，安卓最近终于成功赶上了它。

当然，你不能完全责怪闪光灯。最近，安全专家发现了一个名为stage怯场的漏洞，这是安卓系统的内部问题，与闪存无关。通过这个漏洞，黑客只需要一条简单的短信就可以获得系统的所有权限。

任何平台都不可避免地存在各种类型的漏洞，比如红帽linux，苹果自己的ios和os x也不可避免。主要区别在于，像苹果这样认真对待这些问题的制造商，会不断推出补丁，并试图修复每个用户手中的每一台设备。多年来，苹果一直在更新三、四年前售出的ipad、iphone和mac，有时甚至对旧设备进行安全更新。这有助于苹果用户在许多情况下避免受到威胁，并使得针对公共漏洞编写恶意软件成为不可能。

其他移动平台无法做到这一点。无论是本文讨论的塞班、webos、黑莓、windows mobile还是安卓，它们在发布安全补丁方面都有不良记录。许多安卓设备制造商推卸了他们的责任，或者在向用户推送补丁方面行动迟缓。

即使谷歌发布了针对已知漏洞的相应补丁，这些设备制造商对此也不感兴趣，也不愿意及时主动地将它们推给用户。主要原因可能是这些制造商通常会修改原生的安卓系统，谷歌的补丁在推出之前需要根据他们定制的版本进行调试。

最近，一篇文章描述了安卓用户能否收到安全更新(是否及时)完全取决于设备制造商的脸色。本文对此进行了描述，就像微软将更新和补丁文件移交给戴尔或您的互联网服务提供商一样，后者会将这些文件发送给您。问题是，他们真的关心你的问题吗？这就是安卓面临的情况。

因此，安卓的安全问题远比闪存严重。

事实确实如此。想想看，adobe至少在不断更新闪存，这被认为是垃圾软件。虽然让浏览器中的flash player保持最新很痛苦，但只要你愿意忍受重复的安装过程，这至少是可能的。

对于安卓系统，用户甚至不能保证基本的安全性能。当然，除非你是一名工程师并且有很好的理解，否则定期将你自己的代码编译成一个全新的内核。即使是这种方法也是有问题的，因为在很多情况下，谷歌不会像关注运营商和硬件制造商那样关注你遇到的问题。

例如，自今年1月以来，谷歌的安卓网络视图暴露出严重的安全漏洞，数亿安卓用户中的60%仍然受到威胁。谷歌无意修复这个漏洞。至少adobe不会忽视这个漏洞的存在，世界上任何负责任的制造商都不会，但是在安卓世界，这种事情已经变得司空见惯。

安卓的安全性与谷歌的设计理念有关。

安卓不仅由一群不负责任、完全不可靠的硬件制造商维护，谷歌本身有时也处于无所作为的状态。证据可以在安卓的核心政策中找到，该政策愚蠢地选择将闪存集成到安卓设备中，只是为了在意识形态上与苹果竞争。

在安卓的意识形态中，作为开源自由主义者的先驱代表，配备该系统的设备不需要采取任何措施来阻止可执行文件的安装。无论是来自网络链接还是nfc，即使是谷歌自己的技术也可能让用户面临危险，例如，最近推出的新协议eddystone试图挑战苹果的ibeacon。这项技术允许随机设备向安卓移动设备发送网址，这可能会导致安全问题。

从一开始，谷歌就宣扬一个理念，那就是安卓可以从任何地方加载软件，这也反映了自由风格在安卓系统中根深蒂固。严酷的事实证明，从安全性的角度来看，开放的应用商店就像将flash深度集成到浏览器中的想法一样疯狂。几乎所有的恶意软件都是为安卓平台编写的，这一事实也凸显了谷歌政策中的许多漏洞。安卓设备可以在任何地方安装软件，在某些情况下，用户甚至不知道。

去年，安卓的老板桑德鲁皮猜(Sandrupichai)曾表示，如果他拥有一家专门从事恶意软件业务的公司，他也会选择安卓作为目标。他的意思是，安卓和视窗一样，拥有大量用户，这自然会成为恶意软件作者的目标。

如果安卓和视窗是世界上仅有的拥有10亿用户的平台，也许这种观点值得相信。然而，多年来，苹果一直在悄悄开发mac市场，从小规模发展到现在。虽然它还没有超过个人电脑，但是它的市场份额已经大大增加了。据安卓老板称，苹果电脑上也有大量恶意软件。

此外，苹果的ios将很快超过windows的安装容量。此外，大量苹果设备仍然运行ios 8。苹果拥有数亿ios用户和数千万mac用户，但这些平台从未面临过安卓和视窗系统上恶意软件的泛滥。

无可辩驳的事实指出，恶意软件和产品的流行之间没有必然的联系。像其他掠夺者一样，恶意软件作者也需要考虑易受攻击用户的数量，而不是简单地考虑装机容量。苹果的安全政策无法阻止各种引人注目的媒体每天做出耸人听闻的报道，给读者的印象是ios和安卓一样糟糕。然而，恶意软件作者都知道为ios编写恶意软件几乎是无利可图的。

另一方面，针对安卓和视窗用户的欺诈和窥探行为很多，有些人从中获取巨额利润，实现这些行为的软件在互联网上公开销售。然而，即使在执法部门手中，ios也没有这样的软件。用户只有越狱他们的设备才能成为潜在的受害者。

这意味着ios对黑客来说显然是有价值的，但由于苹果完美的安全策略，选择这个平台作为目标是非常昂贵的，而且之前暴露的漏洞可以在短时间内修复。谷歌经常向大量用户暴露已知的问题，这使得选择这些用户作为目标变得容易和有利可图。

这种情况正在逐渐影响用户的选择。苹果用户在设备上购买更多东西，在应用商店订购更多应用，在设备上浏览更多信息，在广告商眼中拥有更多价值。相比之下，安卓，由于恶意软件的扩散，即使是最忠实的粉丝也逐渐灰心丧气，开始转向其他平台。

这一变化将使谷歌用户的价值降低。事实上，用户的背叛并不局限于理论。苹果最新的iphone 6吸引了创纪录数量的安卓平台新用户，而最大的安卓设备制造商三星在过去几个季度的收入大幅下降。此外，很少有安卓设备制造商能够实现持续盈利。

从目前的迹象来看，形势没有任何变化的迹象，各种趋势仍在继续。