其實,與安全無緣可以用來描述幾乎所有的計算機系統。尤其是在2000年打出強化安全的旗號,如今仍然受到各種安全威脅的Windows,更稱得上是與安全無緣。
筆者之所以斗膽說Android與安全無緣,是因為美國谷歌公司正在努力讓Android變得安全,例如為Google Play(以前的Android Market)導入了名為Bouncer的惡意軟件檢測系統,以及加入防止緩沖區溢出攻擊這一代表性漏洞攻擊的機制等。
憑借這些努力,Android的防御能力因該會得到提升,但是要說今后攻擊會消失,或是減少,恐怕非常困難。這就是筆者說其與安全無緣的含義。
為何說Android與安全無緣?筆者的理由大致有兩個。第一個理由是犯罪者紛紛把攻擊的矛頭指向了Android。據俄羅斯的卡巴斯基實驗室介紹,在2011年4月發現的移動終端惡意軟件中,針對Android的比例不到5%,而到2012年3月已經超過了80%。惡意軟件大多在中國和俄羅斯等地傳播,在日本也發現了盜取地址簿數據的惡意軟件,造成了嚴重的問題。
Android是最為普及的移動終端系統,因此注定會四面受敵。而且,攻方只要捕捉到一點漏洞,就可以加以利用;守方不容出現一絲漏洞。只要攻防存在這種不平等的關系,新的攻擊方法就會源源不斷的出現。
第二個理由是Android的自由度。谷歌為了吸引開發者,與其他移動系統相比,Android的很多地方都是開放的。具有代表性的是應用軟件的安裝,Android可以從任意的Web網站下載應用軟件并安裝。因此,就算能夠采用Bouncer之類的技術排除Google Play上的惡意軟件,惡意軟件也能從其他場所輕而易舉地傳播出去。這一點與iPhone和Windows Phone只能從蘋果、微軟對應用軟件實施審查的官方應用商店下載應用形成了鮮明的對比。
Android在硬件上的安裝由各終端廠商負責這一點也具有開放性。因此,開發和提供安全補丁也是這些廠商的責任,不同廠商和機型在是否提供不定這點上也不盡相同。例如,有些終端的舊款機型就被置之不理,沒有安全補丁提供。
要想改變這種情況,谷歌只要像蘋果和微軟一樣,剝奪開發者發布應用的自由,詳細規定終端的規格,自行發布補丁即可,但這樣一來,Android的優點也將喪失殆盡。
在確保自由的同時保障安全這正是Android如今面對的安全兩難問題。