谷歌發(fā)布Android系統(tǒng)年度安全報(bào)告，一半的設(shè)備一年都沒(méi)收到安全更新

2015年，网络安全机构Zimperium的安全研究人员JoshuaDrake披露了Android系统有史以来最严重漏洞——Stagefright。利用这个漏洞，只需简单的一条彩信，黑客就可能完全控制用户手机。据悉，这个漏洞波及了超过9.5亿台Android手机。

Stagefright漏洞引发了大众对Android生态系统安全性的关注，谷歌随后开始尝试每个月都对Android设备推送安全更新。

今天（3月23日），谷歌发布了Android系统年度安全报告，全面回顾了2016年在安全方面的各项工作进展。

在月度安全更新方面，Android安全部门主管AdrianLudwig表示，谷歌通过与运营商和制造商的合作，将安全更新的等待时间从6~9个星期降低到了几天。而且谷歌还缩减了安全更新程序包的大小，并取消了每次更新都需要用户同意这一过程。

此外，Google Play里几乎每种PHA（Potentially Harmful App，潜在有害应用）的安装量都降低了。2016年底，只从GooglePlay下载应用的设备只有0.05％存在PHA，相比2015年的0.15％大幅下降。

不过，报告里透露的并不只有好消息。数据显示，截至2016年底，仍然有一半的活跃Android设备在过去一年中并未收到平台安全更新。而且，2015年初只有0.5%的Android设备安装了PHA，但是到2016年底，这个数据上涨到了0.71%。

对于普通用户来说，想要确保手机的安全性，要记住的只有两点：

• 选择会每月推送安全更新的Android手机；

• 只从谷歌的Play Store应用商店中下载App。

下文来自Google Blog，对全文做了不改变原意的编译。

保护用户免受PHA的威胁

PHA会让用户的数据和设备面临风险。多年来，我们已经构建了一系列的系统来解决这些威胁，比如能够检测应用程序不安全行为的应用分析器，以及定期检查用户设备是否存在PHA的VerifyApps。当这些系统检测到PHA时，我们就会向用户发出警告，建议他们考虑是否确定要下载该App，甚至把App从他们的设备上彻底移除。

2016年，Verify Apps的日均检查次数从2015年的4.5亿次增长到了7.5亿次，有效降低了Android设备的PHA安装率。

数据显示，Google Play里几乎每种PHA的安装量都降低了：

• 木马应用的安装量为0.016％，与2015年相比下降了51.5％；

• 恶意下载应用的安装量为0.016％，与2015年相比下降了54.6％；

• 有后门程序的应用的安装量为0.016％，与2015年相比下降了30.5％；

• 钓鱼应用的安装量为0.0018％，与2015年相比下降了73.4％；

• 截至2016年底，只从Google Play下载应用的设备只有0.05％存在PHA，相比2015年的0.15％大幅下降。

不过，尽管到2016年底的时候，只有0.71%的Android设备安装了PHA，但是相比2015年初的0.5%，这个数据实际上是上涨了的。

提升Android Nougat安全性

去年，我们为Android Nougat推出了一系列的安全功能，并加强了Linux Kernel的安全性。

加密技术的改进：在AndroidNougat中，我们使用了基于文件的加密技术，所有用户的资料都会使用唯一的秘钥进行加密。例如，一个账号的密码不能解锁另一个账号下的数据。其实，2014年末的时候，已经有很多设备可以对用户数据进行加密，如今，80%运行AndroidNougat的设备都启用了这个功能。

全新的音频、视频防护：我们为提高安卓设备对音频和视频文件的安全性做了大量工作，并重构了Android系统处理音频和视频媒体的方式。我们分离了Android系统中的媒体服务器和权限管理，最终将它们分为若干个部分和沙盒。现在不同的媒体部分将会被放到单独的沙盒中，这样即使是某个部分受到威胁，也不会自动获得其他部分的权限，从而避免可能出现的安全问题。

为企业用户提供更多的安全功能： 我们为企业用户提供了一系列的安全功能，包括 “Always On”VPN，防止用户的数据通过不安全的链接从工作手机传送到私人设备。此外，我们还为企业工具增加了安全策略的透明度、流程记录，并改进了WiFi认证的处理方式以及客户认证方式。

与各方合作，保证Android生态系统的安全

我们会与设备厂商、学术界以及其他各方之间的共享信息。2015年，在Stagefright漏洞被公布之后，我们启动了月度安全更新计划，以帮助加速修复来自不同制造商的设备中的安全漏洞。这个计划在2016年实现了大幅扩张：

• 2016年，超过200家制造商的7.35亿多台设备都收到了平台安全更新；

• 2016年全年，我们针对运行Android 4.4.4 及以上版本的设备发布了月度安卓更新计划，这占到了全球活跃安卓设备的86.3%。

截至2016年底，大约有一半的活跃Android设备在过去一年中并未收到平台安全更新。我们正在努力简化安全更新过程，让制造商更容易部署安全修补程序以及发布A/B更新。

在研究方面，我们的Android SecurityRewards（安卓安全奖励）项目发展迅速：2016年，我们向报告漏洞的研究人员支付了将近100万美元的奖金。同时，我们还与安全公司密切合作。

虽然谷歌的Android系统在中国市场的占有率达到了惊人的83.2%（2017年1月数据），但是对于国内的用户来说，这一切似乎关系不大。不过，此前曾报道，网易正在与谷歌谈判，希望将GooglePlay引入中国市场。至少，我们还有一丝希望。

via. Google Blog，编译

【招聘】坚持在人工智能、无人驾驶、VR/AR、Fintech、未来医疗等领域第一时间提供海外科技动态与资讯。我们需要若干关注国际新闻、具有一定的科技新闻选题能力，翻译及写作能力优良的外翻编辑加入。

简历投递至 wudexin@leiphone.com，工作地 北京。