其實(shí),與安全無(wú)緣可以用來(lái)描述幾乎所有的計(jì)算機(jī)系統(tǒng)。尤其是在2000年打出強(qiáng)化安全的旗號(hào),如今仍然受到各種安全威脅的Windows,更稱(chēng)得上是與安全無(wú)緣。
筆者之所以斗膽說(shuō)Android與安全無(wú)緣,是因?yàn)槊绹?guó)谷歌公司正在努力讓Android變得安全,例如為Google Play(以前的Android Market)導(dǎo)入了名為Bouncer的惡意軟件檢測(cè)系統(tǒng),以及加入防止緩沖區(qū)溢出攻擊這一代表性漏洞攻擊的機(jī)制等。
憑借這些努力,Android的防御能力因該會(huì)得到提升,但是要說(shuō)今后攻擊會(huì)消失,或是減少,恐怕非常困難。這就是筆者說(shuō)其與安全無(wú)緣的含義。
為何說(shuō)Android與安全無(wú)緣?筆者的理由大致有兩個(gè)。第一個(gè)理由是犯罪者紛紛把攻擊的矛頭指向了Android。據(jù)俄羅斯的卡巴斯基實(shí)驗(yàn)室介紹,在2011年4月發(fā)現(xiàn)的移動(dòng)終端惡意軟件中,針對(duì)Android的比例不到5%,而到2012年3月已經(jīng)超過(guò)了80%。惡意軟件大多在中國(guó)和俄羅斯等地傳播,在日本也發(fā)現(xiàn)了盜取地址簿數(shù)據(jù)的惡意軟件,造成了嚴(yán)重的問(wèn)題。
Android是最為普及的移動(dòng)終端系統(tǒng),因此注定會(huì)四面受敵。而且,攻方只要捕捉到一點(diǎn)漏洞,就可以加以利用;守方不容出現(xiàn)一絲漏洞。只要攻防存在這種不平等的關(guān)系,新的攻擊方法就會(huì)源源不斷的出現(xiàn)。
第二個(gè)理由是Android的自由度。谷歌為了吸引開(kāi)發(fā)者,與其他移動(dòng)系統(tǒng)相比,Android的很多地方都是開(kāi)放的。具有代表性的是應(yīng)用軟件的安裝,Android可以從任意的Web網(wǎng)站下載應(yīng)用軟件并安裝。因此,就算能夠采用Bouncer之類(lèi)的技術(shù)排除Google Play上的惡意軟件,惡意軟件也能從其他場(chǎng)所輕而易舉地傳播出去。這一點(diǎn)與iPhone和Windows Phone只能從蘋(píng)果、微軟對(duì)應(yīng)用軟件實(shí)施審查的官方應(yīng)用商店下載應(yīng)用形成了鮮明的對(duì)比。
Android在硬件上的安裝由各終端廠(chǎng)商負(fù)責(zé)這一點(diǎn)也具有開(kāi)放性。因此,開(kāi)發(fā)和提供安全補(bǔ)丁也是這些廠(chǎng)商的責(zé)任,不同廠(chǎng)商和機(jī)型在是否提供不定這點(diǎn)上也不盡相同。例如,有些終端的舊款機(jī)型就被置之不理,沒(méi)有安全補(bǔ)丁提供。
要想改變這種情況,谷歌只要像蘋(píng)果和微軟一樣,剝奪開(kāi)發(fā)者發(fā)布應(yīng)用的自由,詳細(xì)規(guī)定終端的規(guī)格,自行發(fā)布補(bǔ)丁即可,但這樣一來(lái),Android的優(yōu)點(diǎn)也將喪失殆盡。
在確保自由的同時(shí)保障安全這正是Android如今面對(duì)的安全兩難問(wèn)題。