據國外媒體報道,去年大部分時間,移動安全公司和Android反對者都在重複講述一件事:由於惡意軟件的快速進入,谷歌移動操作系統據說存在安全隱患。 然而,雖然如“Android惡意軟件數量在7個月裏增長了3325%”(Juniper Networks今年早些時候報道)等統計數據會嚇到普通用戶,但Android用戶對被感染可能的害怕程度應該有多大依然存在爭議。
在Juniper的報告發布不久後,谷歌就表示,2011年下半年穀歌應用店Google Play的惡意應用程序數量下降了40%。儘管存在潛在危險,但移動平臺現在已經是人們連接互聯網的主要方式之一--因此,著名安全公司如賽門鐵克和邁克 菲在從桌面轉到智能手機上有着重大的財務利益,認識到他們的未來將在移動。邁克菲已向美國移動市場的真正力量:運營商求助。約一年前,邁克菲與 Sprint聯合向該運營商的客戶提供獨家Android安全軟件,費用爲20美元-30美元/年。
但現在邁克菲與美國最大運營商Verizon簽訂協議,提供移動安全組合軟件--這兩家公司現在都有告訴消費者移動惡意軟件的威脅是真實存在的利益。在新聞 發佈會上Verizon宣佈了新的Android移動安全軟件,該運營商毫無保留地表示:“很多(消費者)不知道智能手機與筆記本和臺式機一樣,很容易受到安全和隱私威脅”。這篇新聞稿可以幫助說服用戶的父母或缺少科技頭腦的朋友每月花1.99美元保護他們的手機,抵禦邁克菲在其2012年第二季度“病毒威脅報告”中提到的1.3萬個手機病毒。
今年7月Verizon報告其9420萬客戶有一半在使用智能手機。雖然這些客戶不是所有的人都在使用Android智能手機,但毫無疑問,如果每個人每月 支付1美元(如果客戶也參與了Verizon設備全面保險計劃)或1.99美元購買邁克菲的移動安全軟件,那麼這將是一個巨大的市場。雖然該服務的收入與 這家運營商上季度152億美元的營收相比不足掛齒,但卻是Verizon和邁克菲追求的非常重大的變化。
至於谷歌對該局勢的看法,在大的方面該公司拒絕討論Android的安全性,在小的方面拒絕談論Verizon和邁克菲的合作伙伴關係。不過,像 Verizon移動安全這種應用程序是谷歌所稱的Android核心價值在於開放的結果。谷歌關注的是,Verizon和邁克菲有在Play店出售移動安 全產品--客戶可以透過下載應用程序來對該軟件是否有用進行投票。當然這也有例外,但且不管好壞,Play店通常被認爲是比蘋果或微軟應用程序店限制更少的市場。
儘管谷歌Play店可能比蘋果應用店更開放,這並不意味着可以是無法無天的充滿惡意軟件的地方;毫無疑問,谷歌非常關注安全。去年2月谷歌推出了 Bouncer安全工具,自動掃描上傳的任何應用程序中是否存在已知的惡意軟件、病毒、木馬等。此外,谷歌在虛擬環境中執行每個上傳的應用程序,以檢測隱 藏的不端行爲。SecurityWeek執行主編邁克·列儂(Mike Lennon)稱,這些安全措施使Android成爲大多數用戶相對安全的平臺。
列儂表示:“我們確實看到Android存在的威脅在上升,但從谷歌Play店下載的人,不太可能有問題,比如說,中國用戶(存在危險)是因爲使用了替代市 場,因爲他們無法訪問官方下載來源。”這讓谷歌處於不幸的境地,必須防止Android出現的與日俱增的不安全名聲,最大的問題在於谷歌無法控制的第三方 店。事實上西方市場大多數用戶,這些地方有關Android惡意軟件的報道非常公開,通常不會訪問這些不安全店。
F- Secure的米克·海波寧(Mikko Hyppönen)同意這種觀點。他透過電子郵件表示,普通Android用戶不需要關心惡意軟件,“特別是如果你不從替代市場安裝Android應用程 序”。儘管如此,他依然認爲“相比iPhone或Windows手機用戶,Android用戶有一些現實問題,因爲前者根本不存在惡意軟件問題”。
雖然Bouncer在谷歌Play確實能攔截惡意軟件,但並不是萬無一失--7月初賽門鐵克發現,有兩個惡意程序在Play店獲得了5萬和10萬次下載。賽 門鐵克的研究人員認爲,這些應用是將惡意代碼分爲多個部分遠程發佈,繞開了Bouncer。幾周後安全公司Trustwave公開展示了Bouncer的 一些安全漏洞。不過這種感染是相對罕見的--列儂認爲更多的用戶應該關心他們的個人隱私而不是“真正的惡意軟件”。
列儂稱:“對我來說,現在真正的威脅不是直接的網絡犯罪,而是有可能遇到侵犯用戶隱私的可疑程序。”他繼續指出,谷歌將應用程序許可權限放在第一位的做法, 會讓“用戶提出這些應用程序能看到什麼的疑問。例如,‘爲什麼這個遊戲要訪問我的整個地址簿?’當然,這需要用戶停下來閱讀過去大多數時候可能忽略的屏 幕,因爲他們既不關心風險也不明白消息的意思。
很多時候,侵犯移動隱私並不是惡意而是 粗心大意的結果,舉幾周前丟失了100萬個蘋果唯一識別碼(UDID)的Blue Toad爲例,該公司幾個月前就停止收集UDID,其CEO表示,他“不知道最終將導致什麼樣的影響”。最後發現,該公司似乎只是粗心--給那些設備ID 被泄露用戶一些安慰。
至於Verizon和邁克菲的新產品有何價值,列儂和海波寧都認 爲運營商支援的解決方案有些用處。列儂稱:“我認爲他們是在營銷上玩一些手段,但在另一方面,這是無線運營商--我認爲很多人至少會考慮這個選項。”海波 寧也認同這種看法,他稱“外包安全給運營商對大多數用戶來說是有意義的。極客們喜歡花時間保護系統,但大多數用戶不會。終端用戶信任運營商,而運營商在提 供安全上處於關鍵地位。”
列儂還提到,這些應用程序“能做很多事,不僅是掃描惡意軟 件”。事實上,Verizon的移動安全進階組合軟件還提供遠程定位、鎖定或刪除丟失手機資訊的能力--蘋果透過Find My iPhone一直在提供這種能力,但奇怪的是,谷歌Android還未提供。事實上,有人會說光這些遠程管理工具本身就值2美元/月--當然前提是好用。 對很多用戶來說,反惡意軟件工具可能是第二位的。
不過,儘管邁克菲和Verizon的 新聞稿用詞比較硬,但Android平臺仍然是相對安全的,能確保大多數用戶在Play店下載應用程序。雖然用戶可能會遇到麻煩,但這種可能存在於所有計 算平臺--無論是移動還是其他平臺。
那些探索性的替代市場和側載應用程序有望有足夠智慧理解所冒的風險。安裝程序的人必須小心:側載應用程序應該注意安全 公司的警告,確保他們安裝的東西不會麻煩比價值還大。而Verizon客戶也要考慮,他們支付1.99美元/月是否能真的獲得安全。
