相關文章

Eb2c8735dda25e277834cbb98d46d724 在剛剛結束的世界行動通訊大會上,Android負責人Sundar Pichai也出現在會場。由於媒體上經常出現各類有關Android被惡意軟體佔領的新聞,所以和Android、iOS安全性相關的問題自然也被拋給了Sundar Pichai。作為Google高級副總裁,Pichai當然表示Android是相當安全的。而在這個問題的背後,Android和iOS到底是如何抵擋惡意軟體的呢?

圖片來源

作為一個行動作業系統其安全性相關多個方面,但正如蘋果在iOS安全白皮書中所說的那樣——APP程式已經是現代行動作業系統安全體系結構中最關鍵的要素之一,所以本文就從APP的層面來看一看Android和iOS的安全機制。

先來看Android,早在Google Play Store還被叫做Android Market的時候,Google就發佈了一個代號為「Bouncer」的服務。Bouncer會自動掃描Android Market上已經存在的所有APP來分析他們是否包含潛在的安全威脅。透過構建在雲端的模擬器,Bouncer可以模擬APP在Android設備上執行的狀態進而找出隱藏的惡意行為。此外,Bouncer還會掃描開發者帳戶以防止惡意軟體發展商再度向Google提交惡意APP。透過此舉Google大致上可以保證Google Play Store上APP的安全性。

在系統層面,Android在4.2及以後的版本中增加了APP程式驗證機制。當使用者安裝第三方管道的APP時,該驗證機制便會向Google的伺服器發送驗證資訊來確認其安全性,如果返回的結果是否定的,那麼系統便會阻止使用者繼續安裝。為了豐富自己的資料庫,除了Google Play Store外,Google還會掃描網路上各類APK檔。而且接下來,Google還將升級APP驗證機制,在升級後,APP驗證機制將可以在後台運行以監測那些已經安裝的APP是否有不軌行為。預計相關功能將會隨著Google Play Services的下次更新悄悄推送給Android 2.3及以上版本的使用者。透過此舉Google也就讓安裝第三方管道APP給用戶帶來的風險大大降低。

圖片來源

在系統底層上,Android還故意限制了應用程式對一些API的存取,比如Android並不提供直接操縱SIM卡的API。當第三方APP存取相關地理位置、相機、藍牙、簡訊等「受保護的API」時則需要得到使用者另外的許可。在資料保護上,第三方APP只有透過Android系統許可權檢查之後才可以存取個人資訊、敏感性資料輸入裝置、設備中繼資料等相關資訊。

再來看iOS,由於iOS使用者獲取APP的途徑相對單一,所以蘋果可以從源頭上來控制APP的安全性。而事實上,蘋果也確實是這麼做的。iOS系統要求所有可執行的程式碼都需要使用蘋果頒發的證書進行簽名,這當然也包括第三方的各類APP。APP開發商想獲得蘋果頒發的證書就必須到蘋果那裡註冊加入iOS開發專案組。這樣所有獲得了證書並且有權利向App Store提交和發佈APP的開發商都是事先通過了蘋果驗證的,蘋果也很容易就可以辨別出每款APP背後對應的公司或個人資訊。用蘋果的話說,這樣對那些惡意APP開發者來說就有了很好的威懾作用。

事實上,APP簽名在Android上也是必須的。而之所以蘋果能在這一環節上更好地控制APP的安全性是由於它可以要求所有的開發者都使用蘋果的證書進行簽名,這在Android上基本上是不可行的。Android上並沒有一個「中央權威」來控制所有APP的簽名,各運營商、OEM以及第三方市場都可以給APP簽名。

在系統層面上,蘋果一樣做了諸多限制措施。比如當一個第三方APP需要讀取資訊在APP本身之外時,它只能使用iOS系統提供的API來讀取這些資訊;需要背景處理能力的APP同樣只能使用系統提供的API;而且由於整個OS分區被掛載為唯讀,所以API也不允許APP程式不斷提升自己的許可權來修改其他APP或者iOS系統本身。在保護APP內資料方面,iOS的軟體開發套件則提供了一整套API來幫助開發者提升資料的安全性。

此外,由於iOS系統硬體也都受蘋果控制,所以蘋果還使用了ARM處理器的「禁止執行位」安全技術來防止APP程式做惡。

總結來看,雖然Google和蘋果對各自系統的掌控能力不同,但雙方都在自己可控的範圍內為Android和iOS在系統連接層面、APP未到達設備端時以及APP已經在設備端運行時提供了防護措施。由於蘋果可以控制硬體,所以iOS多了一層處理器層面的防護。不過Android是開源的,所以它可以從社群中汲取力量加強自己的安全性,而且Google也確實這麼做了。所以兩者可以說是各有優勢。

相對於iOS,Android的確把更多的選擇權交給了使用者讓他們自行選擇。這在某些時候確實會帶來隱患,但Android的安全並沒有媒體以及一些非獨立的安全機構經常宣傳的那樣脆弱。所以如果你使用新的Android系統並且從正規管道下載APP,那麼下次再看到「99%的Android設備將受到病毒感染」這樣的新聞時,並不需要驚慌,也沒必要馬上為安全廠商送去鈔票了。

延伸閱讀:

有解藥了!Google 已經向 OEM 廠商提供威脅 99% Android 設備安全漏洞的修補程式

你對 Android 手機的資安敏感度有多高?來試試「Test Your Security IQ」測驗吧

Android特大漏洞解藥釋出,馬上查詢你的手機漏洞補起來了沒!

使用 Facebook 留言

發表回應

謹慎發言,尊重彼此。按此展開留言規則