谷歌在其第一份Android安全报告中称，在2014年，只有不到1%的设备感染Android恶意软件，但专家质疑Android生态系统是否还像以前那么安全。

谷歌的最新报告称，Android生态系统仍像以前那么安全，但有些专家对支撑谷歌这个结论的关键数据点表示质疑。

谷歌的第一份官方Android安全报告详细分析了有关在过去一年中发现的Android漏洞的所有数据，评估了该生态系统的整体安全性，并介绍了Android平台新增的安全功能—大多数用户还无法体验到这些功能。

该报告分为三个主要部分：Android的“总管事”谷歌公司收集的有关恶意应用的数据；修复的漏洞；以及添加到Android系统的最新安全功能。

根据谷歌表示，在2014年，只有不到1%的Android设备感染了恶意软件，而完全通过Google Play Store中下载应用的用户面临的风险要低得多，但在企业常见的更新问题依然很明显。

在接受SearchSecurity的采访时，谷歌Android安全负责人Adrian Ludwig称谷歌的Android安全模型采用了“分层方法”，其中有些安全功能构建到开源系统层，而有些则位于所谓的“表面层”，例如Google Play服务。请不要将其与Google Play Store应用商店混淆，Google Play服务是一组API和工具集，可帮助开发人员简化Android平台和谷歌服务的应用集成。

“表面层的价值在于收集数据的能力，这有助于制定路线图，”Ludwig称，“这还可以帮助其他人发现改进应用的机会，或基于已知威胁提高对平台的信心。”

捕获恶意软件

Google Play服务对Android安全越来越重要，该服务提供很多安全特定服务来保护设备及其应用。根据谷歌表示，Google Play服务保护着超过10亿设备，这包括世界大部分地区的绝大多数Android设备。

很多Google Play服务可用于搜索谷歌所谓的潜在恶意软件（PHA），包括检查应用签名、分析静态和动态代码以寻找潜在有害行为，以及对应用质量执行启发式分析。

其中Google Play服务的两个主要安全功能（Verify Apps和Safety Net）包含在Android 2.3及更高版本中，这两个版本占目前使用设备的99.5%。

Verify Apps服务会在安装过程中扫描应用中的恶意代码，无论该应用是通过Google Play Store还是通过侧面载入的安装。根据谷歌表示，在2014年11月11日之前的一周，Verify Apps每天扫描超过2亿台设备。

谷歌发现，从2014年整体来看，只有不到1%的设备感染PHA，到10月份，这个数字下降到全年最低点：低于0.5%。而对于完全通过Google Play Store安装应用的用户，这低于0.15%。谷歌还发现，在2014年第一季度到第四季度，从Google Play Store外部安装的PHA下降了60%。

“虽然我们看到越来越多的应用（无论好的和恶意的），同时生态系统也在发展，但PHA数值正在下降，”Ludwig称，“用户安装PHA的可能性越来越低，这使得整个生态系统更安全。”

以色列安全供应商Skycure Security首席技术官Yair Amit称，在修复漏洞和抵御恶意软件方面，谷歌的工作做得非常好，但他指出，恶意软件正不断发展，移动安全也需要继续加强。

“在过去，针对移动设备的基于签名的防病毒软件等概念还可以抵御恶意软件，”Amit称，“而现在移动恶意软件已经可以轻易绕过这些典型工具，让企业面临巨大风险。”

反恶意软件公司Bitdefender高级电子威胁研究人员Liviu Arsene表示，谷歌收集的威胁数据应该有利于Android用户，这可以让他们在漏洞被利用之前修复漏洞。

“这对于企业是好事情，因为这让使用MDM管理大量设备的IT部门将不再需要专注于修复漏洞，而是在管理政策，”Arsene表示，“然而，这完全取决于谷歌能否及时发布安全更新，而不是依赖OEM来发布自己的固件更新–这通常需要几个月，有时候根本没有更新。”

谷歌指出，rooting和侧面载入极大地增加了Android设备感染PHA的可能性，但谷歌同时也称，这些风险往往出现在特定区域。对于rooting，美国和英国的PHA水平仍低于0.5%，而中国增长到3.5%，俄罗斯略低于2.5%。

Ludwig称，大多数恶意软件来自Google Play Store以外的来源，这意味着企业应该在MDM战略中应禁止侧面载入，这可以帮助显著降低风险。

“我发现，在Google Play安装应用和从外部安装应用的设备之间存在巨大差异，”Ludwig称，“在Google Play安装应用的安全性高达七倍。”

Amit认为，完全从Google Play安装要比从第三方来源安装Android应用更安全，但他称，第三方来源总是会更受欢迎，这可能导致意想不到的风险。

“当用户允许其Android设备安装第三方商店的应用时，其设备不只是会允许来自可信来源（例如亚马逊商店）的应用，”Amit称，“而是从更让人担忧的来源，例如传播移动恶意软件的电子邮件、短信和网站”

Google Play服务的另一个设备安全功能是Safety Net，Ludwig称这是涉及威胁情报数据收集的技术集，这些技术还会验证设备是否采用谷歌对Android设备要求的安全模式。

Safety Net为保护设备而采取的操作是动态更改设备的配置设置，包括更新黑名单。

“Safety Net侧重于了解正在发生的攻击类型，例如SSL攻击的频率，”Ludwig称，“这样我们就可以确定阻止这些问题的最佳途径。”

谷歌在Android安全报告中指出，Safety Net每天分析4亿网络连接。Ludwig称，大多数这些连接是由Safety Net发起以检查任何企图从外部操作连接的行为，包括中间人攻击和网络重新路由。

“这里的想法是筛选出表明恶意意图的编程模式，”Beardsley称，“我相信这会为最终负责筛选的人员减轻工作负担。”

Android漏洞修复

谷歌称，Android安全团队已经为30个高度严重、41个中度严重和8个低严重性的漏洞提供了修复程序。在2014年发现的漏洞中，并没有被谷歌列为紧急漏洞的漏洞。在这79个修复程序中，73个已经发布到Android开源项目（AOSP），另外6个将发布在下一次AOSP更新。然而,专家指出，发布到AOSP的修复程序并不一定意味着制造商或运营商推送到用户设备。

Amit对谷歌的漏洞评级方式持怀疑态度，并指出，对于谷歌来说，“高风险”是指可能导致远程代码执行和本地权限提升的漏洞。
“这种漏洞对个人和企业移动设备及其数据构成明显威胁，”Amit称，“而谷歌评定的紧急漏洞涉及主动漏洞利用。对于衡量漏洞是否被主动利用很难确定，所以这个定义是有问题的。”

该报告称2014年修复的高知名度漏洞包括Heartbleed和FakeID。谷歌表示，该报告中对任何已知漏洞的唯一重大漏洞利用是futex syscall中的本地权限提升漏洞，但谷歌称该漏洞被发现在rooting工具中，企业对此不太关注。
谷歌表示他们经常与漏洞研究人员合作，并为参与了已发布修复程序开发工作的40多名安全研究人员创建了确认页面。

Arsene称，谷歌、研究人员和开发人员之间的这种沟通表明其对未来的承诺。

“在最近发现的安全漏洞（例如Heartbleed），谷歌迅速发布了网络监控工具和最佳做法指南，以帮助开发人员缓解潜在安全风险，”Arsene表示，“Android社区一直很团结，Android团队也经常会听取用户的意见。”

尽管已经修复所有这些漏洞，谷歌在报告中承认说“有些设备并没有修复所有已知漏洞”，这暗指了Android生态系统的常见问题之一，即制造商更新软件很缓慢。

Rapid7公司安全研究人员Tod Beardsley称，对于Android漏洞修复，更新周期缓慢并不是用户唯一需要担心的问题；缺乏明确规定的终止寿命（EOL）政策也非常令人担忧，这通常让老版本的Android易受攻击，因为很多设备没有更新。

“缺少EOL所造成的事故的最显著例子是2014年12月WebView骚乱，”Beardsley称，“最近，谷歌称新版Chrome不再支持Android 4.0.4版本，尽管在两年前购买的4.0.4手机上仍然可以使用Chrome，没有升级渠道—这取决于你的经济情况。”

未来的安全性

谷歌还在报告中介绍了Android新安全功能和Android 5.0 Lollipop中的功能。这些更新包括改进的全磁盘加密（FDE）和更强的SELinux执行。

Arsene称SELinux是执行访问控制安全政策的内核模块，旨在确保数据安全不会受到恶意软件或漏洞的影响。该功能通过限制应用权限，同时迁移整个系统安全性到内核水平，来确保安全应用隔离。

Beardsley称这种改进说明谷歌正在认真实行权限分离和沙箱技术。

根据谷歌表示，从Android 5.0开始，磁盘加密改进包括保护用户密码抵御使用scrypt的暴力破解攻击，关键是绑定到硬件密钥库来防止脱机设备密码暴力破解攻击。在Android 5.0设备中，全磁盘加密在默认情况下启用，以加强对丢失或被盗数据中数据的保护。

然而，专家指出，全磁盘加密的优势在多个方面受到影响。《Android Security Internals》作者Nikolay Elenkov称，全磁盘加密主要存在两个问题。

“Android 5.0并没有硬件加速磁盘加密，即使在支持该加密的设备，所以大多数人会将其联系到性能问题，而不是安全问题，”Elenkov称，“另一个坏消息是，Android 5.1实际上让供应商更容易通过系统属性来禁用默认的全磁盘加密。”

对此，谷歌指出，在Android这样多样化的硬件生态系统中，在默认情况下执行全磁盘加密是很困难的事情。
“由于某些设备的性能问题，我们还无法在所有新的Lollipoo设备默认启用加密功能，”谷歌发言人称，“我们仍然强烈推荐启用加密功能，但是否默认启用加密功能主要取决于设备制造商。”

专家普遍抱怨的是，大多数Android用户将在很长一段时间内无法体验到这些功能，因为设备操作系统更新非常缓慢。截止3月2日，谷歌官方数据显示（在4月6日再次更新），Android 5.0 Lollipop只占Android生态系统的3.3%。而对于专家关注的这个问题，谷歌拒绝发表评论。

“谷歌发布新安全功能和这些功能真正到达用户手中之间的时间差距严重影响了谷歌对Android安全的改进工作，”Beardsley称，“这意味着，虽然默认启用全磁盘加密和可通过Play更新的WebView是对Android安全性的显著改进，但几乎没有人可以看到这些功能，它们现在仅存在于Lollipop。”

Arsene表示同意，并称现在只有少数Android用户可以受益于这些安全改进，安全风险仍然可能会像以前那样发生。他还指出，即使是企业获取这些功能的最佳路径也相当不可行。

“对于想要部署Android Lollipop并从安全功能中受益的企业，可以选择手动升级所有现有Android设备，或者购买预装Android 5.0的新硬件，”Arsene称，“你可能已经猜到，这些类型的升级并不是很便宜，特别是当你有500名员工或更多员工时。”