日前谷歌发布了第二份年度Android安全报告，报告涵盖谷歌为提高其平台安全性所做的改进，但同时，补丁修复和升级的问题依然存在。

根据该报告显示，谷歌对内置到Google Play服务的各种安全产品进行了改进，Google Play是独立于Android操作系统进行更新的软件套件，它涵盖了大部分谷歌Android设备。

“截至2015年年底，超过10亿设备由谷歌安全服务提供保护，同时，谷歌每天会对4亿多设备进行安全扫描，”谷歌称，“这使得我们的安全服务成为世界上最广泛部署和使用的端点保护服务。”

反恶意软件公司Bitdefender的高级电子威胁分析师Liviu Arsene表示，这种说法是有道理的，特别是考虑到，并非所有这些用户会为他们的Android设备安装或使用任何其他安全解决方案。

在过去一年中，谷歌比较重要的一个更新是在Verify Apps上，这个基于云的服务会在应用安装前检查每个应用，以确定其是否是潜在有害程序（PHA）。如果应用被认为是潜在的威胁，Verify Apps会在安装时通知用户；谷歌声称他们对这个警告对话框做出了更改，有效减少了50%PHA的安装。

“Verify Apps也可以删除应用，而无需用户确认删除，”谷歌在Android安全报告中写道，“在2015年，我们改进了Verify Apps，让它可以删除注册为Device Administrators（设备管理员）的应用。我们还向Verify Apps增加了一个功能，让它可禁用在设备安全模型受攻击后被安装到系统分区的应用。”

Black Duck Software公司安全战略副总裁Mike Pittenger表示，Verify Apps可删除注册为设备管理员的应用，这是非常重要的改进，因为用户通常不会注意到这样的威胁。

“用户从朋友、网络或通过广告听说一款应用后，直接下载应用，而不检查其权限，要知道，应用根本不需要管理或根级权限来访问用户的设备，”Pittenger表示，“这种权限可让应用访问设备上几乎所有数据，并允许恶意攻击者在用户完全不知情的情况下控制设备，安装PHA或其他恶意软件。”

谷歌指出，Verify Apps能够找到PHA是因为其系统会对超过3500万Android应用套件（APK）持续进行自动分析，这包括Google Play中发布的所有应用的所有版本，以及Google Play中从未发布的数百万APK，每个APK都会被多次分析。

Arsene表示，这些扫描很重要，因为尽管我们建议用户不要从官网Google Play Store之外的地方安装应用，但在Android中在其他地方下载应用相对容易；用户通常会选择这样做，因为这让他们可免费安装原本要付费的游戏或工具。

“而且有些国家还会阻止谷歌及其所有服务，这不可避免地催生了替代性应用商店，”Arsene称，“考虑到Android在智能手机操作系统市场中的份额，这意味着数百万用户会安装Google Play之外的应用。”

谷歌表示，在他们扫描的3500万APK中，大约75%的APK没有在活跃值，也就是零安装率，另外10%目前只有不到5次安装。

Arsene称：“谷歌会扫描所有应用，甚至包括没有安装的应用，这表明他们对所有应用都同样地严格。但是，非常多应用没有被安装也表明，很多应用要么对用户没有吸引力，要么根本不能提供所期待的功能。”

尽管在亚洲和俄罗斯地区第三方应用商店很普及，Android安全报告指出，平均而言，在2015年，不到0.5%的设备安装有PHA，而仅从Google Play安装应用的设备平均不到0.15%。

另外，谷歌还改进了SafetyNet，SafetyNet可抵御已成功安装的应用中的网络和应用威胁，还允许设备提供安全相关信息到谷歌基于云的服务中去。

“自2014年10月起，SafetyNet采用主动网络探测来发现系统证书存储被操纵的情况，”Android安全报告称，“在2015年，SafetyNet发现，在每百万设备中只有不到两台设备安装了本地证书以允许中间人网络连接到谷歌服务。”

然而，尽管做出了这么多改进，谷歌承认，对于Android这么多样化的平台，推送补丁和软件更新仍然是一个挑战。谷歌称：“Android安全团队会定期向制造商提供Android 4.4.4及更高版本的安全补丁，让他们可更新其设备；70.8%的Android设备都在使用我们提供了补丁的版本。”

谷歌此前估计，世界上大约有14亿活跃的Android设备，即使所有受支持的设备可获得谷歌提供的补丁（专家称可能性不大），至少有4亿设备没有最新的补丁。

Arsene称，虽然企业有移动设备管理解决方案可在一定程度上减少未打补丁设备的风险，但企业还应使用安全技术来增强本地Android安全功能。

“攻击者极有可能会使用漏洞利用，因为世界上有超过4亿Android设备在运行没有安全支持的Android操作系统，”Arsene称，“我们这里谈论的是严重漏洞，其中有些很容易被利用。”

Pittenger称，现在越来越多的员工携带自己的设备到工作场所，这使得企业更难以发现网络中所有有风险的设备。

“虽然Android安全性正在不断提高，但我们知道，移动设备对攻击者来说是极具吸引力的目标。尽管谷歌正在部署静态和动态分析来发现安全问题，但这些工具并不完美，安全研究人员仍在不断发现安全漏洞。”