Google 公佈 Android 年度安全報告:為生態系統提供更多保障

Google 近日發表第三份 Android 年度安全報告(Android Security 2016 Year in Review),總結了其服務、合作伙伴及安全社區,在過去一年中保護 Android 生態系統的情況,並指出 Android 的重大安全問題有改善,但仍然有些裝置沒有接受過安全更新。

協助用戶抵禦潛在有害應用程式 (PHA)

Google 透過應用程式分析工具 Verify Apps,不斷審視可能威脅安全的應用程式,以保護從非 Google Play 渠道下載 Apps 的 Android 用戶。Verify Apps 會定期掃描用戶裝置檢查有否隱藏有害應用程式 PHA,並不斷追蹤及攔截現存有 PHA ,更需要在新增 PHA 出現前作出防範。一旦偵測到 PHA,他們就會提醒用戶,建議他們在下載某個應用程式之前要再三考慮,甚至在裝置上徹底刪除該應用程式。

2016年,Verify Apps 每日進行的掃描多達 7 億 5 千萬次,遠超 2015 年的 4 億 5 千萬次,令在 Android使用量最高的 50 個國家中的 PHA 下載率下降。

Google Play 始終是 Android 用戶下載應用程式的最安全地方,在 Google Play 不同應用程式類別中下載到 PHA 的機會都有所下降。

  • 下載到「木馬病毒」 (Trojan) 的機率降至 0.016%,較 2015 年減少 51.5%
  • 下載到惡意應用程式的機率降至 0.003%,較 2015 年減少 54.6%
  • 下載到木馬後門程式 (Backdoor) 的機率降至 0.003%,較 2015 年減少 30.5%
  • 下載到釣魚程式 (Phishing) 的機率降至 0.0018%,較 2015 年減少 73.4%

截至2016年年底,只有0.05% 用戶裝置從 Google Play 下載到藏有PHA的應用程式,低於2015年錄得的 0.15%。但如果要在 Google Play 以後第三方的地方下載 Android 程式,下載到潛在有害程式的機率是自 Google Play 下載的 10 倍。

 

通過合作 提升 Android 生態系統安全

Google 在 2016 年與其他各界合作推出「每月安全更新計劃」,持續與安全研究社群緊密合作:

  • 在 2016 年,由 200 多家廠商出產、超過7億3千5百萬部流動裝置成功接收 Android 安全更新。
  • 全球活躍 Android 裝置有3%運行Android 4.4.4 或以上版本,Google 為這些流動裝置每月發出 Android 安全更新。
  • Google 與電訊商及硬件合作夥伴協作,擴充每月安全更新計劃的普及程度。截至 2016 年第四季,Google 向過半數的全球 50 款最受歡迎流動裝置發送安全更新。

Google 為 Pixel 和 Nexus 流動裝置提供每月安全更新,但在提升Android 生態系統安全方面仍然任務艱巨。截至 2016 年年尾,有接近一半的 Andriod 裝置在過去一年未有接收到平台的安全更新。在未來,Google 亦會透過簡化安全更新計劃,讓廠商更容易發送安全修補程式和 A/B 更新,方便用戶安裝更新,提升流動裝置安全水平。

在研究方面,Android 安全獎勵計劃(Vulnerability Rewards Program)迴響大,Google 在 2016年向報告漏洞的相關研究人員發放近 100 萬美元獎勵。與此同時,Google 亦與多家保安機構緊密合作,致力迅尋找並修復可能危害用戶的問題。

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *

限制時效已用盡。請重新載入驗證碼。