安卓系统能将FLASH角色驻留内存存方便下次...

安卓系统如何突破自身的安全困局
[摘要]数以亿计的安卓设备都有播放Flash内容的能力,曾经的优势正让用户付出代价。该技术导致了各种漏洞,已经被众多的恶意软件所利用。
腾讯数码讯(编译:大禾)数年前,由于Adobe Flash在安全及性能方面存在的问题,史蒂夫·乔布斯将该技术称作一辆即将出轨的列车,该言论曾经招致在该平台上投资甚多的厂商的强烈不满。如今,谷歌的安卓平台也正在收获类似的负面评价,只是这一次,差评来自安卓自己的粉丝。安卓正成为谷歌旗下的Flash?如今,对于绝大多数人而言,关于Flash存在的诸多问题恐怕不存在任何争议。《连线》杂志近日就曾将Flash评价为“不安全,对系统资源贪得无厌,每个人都对此憎恶”,上述评论出现在就“Mozilla在浏览器中禁止Flash技术”以及“Facebook的首席安全官Alex Stamos呼吁Adobe赶紧让Flash走进历史”这两起事件进行的评论中。就连谷歌的态度也发生了转变,该公司在2010年曾经是Flash技术的坚定支持者,其将这一封闭的Web中间件平台预装于安卓平板电脑中,作为对iPad进行差异化竞争的特点之一。如今,谷歌也在尽最大努力划清自己与Flash的界限。在经历了将Adobe Flash整合进安卓平台以及浏览器的种种痛苦之后,谷歌的态度悄然发生转变。谷歌不但没有证明苹果当年的判断是错误的,反而用自身行动证明了将Flash整合进移动设备是一种徒劳无功的举动。数以亿计的安卓设备都拥有播放Flash内容的能力,曾经的优势而今正让用户付出沉重代价。该技术导致了各种漏洞,其中不乏去年由Bluebox Security发现的严重漏洞“Fake ID”。不少漏洞已经被为数众多的恶意软件所利用。即便招致如潮的恶评,Flash还是无处不在。即便浏览器在用户冲浪时不断发出警告,为数众多的网站仍坚持尝试载入Flash播放器插件,有时根本没有任何必要的理由,比如当前网站既不需要播放视频,也没有游戏或导航动画。Flash多到无孔不入,无法回避的地步。因此,越来越多的安全专家以及平台厂商呼吁Adobe赶紧让Flash退役。安卓与Flash的相似之处正是当年那批将Flash整合进安卓的谷歌工程师及产品经理促成了如今的局面。而且,具有讽刺意味的是,安卓机器人标识的颜色在传统文化中也被人们视作生病的意思。当年不周的考虑让平台变成了全球最大的恶意软件集散地,此前背负如此骂名的当属微软的Windows平台,而安卓最近在此方面终于成功赶超。当然,也不能将责任完全推倒Flash身上。近日,一个名为“Stagefright”的漏洞被安全专家发现,这是安卓系统内部的问题,完全与Flash无关。通过该漏洞,黑客只需一行简单的文本消息即可取得系统的全部权限。任何平台都不可避免的存在各种类型的漏洞,红帽Linux是这样,苹果自己的iOS以及OS X也不可免俗。主要的差别在于,像苹果这样认真对待此类问题的厂商会不断推出补丁,尽量修补每一个用户手中的每一台设备。多年来,苹果都在对3至4年前售出的iPad、以及Mac进行更新,有时甚至对更旧的设备进行安全更新。此举帮助苹果用户在许多情况下避免受到威胁,让那些针对公开漏洞撰写恶意软件的代码无法得逞。其他移动平台则无法做到这一点。无论是塞班、webOS、、Windows Mobile还是本文讨论的安卓,它们在发布安全补丁方面纷纷有着糟糕的记录。而众多安卓设备的制造商也纷纷逃避责任,或者在向用户推送补丁方面动作迟缓。甚至在谷歌针对已知漏洞推出了相应补丁程序的情况下,这些设备厂商也对此兴趣寥寥,不愿及时主动向用户推送,主要原因可能在于,这些厂商通常都对原生安卓系统进行了修改,谷歌的补丁在推送前需要针对自己的定制版本进行调试。近日就有文章对此描述道,安卓用户能否收到安全更新(姑且不论是否及时),完全要看设备制造商的脸色。文章对此形容道,这就好比微软将更新和补丁文件交给或者你的互联网服务提供商,后者再向你发送这些文件。问题是,他们真的关心你的问题吗?这就是安卓目前面临的局面。因此,安卓在安全方面的问题远较Flash更为严重。情况确实如此。想想看,Adobe起码在不断对Flash这种人们眼中的垃圾软件进行更新。虽然让浏览器中的Flash播放器保持最新状态是一件痛苦的事情,但只要愿意忍受周而复始的***过程,起码还是有可能的。而对于安卓来说,用户甚至都无法保证基本的安全性能。当然了,除非你是一名工程师,同时要有极好的悟性,然后周期性将自己的代码编译成全新的内核。甚至这种做法也同样存在问题,因为在许多情况下,谷歌对你遇到的问题的重视程度不会超过他们对运营商以及硬件厂商的重视程度。举例来说,谷歌的安卓WebView自今年1月起就被曝出严重的安全漏洞,在数以亿计的安卓用户中,至今仍有60%的用户会受到威胁。谷歌就没有想要修补该漏洞的意思。起码Adobe不会无视这种漏洞的存在,世界上任何一个负责任的厂商都不会这样,但是在安卓的世界里,这种事情已经见怪不怪了。安卓的安全问题与谷歌的设计思路不无关系。安卓系统不仅由一堆缺乏责任心、完全不靠谱的硬件厂商负责维护,谷歌自己有时也处于不作为的状态。在安卓的核心政策中就能找到证据,其只是为了在意识形态上与苹果针锋相对,就愚蠢的做出了将Flash整合进安卓设备这种选择。在安卓的意识形态中,作为开源自由派的先锋代表,搭载这种系统的设备无需采取任何阻止可执行文件***的措施,无论是来自网络链接的还是NFC的,甚至是谷歌自己的技术也可能将用户暴露在危险中,例如其近期推出的尝试对苹果iBeacon 叫板的全新协议Eddystone。该技术可以让随机的设备向安卓移动设备发送网址,进而可能导致安全问题。从一开始,谷歌就在宣扬一种想法,那就是让安卓可以载入来自任何地方的软件,这也从侧面反映了“自由”的风格深深的植根在了安卓系统中。而严酷的事实证明了一个开放的应用商店从安全角度来说与将Flash深度整合进浏览器的想法一样疯狂。几乎所有恶意软件都是针对安卓平台编写的这一事实也凸显了谷歌政策的诸多漏洞,安卓设备可以***来自任何地方的软件,而在某些情况下,用户甚至对此毫不知情。去年,安卓老大桑德·皮蔡曾经说过,如果他拥有一家致力于恶意软件业务的公司,也会选择安卓作为目标。他的意思是说,由于安卓和Windows一样,用户数量众多,自然会成为恶意软件编写者的目标。如果安卓和Windows是全球唯一两个用户基数在10亿级别的平台,或许这一观点还值得相信。但是,多年来,苹果已经默默的将Mac的市场从很小的规模发展到了如今的地步,虽然没有赶超PC,但其市场占有率已经大为提高。按照安卓老大的说法,Mac上多半也存在恶意软件泛滥的现象了。此外,苹果的iOS很快就将超越Windows的装机量。而且,为数众多的苹果设备仍运行iOS 8。苹果拥有数以亿计的iOS用户以及数千万Mac用户,但这些平台从未面临安卓以及Windows上如潮水般涌现的恶意软件。无可辩驳的事实指出了恶意软件与产品的流行程度不存在必然联系。如同其他捕食者一样,恶意软件作者同样需要考虑容易受到影响的用户数,而非简单的从装机量来考虑。苹果的安全政策无法停止各类博取眼球的媒体成日进行耸人听闻的报道,使读者有一种iOS与安卓一样很糟糕的印象。然而,对于恶意软件作者来说却心知肚明,那就是:针对iOS撰写恶意软件几乎无利可图。另一方面,针对安卓和Windows用户存在大量的欺诈与窥探行为,且某些人从中获得大笔利润,实施此类行为的软件在互联网上公开售卖。然而,并没有针对iOS的此类软件存在,甚至连执法部门手中也没有,用户只有将手中的设备“越狱”才可能成为潜在的受害者。这意味着,iOS对于黑客来说显然具备价值,但由于苹果完善的安全策略,使得选择该平台作为目标的代价非常高昂,而且过往被暴露的漏洞也在短时间内得以修复。而谷歌经常让大量用户暴露在已知问题面前,使得选择这些用户作为目标非常容易得手,而且利润丰厚。这种局面也在逐渐影响用户的选择。苹果用户在设备上做出了更多的购买行为,在应用商店中订购了更多的应用,在设备上浏览了更多的信息,同时也在广告主眼中具备更多的价值。反观安卓,由于恶意软件的泛滥,即便是最忠实的粉丝也逐渐心灰意冷,开始转投其他平台。这种转变将使得谷歌面对的用户所具备的价值更低。实际上,用户的倒戈并非停留在理论上,苹果最新的iPhone 6从安卓平台吸引过来的新用户数量创下纪录,而安卓设备最大的制造商在过去数个季度就遭遇了收入的大幅度下滑。此外,很少有安卓设备厂商可以实现持续赢利。从目前的种种迹象来看,局势丝毫没有改变的迹象,各种趋势仍得以延续。来源:
[责任编辑:yannwang]
还能输入140字
Copyright & 1998 - 2017 Tencent. All Rights Reserved

参考资料

 

随机推荐