自从约书亚德拉克·朱飞德宣布他在Twitter上的黑帽会议上谈论他的谈话,博客圈的猜测已经猖獗。
Blackhat美国2015 StageFright:Android的心脏可怕代码:https://t.co/obzpibfx1x.经过@jduck.
- 移动安全性(@mobile_sec)2015年7月23日
如果某些权利要求如此,Android手机将爆发成火焰。自版本4.1果冻Bean以来,Android已被保护免受缓冲区溢出漏洞(如StageFight)地址空间布局随机化(ASLR)。下面的图表上一目了然显示,90%的Android设备受到ASLR的保护。Drake的估计受到这种漏洞影响的10亿个Android设备膨胀。
然而,它肯定会产生焦虑。Android用户非常担心,事情发生了真正糟糕的可能性,谷歌趋势表“StageFight”飙升超过两百万个搜索结果。
与iOS和Windows 10相比,Android的安全模式在各个方面都更好,除了一个方面。核心操作系统的更新难以预测且缓慢。谷歌定期更新其通过Play商店销售的Nexus系列设备。但Android厂商对新版本、补丁和改进的采用情况有时参差不齐。通常情况下,Android原始设备制造商需要与移动运营商合作来发布更新,这增加了复杂性,并拖延了过程。
虽然StageFight只影响了估计的十亿个设备的一小部分,但该规模脆弱的可能性可能已经强制谷歌和许多Android OEM致力于每月更新。就像一个心脏病发作警告迹象的患者消除了健康风险,谷歌及其Android OEM已经消除了影响整个Android平台的脆弱性的风险。
现在,使用常规更新,Android的安全模型比IOS和Windows 10要好得多。Android源代码可用于安全社区检查。开源使Android成为商业和学术研究人员的好主题,以测试理论和假设漏洞。谷歌将支付验证漏洞的赏金。
几年前,Google在设备上实施了On-Device Saveuards,其verifyApps模块在安装时检查应用程序并扫描应用程序以获取潜在有害行为。谷歌还应用了其实质性的大数据和机器学习技巧,以预测Android利用将来自下一个。
自2013年病毒公告会议以来,谷歌已经定量地报告了Android安全的状态以及渗透其生态系统的有害应用程序的数量。Android Security 2014年度评论(pdf)谷歌将每年发布,显示使用Google Play商店的少于0.15%的设备,其中包含了任何潜在的有害应用程序。Apple和Microsoft不分享此信息,因此无法比较。
如果有人认为iOS和Windows 10比Android更安全,那么它只是根据主观信仰的一种毫无根据的信仰。