首页 > 信息安全 > 正文

移动安全:安卓更新频繁 防护不多

2013-04-01 10:14:34  来源:中国IT实验室

摘要:自3.15以来,移动安全问题一直是关注热点。但即便是安全软件,也做不了“国际警察”。在系统更新频繁、国内标准未明、电池资源约束的前提下,安全软件能为用户做的并不多。
关键词: 移动安全 安卓

    自3.15以来,移动安全问题一直是关注热点。但即便是安全软件,也做不了“国际警察”。在系统更新频繁、国内标准未明、电池资源约束的前提下,安全软件能为用户做的并不多。


    安卓更新频繁 做它的防护软件难


    今年2月份,一款基于安卓平台的新版卡巴斯基APP上线。较于之前的版本,它只是在对功能进行了整合、细化,易用性提升了,但新功能基本没有。


    “做安卓系统的产品挺难,上一个版本用起来还挺好的时候,系统一更新就不能用了。”卡巴斯基亚太区技术副总裁王南感慨。但庆幸的是,恶意程序也面临同样问题:版本不支持。


    2008年9月,谷歌正式发布Android 1.0系统。其后4年半时间,经历了十一次系统更新,周期最短为41天(由1.0更新至2.0),最长为253天(由3.2更新至4.0)。直到2012年10月30日,Android 4.2系统发布。


    安卓是一个开放的平台,但对于软件研发者而言,它的兼容性并不好,“安卓手机定价便宜,更新速度快,终端设备更新后,第三方所有软件都要更新,无一例外。


    安全重点已变 与系统平台无关系


    3月19日,国家互联网应急中心发布一组报告显示,去年该机构监测和网络安全企业通报的移动互联网恶意程序样本达162981个,较2011年增长25倍,其中约有82.5%潜伏在安卓平台。


    不过在王南看来,移动安全与系统平台关系不大,“评价苹果、安卓谁更危险,这个命题本身有点问题。”王南表示,现在恶意程序的“作案手法”改变了,已由“明抢”转变成“暗偷”。


    “在早前的PC时代,恶意程序通常会植入一个木马或蠕虫,目的是把你的系统弄瘫痪。”王南表示,但现在换成“偷”了(扣费、获取隐私),“它不会明目张胆地告诉你 我要偷钱 了。”


    “移动安全最危险的是从web而来,在online的情况下发生。”王南说道,它是通过浏览器,把用户引到某个地方,用钓鱼等方式窃取用户的资料、ID等。“都通过Wi-Fi(或其他)方式联网,都是在web上进行,都需要数据传输,与平台关系不是很大。”


[page]    用户隐私方面 能做的防护不太多


    谈到用户隐私,王南想起了年前的“3Q大战”,在标准不明的情况下,即便是安全软件也不能充当“国际警察”。而“3Q大战”的发生,正是有人把自己当成了“国际警察。”


    “移动与PC面临着同样的安全问题。”王南表示。目前,软件获取用户信息存在两个问题,一是采集方式不透明,只有安装时笼统的权限提示,缺乏什么时候获取,获取多少之类的信息;二是滥用,许多APP提供服务只需要1的信息,但它可能会要求8.


    “作为一款安全软件,我很难去扮演 国际警察 ,没有标准告诉我什么是对什么是错,因此没办法采取特别措施。”王南无奈地表示,因为防病毒可能发生误判。以一款地图软件为例,运行时它需要获取地理位置信息,安全软件便不能从中拦截,这是它提供服务的前提。


    在移动安全领域,卡巴斯基能做的不算太多。“按照特征码进行的防护,对网络钓鱼的拦截,还有一些文件加密功能。”王南表示,目前能做的主要是这三类。


    标准电池约束 只能进行简单防护


    其实这三种都是简单的防护工作,业内的定义都很清晰。王南表示,除此之外还有一个重要原因,“移动设备电池容量较小,防护做得太严格电池吃不消,用户不会喜欢。”


    就特征码、网络钓鱼而言,业内不存在判定标准争议。特征码是安全软件应用最广泛的一种杀毒方式,它从病毒体中提取病毒特征码,逐个与程序文件进行比较,误判概率很低。


    而钓鱼网站则是通过一些“诱饵”(假冒网站、群发短信),诱使用户提交账号、密码等信息继而进行窃取。安全软件能提取钓鱼网站特征码进行防护,也可以在云端搜集可疑网址,自动进行鉴定。


    文件加密功能也简单明了。“比如你有10位联系人,有两位很私密,用户使用加密功能后,其他软件就只能读取到8位联系人。”王南表示。


    另外,由于电池约束,移动安全软件必须精简许多功能。“比如主动防御、对行为特征码进行检测,这些必须消耗很多电池资源。”王南表示,这是一个矛与盾的关系,盾做得太强,用户必须用硬件资源做代价。


第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:fanwei

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。