写点什么

剑桥大学研究人员称,Android 的安全性堪忧

2015 年 10 月 26 日

据有关报道称,剑桥大学的研究人员此前已经进行了大量而广泛的研究,主要针对 Android 设备和 Android 版本的软件安全性能进行了测试,且研究时间持续数年。最后他们的研究结果显示,在过去的四年时间里,87% 的 Android 设备是最容易受到攻击的。研究主要集中在查找“危急级漏洞”——即允许一个恶意的或受损的 App 获取 root 权限。

当然,这些结果并不是空穴来风。研究人员将他们的方法论应用在一台自己开发的 App 上——设备分析仪,然后把从世界各地的志愿者那里提供来的数据导入这个数据分析仪,结果就很明显了。

这项研究的主要负责人 Daniel Thomas,事后表明,这一研究结果主要是基于收集来自 20000 多个设备的数据基础之上分析而来的,而且他的团队目前一直在招募更多的志愿者将自己的 Android 数据贡献出来。所有数据都来自志愿者所使用的 Android 设备,再将这些数据和相关的已知漏洞信息相结合起来,就可以为各设备生产厂家设置出 FUM 评分标准。考虑到部分设备免受已知漏洞攻击所占的比例,运行最新的 Android 版本的设备也占到了一定的比例等等因素,所以,FUM 评分标准设在 0 和 10 之间,以此来衡量各个制造商正在做的设备之间的安全差别有多大。

事实数据显示,谷歌、LG 和摩托罗拉的安全指数相对较高,分别是 5.2 分、4 分和 3.1 分,排在前面。三星、HTC 和索尼紧随其后,得分在 2.5 左右。

据研究人员称,Android 设备安全性不足的背后原因主要在于制造商的安全策略存在很大的问题,尤其是在提供定期安全更新决策上有很大的纰漏。他们的建议是只允许用户从 Google Play 商店安装应用程序,以此来隔绝外部威胁,减少漏洞。但是,最近出现的 Android 安全问题已经表明,这种做法根本不足以保护用户的安全。

InfoQ 已经和 Daniel Thomas 进行了沟通,想从他那更好地了解 Android 安全观是什么?FUM 评分的意义又是什么?

InfoQ**:从您的研究来看,87%的 Android设备在过去的四年里处在“危险境地”,也就是说只有很少一部分的设备是安全的?**

“Android 设备的不安全性越来越多,这种变化跟我们经常发现漏洞有很直接的关系,或者说,跟我们经常在数据库中发现各种漏洞不无关系。但是这跟制造商的硬件更新行为关系不大。在这一点上很难说清楚,有可能问题出在双方身上。不过,值得庆幸的是,这个行业正在努力解决目前所遇到的麻烦,所以我乐观地认为,事情会往好的方向发展的。”

InfoQ**:您的研究中,Google的 FUM分数最高,这个数据公正吗?不管是对于 Google还是别的制造厂商来说,拿到 10分或者更高的分数有多难呢?**

“我只能说 Google 获得这个评分很一般,对于一个制造商来说,得到 10 分或者朝上的分数都不是一件容易的事。举例来说,制造商在开始上市自己的设备之后,必须要在接下来的几年之内保持设备的更新速度。同时,他们也必须能够非常快速的创建和测试新软件的安全,这需要更好的内部流程,尤其是要比目前大多数厂商似乎已有的流程更好才有胜算。”

InfoQ:您会计划将这样的研究用于 iOS或者其他的平台吗?

“目前我们还没有对 iOS 数据进行研究。但是我们猜测,iOS 可能会获得一个比 Android 更好一点的成绩,因为 iOS 在长期以来都能提供定期更新,这一点比 Android 要棒,只不过一切都很难说。”

最后,研究人员还建立了一个网站,提供了他们的相关的研究细节,包括一台关于所有漏洞的机器可读列表。

查看英文原文: Cambridge Study Analyzes State of Android Security


感谢张龙对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入 InfoQ 读者交流群)。

2015 年 10 月 26 日 19:001328

评论

发布
暂无评论
发现更多内容

CSS08 - CSS特性

桃夭十一里

html/css

VUE项目性能优化实践——通过懒加载提升页面响应速度

Geek_Willie

Vue

俯瞰Dubbo全局,阅读源码前必须掌握这些!!

冰河

架构 分布式 微服务 dubbo 服务治理

【Mysql-InnoDB系列】InnoDB架构

程序员架构进阶

MySQL 架构 innodb 28天写作

如何使用Eclipse内存分析工具定位内存泄露

Java老k

Java 内存泄露

杜绝标题党,好的标题是成功的99%

xcbeyond

方法论 28天写作 写作技巧

文档驱动开发模式在 AIMS 中的应用与实践

华为云开发者社区

Web 代码 API 文档

从七日更,到28天写作挑战,我无法拒绝的原因

梁龙先森

前端 编程语言 28天写作

云算力矿机租赁挖矿APP系统开发|云算力矿机租赁挖矿软件开发

开發I852946OIIO

系统开发

Hive的调优你都知道那些?

大数据老哥

大数据 hadoop hive

CSS09 - 文本&背景属性

桃夭十一里

html/css

数据中心“容灾”和“备份”的区别

网络技术平台

如果你听说过 Elastic Certified Engineer

escray

日更挑战 28天写作 死磕Elasticsearch 60天通过Elastic认证考试

智慧公安大数据可视化分析平台开发,重点人员管控平台建设

WX13823153201

Java中定时器Timer致命缺点(附学习方法)

叫练

定时任务 高效学习 多线程 定时器 技术学习

甲方日常 81

句子

随笔杂谈

如何使用Eclipse内存分析工具定位内存泄露

AI乔治

Java eclipse 架构

LeetCode题解:111. 二叉树的最小深度,BFS,JavaScript,详细注释

Lee Chen

算法 LeetCode 前端进阶训练营

要想软件“一想之美”,UI测试少不了

华为云开发者社区

软件 测试 华为云

代码也能“杀”虫:此虫,真虫非Bug也

华为云开发者社区

代码 华为云 modelarts

【CSS】CSS对大小写敏感吗?

学习委员

28天写作

还在手动写数据库文档吗?试试这个工具,划水干活儿两不误!

我爱娃哈哈😍

数据库 文档生成

开始的开始-可能是最早提交的28天写作活动作品

石君

28天写作

一个正确的编程思维

程序员吴师兄

28天写作

边缘计算安全技术研究

华为云原生团队

云计算 大数据 云原生 边缘计算 华为云

不愧是Alibaba技术官:程序员必会的架构知识清单,如何让你技术上的提升面试时的丰收

Java架构之路

Java 程序员 架构 面试 编程语言

一次系统调用时间过长追踪完整教程案例

AI乔治

Java Linux 架构

Spark HistoryServer日志解析&清理异常

笨小康

大数据 spark hdfs

volatile 关键字精讲

伯阳

Java volatile 关键字 后端开发 多线程与高并发

ETL都没弄懂,谈什么大数据 ?我用一分钟给你整明白

智分析

ETL

甲方日常 82

句子

随笔杂谈

InfoQ 极客传媒开发者生态共创计划线上发布会

InfoQ 极客传媒开发者生态共创计划线上发布会

剑桥大学研究人员称,Android的安全性堪忧-InfoQ