转载

剑桥大学研究人员称，Android的安全性堪忧

据有关报道称，剑桥大学的研究人员此前已经进行了大量而广泛的研究，主要针对Android设备和Android版本的软件安全性能进行了测试，且研究时间持续数年。最后他们的研究结果显示，在过去的四年时间里，87%的Android设备是最容易受到攻击的。研究主要集中在查找“危急级漏洞”——即允许一个恶意的或受损的App获取root权限。

当然，这些结果并不是空穴来风。研究人员将他们的方法论应用在一台自己开发的App上——设备分析仪，然后把从世界各地的志愿者那里提供来的数据导入这个数据分析仪，结果就很明显了。

这项研究的主要负责人Daniel Thomas，事后表明，这一研究结果主要是基于收集来自20000多个设备的数据基础之上分析而来的，而且他的团队目前一直在招募更多的志愿者将自己的Android数据贡献出来。所有数据都来自志愿者所使用的Android设备，再将这些数据和相关的已知漏洞信息相结合起来，就可以为各设备生产厂家设置出FUM评分标准。考虑到部分设备免受已知漏洞攻击所占的比例，运行最新的Android版本的设备也占到了一定的比例等等因素，所以，FUM评分标准设在0和10之间，以此来衡量各个制造商正在做的设备之间的安全差别有多大。

事实数据显示，谷歌、LG和摩托罗拉的安全指数相对较高，分别是5.2分、4分和3.1分，排在前面。三星、HTC和索尼紧随其后，得分在2.5左右。

据研究人员称，Android设备安全性不足的背后原因主要在于制造商的安全策略存在很大的问题，尤其是在提供定期安全更新决策上有很大的纰漏。他们的建议是只允许用户从Google Play商店安装应用程序，以此来隔绝外部威胁，减少漏洞。但是，最近出现的Android安全问题已经表明，这种做法根本不足以保护用户的安全。

InfoQ已经和Daniel Thomas进行了沟通，想从他那更好地了解Android安全观是什么？FUM评分的意义又是什么？

InfoQ：从您的研究来看，87%的Android设备在过去的四年里处在“危险境地”，也就是说只有很少一部分的设备是安全的？

“Android设备的不安全性越来越多，这种变化跟我们经常发现漏洞有很直接的关系，或者说，跟我们经常在数据库中发现各种漏洞不无关系。但是这跟制造商的硬件更新行为关系不大。在这一点上很难说清楚，有可能问题出在双方身上。不过，值得庆幸的是，这个行业正在努力解决目前所遇到的麻烦，所以我乐观地认为，事情会往好的方向发展的。”

InfoQ：您的研究中，Google的FUM分数最高，这个数据公正吗？不管是对于Google还是别的制造厂商来说，拿到10分或者更高的分数有多难呢？

“我只能说Google获得这个评分很一般，对于一个制造商来说，得到10分或者朝上的分数都不是一件容易的事。举例来说，制造商在开始上市自己的设备之后，必须要在接下来的几年之内保持设备的更新速度。同时，他们也必须能够非常快速的创建和测试新软件的安全，这需要更好的内部流程，尤其是要比目前大多数厂商似乎已有的流程更好才有胜算。”

InfoQ：您会计划将这样的研究用于iOS或者其他的平台吗？

“目前我们还没有对iOS数据进行研究。但是我们猜测，iOS可能会获得一个比Android更好一点的成绩，因为iOS在长期以来都能提供定期更新，这一点比Android要棒，只不过一切都很难说。”

最后，研究人员还建立了一个网站，提供了他们的相关的研究细节，包括一台关于所有漏洞的机器可读列表。

查看英文原文： Cambridge Study Analyzes State of Android Security

感谢张龙对本文的审校。

给InfoQ中文站投稿或者参与内容翻译工作，请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博（@InfoQ，@丁晓昀），微信（微信号： InfoQChina ）关注我们，并与我们的编辑和其他读者朋友交流（欢迎加入InfoQ读者交流群剑桥大学研究人员称，Android的安全性堪忧）。