谷歌的 Android 手机恶意软件防御系统大部分情况下都是有效的,那么为什么它有时会出现如此严重的问题呢?
多年来,我写了很多有关 Android 安全的文章,但更多的时候,都是重复同样的故事:
一家销售移动安全软件的公司发现了一些理论上的威胁——这些威胁 (a) 尚未影响现实世界中的任何实际用户,并且 (b)在现实世界中,除了极不可能的情况之外 和用户不遗余力地从一些可疑的色情论坛下载看起来可疑的应用程序。
这些关键点随后成为令人恐惧的叙述的脚注,并配有一个精心设计的令人难忘的“大坏病毒™”名称,以及一个强烈的提醒,说明只有这样的安全软件才能保证您的安全。
这是一种有效的营销方式——这是肯定的。但它也尽可能地煽情。
如果你长期阅读本专栏,你就会知道以及为什么这些大肆宣传的炒作活动通常最好持保留态度。不过,最近,我们看到了一些真正的恶意软件情况,它们并不属于这种愚蠢的范畴——比如登上头条新闻的WireX 僵尸网络,其中数百个产生互联网流量的应用程序进入 Play Store 并出现在用户的设备上,或者最近虚假 WhatsApp 事件,其中一款应用程序假装是 WhatsApp,然后向安装它的任何用户提供广告。
这些都是真正的安全系统完全没有意识到这些漏洞,也没有在它们影响到相当多的 Android 设备所有者之前阻止它们。即使对最终用户的直接伤害程度最终非常小——基本上只是他们的设备发送网络流量或显示一些愚蠢的广告,这些行为会在有问题的应用程序被卸载后立即停止——这些类型的程序显然不应该出现在 Play Store 中,也不应该越过谷歌的大门。
但你知道吗?仍然无需恐慌。正如我本周在 CSO.com 上所写,你仍然不需要第三方安全应用程序来保证安全。事实上,有强有力的论据表明,安装一个应用程序充其量是毫无意义的——最坏的情况是,实际上可能会适得其反符合您的个人和/或公司利益。
我将引导您联系 CSO 以获取有关这一点的完整背景信息,因为它涉及很多层面。在这里,我想更深入地探讨在 WireX 这样的情况下,当 Google Play Protect 失败时,实际上会发生什么,以及此类失误在实际层面上是如何发生的——所有这些都直接从控制平台的公司的角度出发。
我有机会就这个领域向谷歌的 Android 安全总监 Adrian Ludwig 进行了咨询。虽然这个讨论对我的主要故事来说有点多余,但我认为这是一个有趣的小插曲,值得在这里分享。
以下是路德维希所说的话:
在现有的多层保护下,这些类型的应用程序如何突破重重阻碍,并长期不被发现?
“所有检测技术(包括 Google Play Protect)面临的挑战是,当我们看到来自不同环境的全新应用时——尤其是当[这些应用]处于可能被视为潜在有害和不太潜在有害的行为边缘时。”
成功率与失败率:
“大多数时候,当我们看到这些变异时,我们的自动化系统能够检测到它们并迅速采取行动。事实上,过去六个月到一年来,我们在机器学习方面取得的进步主要集中在——并且非常有效地——寻找现有家族的新变异。”
对于成功与失败的看法:
“我们对保护措施的期望非常高,即能够扫描所有应用程序,能够发现所有潜在的不良行为,并且绝不犯错——我们非常接近这个目标。我们的目标是,只有不到一百万分之一的应用程序能够通过 Google Play Protect,而这些应用程序对用户构成风险。我们还没有达到这个目标,但我们的检测能力远高于 99.9%,而且我们将继续变得更强。”
“它不一定是我们过去见过的那种应用。例如,它可能涉及相对低风险的滥用广告,或者建立网络连接,虽然这种网络连接显然没有危害,但经过进一步检查,我们能够追踪到并发现存在问题。”
以及如何与合作伙伴合作(如在 WireX 调查中)对于发现过程至关重要:
“他们经常能看到这些恶意软件网络服务器端发生的事情,所以有时只有结合他们在这些环境中安装的数据,才能看到实际的不良行为。在 Android 方面,[有时] 没有任何流量明显对用户有害。”
最后,关于 Android 恶意软件宣传活动的奇怪时机:
“当然,当这些恶意软件家族被公开时,它们肯定已经被清理了——因此,对这些家族的宣传往往是一种吸引人们关注安全供应商及其产品的方式。当恶意软件被公开时,Google Play Protect 已经推出了保护措施,[并且] 相关应用程序已被下架并移除。”
要更详细地了解 Android 安全的当前状况,请点击查看我的完整专题报道:
最好的 Android 安全应用?为什么你问错了问题
