谷歌用於阻止 Android 手機惡意軟件的系統基本上是有效的 - 那麼它為什麼有時會表現得如此驚人呢?
多年來,我寫了很多有關 Android 安全性的文章,而且往往都是重複同樣的故事:
一家銷售移動安全軟件的公司發現了一些理論上的威脅 - (a) 沒有影響現實世界中的任何實際用戶,並且 (b)在現實世界中,在極不可能的場景之外 和用戶不遺餘力地從一些陰暗的色情論壇下載了一個看起來有問題的應用程序。
然後,這些關鍵點將成為令人恐懼的敘述中的腳註,並為 Big Bad Virus™ 精心設計令人難忘的名稱,並以措辭強烈的方式提醒您,只有這樣那樣的安全軟件才能保證您的安全。
這是一種有效的營銷形式——這是肯定的。但這也是盡可能的轟動。
如果您長時間閱讀本專欄,您就會知道以及為什麼這些廣為人知的炒作活動通常最好持保留態度。不過,最近我們發現了一些真正的惡意軟件情況,但它們並不屬於同一類愚蠢行為,例如成為頭條新聞的情況WireX 殭屍網絡,其中數百個產生互聯網流量的應用程序進入 Play 商店並進入用戶的設備,或者更新的假WhatsApp事件,其中一個應用程序偽裝成 WhatsApp,然後向安裝它的任何人提供廣告。
這些都是真正的交易,而且是本土的安全系統絕對無法識別這些漏洞並在影響相當多的 Android 設備用戶之前阻止它們。即使對最終用戶的直接傷害程度最終相當小——基本上只是讓他們的設備發送網絡流量或顯示一些愚蠢的廣告,一旦卸載違規應用程序,這些行為就會停止——這些類型的程序顯然在 Play 商店中沒有一席之地,也不應該越過 Google 的大門。
但你知道嗎?有仍然沒有理由恐慌。而且,正如我本週為 CSO.com 所寫的那樣,您仍然不需要第三方安全應用程序來保證安全。事實上,有一個強有力的論點認為,安裝一個充其量是毫無意義的,而在最壞的情況下,實際上可能會毫無意義。適得其反以您的個人和/或公司為導向的利益。
我將引導您向 CSO 獲取有關這一點的完整背景信息,因為它有相當多的層次。在這裡,我想更深入地探討在像 WireX 這樣的情況下,當 Google Play Protect 失敗時實際發生的情況,以及在實際層面上如何發生此類失誤 - 所有這些都直接從控制平台的公司的角度進行。
我有機會向 Google 的 Android 安全總監 Adrian Ludwig 詢問有關這一領域的問題。雖然事實證明這個討論對於我的主要故事來說有點多餘,但我認為它構成了一個有趣的小側邊欄,值得在這里分享。
路德維希是這樣說的:
鑑於保護層到位,這些類型的應用程序如何通過大門並且偶爾不被發現:
“包括 Google Play Protect 在內的所有檢測技術都遇到的挑戰是,當我們看到來自不同環境的全新家庭時,尤其是當 [應用程序] 處於可能被認為潛在有害和不太潛在有害的行為的邊緣時。”
關於成功率與失敗率:
“大多數時候,當我們看到這些變化時,我們的自動化系統能夠快速檢測到它們並對其採取行動。事實上,過去六個月到一年我們在機器學習方面所做的改進主要集中在並且非常有效地尋找現有家族的新變化。”
關於成功與失敗的看法:
“我們對 [我們的] 保護措施的期望有一個非常高的標準,即能夠掃描所有應用程序,能夠發現每一個潛在的不良行為,並且永遠不會犯錯誤 - 我們非常非常接近這個目標。我們的目標是達到這樣的程度:通過 Google Play Protect 的應用程序中對用戶構成風險的應用程序少於百萬分之一。我們還沒有達到這一目標,但就我們的安全而言,我們已經遠遠高於 99.9%。檢測事物的能力,我們正在繼續變得更強。”
“這不一定是我們過去見過的應用程序類型。例如,它可能[涉及]風險相對較低的濫用廣告,或者[某些東西]建立的網絡連接沒有明顯的危害,但經過進一步檢查,我們能夠追踪並發現存在問題。”
以及如何與合作夥伴合作(如 WireX 調查)對發現過程至關重要:
“他們多次了解某些惡意軟件網絡的服務器端發生的情況,因此有時只有與他們在這些環境中安裝的數據合作才能看到實際的不良行為。在 Android 方面,[有時]沒有任何流量明顯對用戶有害。”
最後,關於 Android 惡意軟件宣傳活動的奇怪時機:
“當然,當這些[惡意軟件]家族中的一個被公開時,它就已經被清除了——因此這些家族的宣傳往往是引起人們對安全供應商及其提供的產品的關注的一種方式。當事情公開時,Google Play Protect已經推出了其保護措施,[並且]應用程序已被下架和刪除。”
要更詳細地了解 Android 安全的當前狀態,請點擊我的完整專題報導:
最好的 Android 安全應用程序?為什麼你問錯問題