四川福彩快乐12app下载-四川快乐12app官网(彩世界)
做最好的网站
来自 科学技术 2019-11-03 00:30 的文章
当前位置: 四川福彩快乐12app下载 > 科学技术 > 正文

Android 安全更新的发展与沿革四川福彩快乐12app下

每月推送更新是目前最佳的做法,但是如果设备厂商无法应对每月一次的更新频率,至少需要在 《Android 安全公告》披露重大漏洞之前为用户提供更新。常见漏洞披露时间为 90 天,因此每三个月提供一次更新是确保设备和用户安全的最低要求。

四川福彩快乐12app下载 1

现时Google 推出Android 的安全更新,需要先交由设备生产商或电信运营商,再将更新程序推送到用户的设备。个别厂商会将安全更新和系统更新打包一起推送,这样往往会拖慢了更新进度,结果令用户们需要面对较大的安全风险。为此Google 决定不再假手于人,公布Project Mainline 项目全权负责安全更新的推送。

>> 反漏洞利用技术

Google Play Protect可以检测到来自Play商店以及外部来源安装应用的威胁。据统计,自2014年以来,安装PHA的趋势平均保持在1%以下。在2018年,这个数值已经降到了0.08%,即仅有0.08%的设备使用Play商店安装感染了一个或多个PHA的应用程序。不过,对于那些从外部来源下载应用程序的人来说,感染率要高出8倍,但数值也仅为0.68%。

在今年稍后推出的Android Q 系统,Google 会直接推送安全更新程序,就好像Apps 和游戏透过Google Play Store 更新一样。Project Mainline 将会包括安全、隐私和版本3 个界面,共14 个Mainline 组件,在安全更新安装后,用户毋须像现在的设备一样重新启动设备。这个安排可以让Google 尽快堵塞Android 系统的漏洞,减少受黑客攻击的机会。

>>GMS Express 项目

四川福彩快乐12app下载 2

四川福彩快乐12app下载 3

最佳企业实践

对于之前Google更新操作系统而设备制造商会有延迟甚至不会发布更新的情况,Google也采用了一些对策。为了加快更新进程,Google将Project Treble在其更新的Android版本中推出,该版本允许OEM公司更快地发布更新。

我们同时也在积极制定和推进相关战略,帮助简化 Android 更新流程。其中第一关键点就是加强接口的模块性和清晰性,以便操作系统的子系统在更新时,不会对其它子系统造成影响。目前正在推进的 Treble 项目就是一个很好的例子,Treble 项目能够帮助设备更轻松、更快速地升级至 Android P,而且更新效率明显优于所有旧版本的 Android 系统。由于框架的安全更新可以独立于设备特定组件执行,因此这种模块化策略也同样适用于安全更新。

Google还发现,即使是全新的Android产品也可能被立即发现漏洞。因此在2018年,谷歌与合作的OEM厂商推出了构建测试套件以解决这个问题,允许他们提交构建映像,以便在它发布给用户之前检测安全问题和可能的PHA。自从实施BTS以来,已经阻止了使用PHA的242个版本和设备出现在生态环境中。

确保安全补丁级别合规性

首先来了解一个概念:什么是PHA。PHA全称为潜在有害应用。可以想像,跟踪Android及其安全性并非易事,Google采用的一种方法便是通过检测PHA来实现有效跟踪。

>> Treble 项目

相比其他操作系统,更加开放的Android在安全方面不可避免地会存在一些问题。而Google公司近五年来一直都在有意识地提高自己的安全更新与方法,旨在为用户提供更加隐私更具安全性的系统环境。在2018“年度回顾“报告中,Google向用户阐述了其采用的三种保护途径。

>> 修正

1.减少PHA的数量

>>《2017年度 Android 安全报告》

除利用检测PHA实现有效追踪外,操作系统还利用加密,硬件支持的安全性,经过验证的启动,沙盒以及一系列其他功能来确保尽可能安全。

四川福彩快乐12app下载 4

产品安全是影响企业制定设备采购决策的重要因素之一。企业在选择设备时,通常会将设备的安全更新频率、政策管控灵活度以及是否支持身份认证纳入考量范围。为此,我们在今年上半年推出了 Android 企业推荐计划(Android Enterprise Recommended Program),协助企业用户购置合适的 Android 设备。设备必须满足多项要求才能获得 “Android 企业推荐” 认证,比如,设备必须定期向用户推送安全更新:最低频率为每 90 天一次,我们强烈建议设备厂商将该频率提高至每月一次。除企业用户以外,我们也欢迎所有对安全更新和安全承诺感兴趣的消费者阅读《企业设备推荐名单》。

2018年是Android发布的十周年。这款操作系统现在在全世界已拥有超过20亿的活跃用户,这也使得用户对其在数字领域的隐私及安全性问题上更为关注。因此,Google在为Android庆祝的同时也通过2018“年度回顾”报告详细介绍了Android安全性的细节,详细说明了它如何保护用户。

>> 《企业设备推荐名单》

2.利用操作系统提升安全性能

在 2017 年,全球合计约有 10 亿 Android 设备进行了安全更新,比上一年度增长近 30%。我们将继续努力制定深度安全战略,打造出更好的流程和项目,从而帮助生态圈伙伴轻松应对 Android 安全更新。与此同时,我们也在积极开展相关工作,让更多生态圈伙伴能够快速采用我们的安全更新以及合规性要求。因此在接下来的几个季度内,预期会有更多 Android 设备能够定期收到安全更新推送,且数量增幅有望达到历史最高。

俗话说,“道高一尺,魔高一丈”。Google虽然在尽最大努力保护用户,但攻击者还是会采用各种策略将PHA注入Android设备,所以用户在在线浏览或安装应用程序时,还该有始终保持警惕的自觉意识。

责任编辑:

利用Google Play Protect检测PHA

>>《Android 安全新亮点》

3.Project Treble和2018年BTS的运用

>> Android One 项目

利用API检测PHA

所有复杂的软件系统都存在漏洞,但是漏洞利用是可以避免的。我们也在一直努力减少潜在恶意漏洞利用事件,这种长期安全投入不仅不会提高,反而有助于降低安全更新的频率。虽然在目前,按月更新依旧是最理想的选择,但是相信在未来,我们能够通过更少的安全更新、更简便的流程,同样达到保障设备用户安全的目的。

除了利用Google Play Protect降低PHA的数量外,BiometricPrompt,Protected Confirmation,StrongBox Keymaster和各种bug赏金计划等强大的API也为降低PHA受影响的设备的百分比做出了极大贡献。错误赏金计划允许来自世界各地的研究人员发现并提交漏洞,并且会给予他们对应的丰厚回报。

作者: Dave Kleidermacher, 副总裁兼 Android、 Chrome OS 及 Play 安全部门负责人

简化 Android 更新流程

>> Android 企业推荐计划

第二关键点则是将能够进行独立更新的系统服务从用户模式 (user-mode) 的应用中抽离出来。与更新基础操作系统相比,单独更新这些服务的效率更高。例如,包括安全网络组件在内的 Google Play 服务以及 Chrome 浏览器就可以像其它 Play 商店内的应用一样进行单独更新。

第三关键点是推进合作伙伴项目,提高 Android 的可更新性。以 GMS Express 项目为例,我们在该项目中与系统芯片 (SoC) 合作供应商联手,共同为系统芯片参考设计提供已经完成预整合和预测试的每月Android 安全更新,此举不仅大幅降低了成本,而且加速了芯片的上市时间。

《2017年度 Android 安全报告》指出 Android 在反漏洞利用技术方面处于移动行业领先地位,高强度的安全防护极大地提高了黑客入侵操作系统的技术难度和花费成本。除了技术上的把控外,我们还制定了完善的深度防御战略,以确保用户能够及时获取安全更新。我们强烈建议所有 Android 智能手机能够以每月一次的频率进行安全更新。我们每个月都会与设备厂商分享 Android 源码补丁,然后由厂商负责整合补丁并向用户推送相应固件更新。此外,我们每个月还会为 Pixel 设备推送 OTA (over-the-air) 固件更新包,并且向厂商免费开放 Google FOTA (firmware over-the-air) 固件服务器。所有加入 Android One 项目的设备也必须满足每月推送的要求。

进一步推进 Android 安全相关工作

此前,我们在 Google I/O 2018 开发者大会上举办了一场名为《Android 安全新亮点》的主题演讲,简要介绍了谷歌在 Android 安全更新方面的最新工作进展。 Android 9 Pie 现已正式发布,借此机会,我们希望给大家呈现一份更加详尽的安全更新报告,内容主要涉及以下三个话题:

Android 安全更新方面的最佳商业实践

>> 更轻松、更快速地升级至 Android P

近期,研究人员指出部分 Android 设备存在安全补丁遗漏的问题。我们对之前内部报告中描述不准确的部分已经进行了相应修正。我们一直致力研发出更好的安全测试系统,从而有效减少补丁合规失败的几率。近期,我们特别推出了一套新的基础测试框架,允许设备厂商在固件栈的较低层上开发和部署自动化测试,而在此之前厂商只能通过手动方式进行此类测试。而且,现在 Android 的编译审核流程会通过扫描设备镜像文件找到特定模式,以此来降低补丁遗漏的风险。

| 阅读原文| "我们愿意更好地倾听您的声音 "返回搜狐,查看更多

>> 安全网络组件

  • 设备厂商最佳实践指南
  • Google 如何简化 Android 更新流程
  • Google 如何保障 Android 安全更新的合规性

原标题:Android 安全更新的发展与沿革

四川福彩快乐12app下载 5

本文由四川福彩快乐12app下载发布于科学技术,转载请注明出处:Android 安全更新的发展与沿革四川福彩快乐12app下

关键词: 开发 技术 Android 都做 十周