谷歌整治Android恶意软件 跟空气的较量

资讯夹

@本报记者 陈邓新 · 2012年8月13日 第32期

32-f1-t.jpg

安全专家Yuval Ben·Itzhak曾说过:“一旦某一操作系统的市场份额稳定在5%,它就容易被黑客盯上;一旦此份额达到10%,就会被大肆攻击。”最新报告显示,Android在中国的市场份额为74.7%,因此Android受到越来越多的攻击,成为黑客的首选目标——中国78%的手机恶意软件针对Android平台。

如今,对Android恶意软件泛滥的状况,连谷歌都看不下去了:在Android 4.1 Jelly Bean(果冻豆)中增加了一项新技术ASLR(地址空间布局随机化,本文简称为随机技术)。谷歌将阻止恶意软件的希望寄托在这项技术上,不过随机技术真有这么大的本事吗?随机技术会不会在中国出现水土不服的情况呢?

无规律自然破绽少

金庸《书剑恩仇录》中,红花会总舵主陈家洛会一种奇特的拳术——百花错拳,在同周仲英对战时大占上风。这套拳术的精髓是“似是而非,出其不意”,你看起来像某种拳术其实并不是。谷歌在Android 4.1中使用的随机技术跟百花错拳有异曲同工之妙。

此前的Android,地址空间布局是有一定规律的,黑客利用编程知识很容易发动内存溢出攻击,从而获得系统的控制权限——有了权限就可以为所欲为,例如订阅很多收费的服务等,而使用随机技术后,就能达到“出其不意”的效果,黑客猜不到地址,自然无法在内存中运行恶意代码了。

这么解释,是不是听晕了?来,我们换一种方式:Android恶意软件就是一群小怪兽,它们最大的爱好就是攻击Android,而Android面对小怪兽的进攻,一向是先左勾拳,再右勾拳,然后一脚踹过去,打倒一片小怪兽,不过总有厉害的小怪兽习惯了Android的防御方式,能找到破绽击中Android,如今Android用上了百花错拳,小怪兽看得眼睛都花了,还怎么找破绽?

需要注意的是,随机技术(ASLR)并不是谷歌首创的,它最早被人熟知是Windows Vista首次启用该技术。资深病毒专家“月夜魔王”对我们这样描述该技术:“ASLR是Windows系统使用的一项内存保护技术,它的原理就是在一个应用程序或动态链接库被加载时,系统就会将其加载的地址随机设定,这样想要通过溢出攻击的方式获取系统权限就行不通了。该技术的出现,大大提高了系统的安全性,许多XP平台的病毒在该技术面前都失效了。”

32-f1-1-1.jpg

随机技术在Windows早有运用

随机技术多半水土不服

随机技术如此成熟,Android就会变成“奥特曼”了吗?可以随意打小怪兽吗?从国内的Android恶意软件的现状来看,它不是。为什么这么说呢?我们要从Android恶意软件的类别说起。我们一般将Android恶意软件分为四类:扣费类、控制类、隐私收集类和通知栏广告类。

如果没有意外,通知栏广告类将是2012年中国地区Android头号恶意软件,可以说它是Android恶意软件爆炸式增长的罪魁祸首。只需要在现有软件中添加通知栏弹出广告的代码,就可以炮制出一款恶意软件,恶意软件可以批量制造,例如《愤怒的小鸟》、《鳄鱼小顽皮爱洗澡》等知名游戏软件都被假冒过——最新的安全报告显示,通知栏广告类Android恶意软件近5万款。

可惜的是,随机技术对通知栏广告类恶意软件毫无作用,毕竟Google Play Store市场(旧称Android Market电子市场)中几乎没有这类恶意软件。而随机技术对扣费类、控制类和隐私收集类是有效果的,不过在国内的“游戏规则”中,随机技术又显得尴尬了。国外的Android恶意软件,大多喜欢通过提权的方式获得更高的系统权限,而国内的Android恶意软件则是明目张胆地向用户索取不需要的权限。

不要惊诧,这是真的!我们可以回忆一下,自己在安装Android软件时,仔细阅读过软件的权限列表吗?几乎都是直接跳过吧!亲,大家都赋予了Android恶意软件足够多的权限,它们还需要提升系统权限吗?

邪恶八进制创始人冰血封情,在采访中是这么形容随机技术的:“它是一个强大的拳击手,在PC平台,有许多病毒和木马可以作为它的对手。可惜的是,Android手机平台最活跃的是各种流氓,流氓不会跟它正面对抗,于是它只能跟空气较量。”

谷歌使用随机技术很有意义,不过对中国用户来说,意义就不大了。

32-f1-1-2.jpg

一款单机游戏软件没有必要索取个人隐私和地理位置

审核不严才是泛滥根源

谈到这里,我们不得不说随机技术并不是防止Android恶意软件的最佳武器,想遏制Android恶意软件泛滥的趋势,还是要从源头上想办法。Android恶意软件泛滥的源头是什么?无良的程序员?黑客?都不是,我们认为审核机制才是源头。

苹果的恶意软件为什么这么少呢?苹果采取了发布前审核机制,开发者提交的软件要通过安全性测试后,才能正式发布,这个过程一般需要两个星期左右。

而谷歌采取的是发布后审核机制,即提交软件时不进行安全性测试,当有用户投诉时才会对该软件进行安全性测试。“国内的Android用户,主要使用第三方市场软件,它们用的也是发布后审核机制,一款软件的审核时间最多三四个小时。”爪哇米工作室创始人、拥有近11年手机应用程序开发经验的陈跃峰对我们解释道。

哪种审核机制更能遏制恶意软件,不言而喻!如果谷歌和国内的第三方Android市场都采取发布前审核机制,Android恶意软件还能这么嚣张吗?我们相信,一个随机技术是无法让Android变成“奥特曼”的。