Android平台上的安全问题与其他平台上的有何不同？

我本人目前从事渗透测试（Penetration）、安全应急响应（Cert）、数字取证（Forensic）业务，所以会尝试从多角度进行分析。比如在《Android恶意代码分析与渗透测试》中，我既讲解了恶意代码分析、介绍了渗透测试漏洞分析，也从数字取证分析角度讲述了如何获得移动设备内置信息。其实Android恶意代码分析、Android移动渗透测试、Android数字取证分析等的区别仅在于研究方法，他们使用的技术是相同的。

Android平台上的安全问题与其他平台上的有何不同？

Android平台延续了用户非常熟悉的基于Linux内核的开源政策，而且在世界范围内得到最广泛的应用，随着IoT环境的普及，这个比例会更惊人。Android平台正在为用户提供很多便利，安装应用时，用户可以随意控制，rooting时也很方便。虽然金融界和游戏服务都在强化安全功能，但如果用户稍感不便，他们就会降低安全度，将所有问题归结于用户的责任。保证用户便利的同时强化安全，这是开发人员的共同使命，但并非易事。

人们认为Android比iOS更易成为安全隐患也正是因为使用Android手机的用户越来越多。攻击者想获取更多的用户信息，所以更关注Android。如果iOS的用户也增多，那么攻击者也会更多地研究iOS（近来针对iOS用户的恶意代码也发布了很多）。

对安全而言，众多领域中只要有一个被打破，那么所有领域都会受到同样的威胁。Android今后也会保持开源政策，但各制造商应加强系统防御，Google也会逐渐强化安全。因此我认为，安全得到保障的同时，用户体验并不会受到影响。

现在，企业如果不重视安全问题，那么黑客攻击或感染恶意代码就有可能导致“一夜回到解放前”。最近，勒索软件（Ransomware）正在急速扩散。过去只要将感染恶意代码的PC终端断开网络，备份文件后格式化或杀毒即可。但勒索软件对PC终端的所有重要文件加密后，我们无法解密，甚至会对具有写权限的所有网络共享文件造成危害。积攒数十年的公司资产可能一瞬间就化为乌有，令公司难以为继。我们需要动员所有安全领域的监测力量，研究这个恶意代码是通过什么路径进行渗透的。另外，还必须监测/拦截外部试图入侵的众多攻击。安全是公司经营中必不可少的项目。以前那种遭到网络攻击后一带而过的时代已经结束了，包括安全负责人在内的所有员工都应当逐步开展安全工作。

有人提出这样的观点：学习新技术能够获取更大的利益，学习安全方面的知识却未必会带来经济价值。对于“学习安全方面的知识未必会带来经济价值”，我是有不同意见的。无论哪个领域，仅满足于公司月薪的话，那么其价值也不过就是公司年薪而已。国外很多国家都鼓励举办黑客大赛并积极推进人才培养计划，政府也给予很多投资。从事安全工作的人应当灵活运用这些资源，通过多种活动将市场中的价值变为自身价值。

• 测试：怎样判断一个应用是否安全？

与我们诊断Web服务时使用的方法一样，在诊断Web服务时，同时检查服务器和终端PC中发生的变化，从而找出漏洞。此时可以参考OWASP TOP 10或SANS发布的诊断指南，或各机构发布的指南。

在移动应用诊断时，诊断的则是服务器和移动终端中发生的变化。OWASP TOP 10也发布了检查项目，可以对照参考进行测试。而金融界需要保护的用户资产数据很多，应当安装并重点检查应用安全解决方案。

• 用户：自身如何保护移动安全

作为一个Android用户和一个程序员，我在考虑移动安全时，总使用与用户终端PC一样的方法。终端PC中，为了不感染恶意代码，我们要拒绝访问可疑网站，不安装可疑文件。移动环境也是如此，尤其不要下载可疑文件，也不要安装贴吧中附带的应用（APK）。另外，应当安装可信赖的杀毒软件进行预防。

最近，一款名为“Brain Test”的恶意程序攻破了Google Play应用商店，波及上百万Android用户，而Brain Test很难被彻底删除。Google应用商店也有防止恶意代码注册的系统，如果连这个系统都绕过了，那么用户确实束手无策。最好的方法就是在移动终端安装杀毒软件，定期升级固件。从企业角度讲，需要引入完整性验证解决方案，实时监测并拦截用户运行的应用。

• 企业：社会工程防范应得到重视

根据我在证券公司负责安全工作的经验，在安全体系中，技术手段防范与社会工程防范二者是同样重要的。现在很难预测恶意代码将会感染什么地方，社会工程攻防技术往往源于恶意代码，因此，员工安全意识诊断（电子邮件恶意代码应对培训等）的持续安全活动很重要。在“员工访问的所有网站都可能通过DBD（drive-by download）攻击感染恶意代码”的假设下，需要365*24运行控制监测业务。另外，应当时刻关注最新热点，提前掌握与自己公司服务相关的攻击技术，进行事前拦截。

移动环境今后会有更长足的发展，IoT环境也在蓬勃生长。不仅是移动终端，家中的所有事物都将与移动设备连接。那时，更多基础设施将得到建设，人们也会使用更多应用。我们应当继续监测移动环境中可能发生的威胁，加深研究。与其学习如何分析一两个应用，不如构建可以自动分析大量应用的系统环境，深入研究高效的诊断方法。