进退维艰的Android

其实，“与安全无缘”可以用来描述几乎所有的计算机系统。尤其是在2000年打出强化安全的旗号，如今仍然受到各种安全威胁的Windows，更称得上是“与安全无缘”。

笔者之所以斗胆说Android“与安全无缘”，是因为美国谷歌公司正在努力让Android变得安全，例如为“Google Play”（以前的Android Market）导入了名为Bouncer的恶意软件检测系统，以及加入防止缓冲区溢出攻击这一代表性漏洞攻击的机制等。

凭借这些努力，Android的防御能力因该会得到提升，但是要说今后攻击会消失，或是减少，恐怕非常困难。这就是笔者说其“与安全无缘”的含义。

为何说Android与安全无缘？笔者的理由大致有两个。第一个理由是犯罪者纷纷把攻击的矛头指向了Android。据俄罗斯的卡巴斯基实验室介绍，在2011年4月发现的移动终端恶意软件中，针对Android的比例不到5％，而到2012年3月已经超过了80％。恶意软件大多在中国和俄罗斯等地传播，在日本也发现了盗取地址簿数据的恶意软件，造成了严重的问题。

Android是最为普及的移动终端系统，因此注定会四面受敌。而且，攻方只要捕捉到一点漏洞，就可以加以利用；守方不容出现一丝漏洞。只要攻防存在这种不平等的关系，新的攻击方法就会源源不断的出现。

第二个理由是Android的自由度。谷歌为了吸引开发者，与其他移动系统相比，Android的很多地方都是开放的。具有代表性的是应用软件的安装，Android可以从任意的Web网站下载应用软件并安装。因此，就算能够采用Bouncer之类的技术排除Google Play上的恶意软件，恶意软件也能从其他场所轻而易举地传播出去。这一点与iPhone和Windows Phone只能从苹果、微软对应用软件实施审查的官方应用商店下载应用形成了鲜明的对比。

Android在硬件上的安装由各终端厂商负责这一点也具有开放性。因此，开发和提供安全补丁也是这些厂商的责任，不同厂商和机型在是否提供不定这点上也不尽相同。例如，有些终端的旧款机型就被置之不理，没有安全补丁提供。

要想改变这种情况，谷歌只要像苹果和微软一样，剥夺开发者发布应用的自由，详细规定终端的规格，自行发布补丁即可，但这样一来，Android的优点也将丧失殆尽。

在确保自由的同时保障安全——这正是Android如今面对的安全两难问题。