亲爱的tl80，我不断听到关于Android安全的争论。埃里克·施密特说它比iPhone更安全，但人们嘲笑他。另外，我一直听说Android恶意软件的威胁。谁说的对？安卓安全吗？我应该像在Windows上那样安装安全软件吗？

诚恳地说，锁定机器人

亲爱的锁定机器人，安卓安全的争论不会很快消失。它的方方面面都有聪明人，但其核心是每个安卓用户都应该知道的几件重要事情。让我们穿过雾气，好吗？

简而言之：安卓是安全的…用户不是

让我们把这个放一边。Android作为一个操作系统是非常安全的。它有多个保护层来阻止恶意软件，而且它需要您的特定许可才能执行几乎任何可能导致您的数据或系统受到危害的操作。然而，Android是一个开放系统，它相信用户和它的开发者社区会做正确的事情。如果你想，你可以放弃很多权限，甚至可以访问系统的更深部分，如果你已经根你的**。Android试图保护你不受自己的影响，但如果你轻推它，它会让你对安装什么（以及从哪里安装，比如未知的来源和googleplay经常巡逻的墙之外）以及向谁授予权限拥有最终决定权。

就像每一次安全讨论一样，这些东西让你面对恶意软件不是因为它们不好，而是因为用户是薄弱环节。所以当人们谈论Android安全时，并不是说Android天生就不安全，而是我们。安卓给了我们很大的力量，强大的力量带来了巨大的责任。

长版：android安全工作原理

安卓系统的设计将安全性作为其基石原则之一。在不与任何其他平台进行比较的情况下，它确实很好地确保了进程不会在未经许可的情况下收集太多信息（或使用太多资源），没有一个应用程序或进程在没有足够权限的情况下访问系统级，并且用户通常总是知道幕后发生的事情。

本月早些时候，史蒂芬·马克斯·帕特森在石英公司的一篇文章中指出，安卓几乎无法被恶意软件穿透。撇开夸张不谈，他是根据安卓安全主管阿德里安•路德维希（Adrian Ludwig）的一份报告得出这一结论的，路德维希在报告中透露，“安卓上安装的应用程序中，只有不到0.001%能够避开系统的多层防御，并对用户造成伤害。”，Android有多个防御层来保护自己免受恶意软件入侵，自从谷歌开始关注用户在其设备上安装的内容以来，他们很少看到恶意软件出现。

作为一个例子，路德维希展示了上图（和下图，都包含在完整的幻灯片中）。只是为了安装，一个应用程序必须通过谷歌播放或一个未知来源的警告（如果它在你的**上启用），和一个用户谁确认安装。除此之外，它还必须通过谷歌的“验证应用程序”安全功能，该功能会在安装APK之前对其自身的恶意软件数据库进行检查（稍后将详细介绍）。然后，应用程序被沙盒化，并被限制在授予它的权限内，每当应用程序运行时，Android自己的安全检查就会再次进行。

Ludwig接着指出，尽管安全研究人员甚至国土安全部都注意到Android恶意软件（PDF）的上升，但除了谷歌之外，没有人拥有查看实际安装数据的工具，他们只是没有看到大量的恶意软件。帕特森说：

谷歌想要解决的问题是，大多数独立的安全研究人员无法访问谷歌这样的平台来衡量恶意软件应用程序的安装次数。他们类似于没有疾病预防控制中心的人类疾病研究人员来测量疾病爆发的规模和协调反应。安全研究人员非常擅长发现和修复恶意软件，但如果没有可靠的数据表明恶意软件应用的安装频率，威胁级别可能会被夸大。发表的报道往往是极其夸张的。为了强调这一点，路德维希在分析中透露，最近一些最受关注的恶意软件发现的安装量不到百万分之一。

现在，谷歌的数据当然会说他们看不到恶意软件的存在。谷歌在这场游戏中占有一席之地，他们将挑选他们能收集到的最好的数据，用最好的光线描绘Android。这并不一定使数据是错误的或可疑的，但它确实意味着你应该采取一个健康的盐粒。不幸的是，他们也是唯一能真正为我们提供这些数据的人。

谷歌每次安装应用程序时都会收集这些信息，只要你在安装时使用**上显示的“验证并安装”选项（有些用户可能会看到“验证并安装”以及“软件包安装程序”，具体取决于他们的设备），或者如果你直接通过谷歌Play安装。如果您不使用它，下面是为什么您应该：

新的安全机制大约在一年前出现，当时新版Android开始附带Verify应用程序。验证应用程序在下载应用程序时进行干预，将其与谷歌管理的大型恶意软件信息数据库进行比较，并警告用户该应用程序是否存在潜在危害。通过将应用程序包含在用于从谷歌应用商店下载应用程序的googleplay应用程序的更新中，验证应用程序是否已分发到较旧的Android版本。默认情况下，检查和阻止应用程序是启用的，要求用户选择禁用它以绕过其保护。

所以看起来安卓前端一切都很好。如果你以平常的方式使用**，从可信的来源安装（即使你是侧装），并且在安装应用程序时使用你的大脑，那么在你的Android设备上安装恶意软件的几率非常小。这个案子是数据驱动的，可以肯定的是，这是令人信服的。

然而，这并不是一个完整的画面。

在石英片上留下的字里行间有一点同样重要。有几个注意事项没有提及，但很容易收集到：

• 谷歌无法统计它看不到的恶意软件。这里的所有数据都是基于谷歌通过“验证应用程序”获取数据的应用程序安装，谷歌Play在Android 2.3+中提供了这一功能。如果您在侧载时不使用Verify and Install，或者您从其他来源（如Amazon Appstore）获取应用程序（或者您从第三方侧载），则不会被包括或保护。这是一个很大的警告，它本质上意味着“谷歌可以看到的恶意软件，它没有看到太多。”引导，有一个开放的和相当重要的问题，验证应用程序，影响了很多**。谷歌已经解决了这个问题，但是这个问题需要由运营商和原始设备**商向用户推广，这是安全问题的另一个尚未解决的部分。为了解决这个问题，谷歌一直在忙着将Android模块化，幸运的是，我们将看到android4.4kit-Kat的改进。
• 安卓有防御措施…是保护自己，而不是保护你的数据。这可能是演讲和随后的评论中未提及的最大漏洞。如果一个应用程序在某种程度上损害了Android系统，那么它可能是有害的，但是如果这个应用程序对控制你的设备不感兴趣或者不是rootkit，那么多层防御只能保护你直到你安装它为止。如果恶意软件是为了捕获你的数据、位置、使用情况、联系人列表、电子邮件地址或设备上的其他数据而设计的，那么这些数据都不会被处理（坦白说，安全公司也没有很好地处理）。这真的是一种“看你安装什么”的东西。）
• 缺少安装不等于缺少恶意软件。事实上，谷歌没有看到一吨恶意软件安装通过自己的来源是一个好消息，但这并不意味着恶意软件是没有在野外，这并不意味着它的威胁是不真实的。这意味着，到处都是被感染**的神话肯定被安全公司夸大了，但它不应该让任何人更舒服地从一个阴暗的网站安装“AngryBirdsPremiumLulz.apk”，认为安卓的防御将保护他们。
• 安卓的许多防御措施都是通过轻敲几下，或者被用户绕过的。对于许多Android用户来说，我们要做的第一件事就是关闭“unauthorized sources”（未经授权的源）警告，这样我们就可以侧载备份的apk，或者从网站或其他源安装。想要Grooveshark Android应用程序吗？把它关掉。是否计划将旧**上已不可用的应用程序侧载？把它关掉。你的**有根，或有一个全新的ROM安装？谷歌可能也不算你。这只是专家用户新手用户谁不注意权限或授权来源是一个完整的另一个问题与严重的，现实世界的后果之一。无论如何，这是直接绕过的七层防御中的五层。

自2011年克里斯•迪博纳（Chris DiBona）将移动杀毒公司称为“江湖骗子和骗子”、推出scareware和“利用恐惧向你推销BS保护软件”以来，移动安全领域发生了很大变化。尽管他仍然认为，有关移动安全的对话往往会演变成恐惧、不确定性，毫无疑问，如果不讨论现实世界中的影响，那么要忽略这个问题就比当时困难多了。

那你怎么保护自己呢？

归根结底，很难排除移动恶意软件的真正原因是因为用户一直是安全链中的薄弱环节。Android并不是唯一一个这样的平台，无论是**还是台式机，都有同样的问题。不管你的花园是封闭的还是开放的，如果用户点击安装，一切都结束了。这就是为什么在安装Android应用程序之前要学会辨别它是否是恶意软件的原因。

打开你的BS传感器，看看app store评论。评论通常是衡量应用质量的一个糟糕指标，但作为一种总体情绪，你将能够很快看到一个应用程序是否做了它应该做的事情，或者是否有关于奇怪行为或不可靠权限的趋势投诉。同样，在安装应用程序之前，请注意它所请求的权限。不要只是轻触它，问问自己所请求的访问对于所提供的功能是否合理。查看开发人员的其他应用程序，并在网络上查找来自您信任的来源的评论。最坏的情况是，如果您有一部旧的Android**可以正常工作，请先在那里进行测试，然后再将其与您的所有数据放在日常驱动程序上。

最后，认真考虑安装移动安全工具。曾经有一段时间很难推荐一个工具，但即便如此，大多数工具都提供了值得推荐的附加功能。除了主动扫描之外，最好的选项还可以阻止来自第三方来源和侧载的已知恶意软件（对于我们中那些从Google Play以外获得应用程序的人来说，这是一个很好的额外保护层），帮助您定位或远程擦除丢失的设备，可以自动备份数据，等等。而且，Android杀毒软件意味着**速度慢、电池快没电的时代已经一去不复返了，最好的应用程序根本不会让你或你的**慢下来。

目前的移动安全辩论与桌面辩论大致相同。可以公平地指出，移动威胁已经被过度渲染和炒作，也可以公平地说，绝大多数安卓用户安装的应用程序来自已知的、好的来源，不会给自己带来麻烦，永远不会遇到恶意软件。就像在桌面上一样，智能用户、良好的下载和安装习惯以及常识应该是你的第一道防线。除此之外，我们建议使用一个好的Android安全工具来覆盖其他所有内容，随时扫描恶意软件，并从它们提供的额外功能和保护中获益。

照片由帕亚尼克，psd图形，psd图形，psd图形，家庭O'Abé, senzo senso和Uncalno Tekno。