昨天，賽門鐵克（Symantec）釋出報告稱，該公司已發現29款載入惡意軟體的應用程式“引起了大量安裝這些應用程式的使用者的註意”，這些惡意軟體透過將使用者的聯絡資訊傳輸到一個神祕的第三方伺服器，已經潛在地影響了數百萬人。這份報告和去年出現的其他報告一樣，表明谷歌的移動惡意軟體安全問題日益嚴重，至少根據賽門鐵克、麥卡菲、Juniper Networks等獨立安全公司的說法，這些公司一直將Android視為其保護軟體的一個活躍市場。

這些公司和其他公司釋出的普遍引用的統計資料支援了民間日益增長的觀點，即Android缺乏安全性，而這往往與其開放式應用程式審批流程有關。其中一些統計資料顯示，在過去一年中，惡意軟體的發現率上升了472%，惡意程式碼的發現率上升了37%，或者說使用者遇到惡意程式碼的可能性增加了3%。但對於使用者來說，平臺真正的風險是什麼？事實上，這可能並不像一些公司希望你相信的那樣糟糕。

事實上，Android惡意軟體可能並不像一些公司讓你相信的那麼糟糕

賽門鐵克（Symantec）昨日報道了安卓（Android）的最新惡意軟體問題，稱已發現29款應用程式旨在模仿日本流行的遊戲，而是將個人資料從**祕密傳輸到外部伺服器。賽門鐵克研究員Joji Hamada在一篇部落格文章中說，該公司已經證實這些應用程式是惡意的，而《安全週刊》報道稱，谷歌已經將這些應用程式從Google Play中刪除。賽門鐵克說，這些應用程式的下載次數大約在7萬到30萬次之間，而且由於惡意軟體從**中提取了聯絡資訊，“可能會有數百萬人受到影響。”但是，雖然這些應用程式看起來確實可疑，但尚不清楚為什麼它們僅僅被認為是傳輸個人資料的惡意軟體-正如賽門鐵克在同一篇博文中指出的那樣，惡意應用都需要使用者許可權才能訪問聯絡人資料，因此在獲得使用者訪問許可權後傳輸個人資料應該屬於預期行為範疇。

賽門鐵克以前使用過惡意軟體這個詞：早在一月份，它就對安卓.反銀行一段“惡意程式碼”，它在Android官方商店的13個應用程式中發現，這些應用程式能夠“接收執行某些操作的命令，賽門鐵克報告說，這個惡意軟體影響了大約100萬到500萬臺裝置，這一數字令人瞠目結舌。但安全公司Lookout等其他公司對賽門鐵克的分類提出異議，聲稱anticrank本身並不是惡意軟體，而是一個用於幫助應用程式盈利的“攻擊性”廣告SDK。賽門鐵克隨後悄然停止將反銀行稱為惡意軟體，而是將其定性為令人討厭的軟體。

在沒有惡意行為的情況下，“惡意軟體”這個詞的使用是值得懷疑的

其他公司給出了關於這個平臺的可怕統計資料。或許最極端的是Juniper Networks，該公司聲稱，2011年最後7個月，Android惡意軟體樣本增長了3325%— 一個沒有惡意軟體基礎資料的相對無用的統計資料，Juniper沒有提供。與Symantec類似，Juniper在其惡意軟體的統計資料中包含了間諜軟體，並將間諜軟體定義為“一個能夠捕獲和傳輸資料的應用程式，而無需為使用者提供明確的方法來識別應用程式的操作。”— 這可能是任何一個Android應用程式，不管其意圖如何，都會請求比它需要的更多的資訊。雖然不必要的資料傳輸確實會引起隱私問題，但在沒有惡意行為的情況下，“惡意軟體”一詞的使用是值得懷疑的。

Lookout的安全產品經理德里克·哈利迪（Derek Halliday）說，重要的是要看的不僅僅是具體的惡意軟體例項，“聲稱惡意軟體增加了幾十萬個百分點是危言聳聽的。”Lookout提供了不同的數字，聲稱它發現了大約400個Android惡意軟體例項，而且在2011年的最後四個月，它發現這個數字翻了一番多，達到1000個被感染的應用程式。Trend Micro威脅研究經理Jamz Yaneza也對基於百分比的索賠提出異議，但與其他公司一樣，他聲稱智慧**和平板電腦的惡意軟體呈上升趨勢。此外，還有一個地區性問題擺在眼前：Yaneza說，惡意軟體在中國比在美國“糟糕得多”，而且大多數惡意軟體都不是來自官方的Google Play商店——這是一個關鍵的區別。

谷歌拒絕就安卓惡意軟體的問題發表評論，但去年底，谷歌開源程式經理克裡斯·迪博納（Chris DiBona）回應了越來越多的惡意軟體問題的說法，稱這些反病毒公司是在扮演“騙子和騙子”的角色，利用銷售軟體的恐懼，而且“沒有一款大型**存在傳統意義上的‘病毒’問題”，但他同意安全公司關於平臺普及的流行邏輯：隨著平臺越來越大，它會得到消費者更多的關註，最終成為更大的惡作劇目標。

一些應用程式給Android使用者帶來了問題，但谷歌已迅速採取行動予以糾正

儘管DiBona在病毒的語義上存在爭議，但一些應用程式還是給Android使用者帶來了問題，儘管谷歌已經迅速採取行動予以糾正。最近幾個月最引人註目的例子是RuFraud攻擊，該攻擊透過模仿《憤怒的小鳥》等知名應用程式，誘使使用者同意簡訊收費，並切斷了聯絡。這促使谷歌從其應用程式市場上刪除了總共27個惡意應用程式，據Lookout估計，這些應用程式在被刪除前被下載了超過14000次。今年2月，谷歌推出了Bouncer，這是一個自動化系統，谷歌稱它已經使用了一段時間來掃描和執行新上傳的應用程式，並調查開發者帳戶。雖然該公司沒有給出任何有關安卓惡意軟體的詳細統計資料，但它表示，安卓市場潛在的惡意下載數量減少了40%——這似乎與一些安全公司的說法相反，或者至少表明大多數惡意軟體都存在於谷歌之外播放網路。Lookout表示，谷歌在接到網路惡意軟體的通知時，也表現出“高度的反應和合作”。

和往常一樣，這個故事對使用者的寓意是使用常識——檢查你下載的應用程式的許可權要求，不允許應用程式使用超出他們真正需要的許可權。Lookout表示，“沒有一個作業系統或平臺是百分之百安全的，不會受到安全威脅”，但很明顯，每個平臺的生態系統中都有一些領域，比如iOS應用商店和Google Play商店，比其他領域更安全。至於谷歌Play商店以外的應用程式，情況與iOS、Windows Phone或黑莓差不多：下載風險自負。別讓它讓你晚上睡不著。