谷歌昨天发布了一个自动系统,可以扫描Android应用程序中潜在的恶意软件或未经授权的行为,批评人士长期以来一直呼吁该公司采取这一举措。
安卓工程副总裁洛克海默(Hiroshi Lockheimer)周四接受采访时说,这项代号为“Bouncer”的扫描服务已经运行了“好几个月”。“有趣的是,没有人真正注意到。它既没有影响Android Market的最终用户体验,也没有影响开发商。他们根本不需要考虑这个问题。”
一旦应用程序被其开发者上传到谷歌,但在它发布到Android市场之前,Bouncer会扫描已知的恶意软件代码,包括间谍软件和特洛伊木马,并寻找与该公司之前认定不可接受的应用程序相匹配的行为。
洛克海默说,一些发出Bouncer警报的应用程序会立即被拒绝进入安卓市场。其他的则被标记以供人类审查。
洛克海默说,Bouncer还有一个模拟器,可以像在真正的安卓手机上一样运行每个应用程序。他说:“我们可以观察应用程序的隐藏行为,如果有问题,就标记出来进行审查。”
谷歌也有能力重新检查已经发布的应用程序,因为它增加了更多的检测和分析技能的Bouncer。Lockheimer说:“随着我们对不良应用的了解增加,我们意识到(新的恶意软件),我们将其输入系统,并重新扫描目录中的所有内容。”
安全行业的批评人士呼吁谷歌主动扫描Android应用程序,以发现潜在的恶意软件,而不是等到用户或研究人员报告不可接受或受感染的应用程序。
“这绝对是一个好的举措,”英国厂商Sophos的安全研究员Chet Wisniewski说。Bouncer显然是有意义的。(但)大多数Android用户会惊讶地发现,他们还没有这么做。”
洛克海默否认Bouncer是对任何单一安全事件的反应,包括第一个Android木马的出现:2011年3月,谷歌删除了50多个被droiddream感染的应用程序从Android Market,并在几天内使用它“杀死开关”这只是第二次远程删除用户智能手机上的程序。
相反,洛克海默说,Bouncer是谷歌安全理念的进化。
Lockheimer说:“Bouncer并不是为了回应任何一件事。“安全对Android来说很重要,这一直是我们的主题。”
但Android恶意软件在去年的安全新闻中扮演了重要角色。在DroidDream的第一次活动之后,攻击者在去年6月和7月在市场上植入了更多受感染的应用。谷歌不监管的第三方下载网站也经常出现恶意应用程序,尤其是在中国。
去年11月,瞻博网络(Juniper Networks)表示,恶意Android应用程序的数量有所下降仅仅四个月就翻了五倍.
Lockheimer并没有反驳安全厂商的说法,但他表示,可用的受感染应用的数量是错误的衡量标准。
“重要的统计数据是,有多少恶意软件实际到达用户的手机,有多少用户受到影响,”Lockheimer说。
谷歌用那个测量棒宣称成功了。Lockheimer表示,与6个月前相比,2011年下半年,Android Market的潜在恶意下载数量减少了40%。
然而,一些应用程序并没有被Bouncer标记。
去年12月,谷歌撤下了22个应用旧金山Lookout安全公司报告称,这些程序向付费号码发送虚假短信,为犯罪分子增加收入。
谷歌当时指出,付费短信功能在应用程序安装之前就已经向用户透露了。
昨天,洛克海默拒绝解释为什么这些应用程序没有被Bouncer检测到,他说他不了解细节。
“这是一个灰色地带,现在我们进入了‘恶意软件’的定义,”他承认。“有些应用确实很糟糕,但在某些情况下并不明显。但Bouncer跟踪各种有趣的行为。如果一款应用正在向一个已知的诈骗号码发送短信,Bouncer就能检测到。”
事实上,关于什么是恶意软件、什么不是恶意软件的争论,几年前就在PC软件领域展开过,最近已经延伸到了移动应用领域。
上周,赛门铁克锁定了13个应用程序但其竞争对手Lookout不同意这一说法,称他们在向免费应用用户提供广告服务方面表现得尤为咄咄逼人。本周,赛门铁克出尔反尔但它承诺仍将标记这类应用程序来提醒用户。
安全专家对Bouncer大加赞赏。
Lookout联合创始人兼首席技术官凯文·马哈菲(Kevin Mahaffey)在一份电子邮件声明中表示:“我们认为,在保护Android生态系统免受一系列不断演变的威胁方面,这是朝着正确方向迈出的一步。”
虽然Sophos的Wisniewski也对谷歌的举动表示赞赏,但他也提出了一些警告。
Wisniewski说:“真正的问题是谷歌将如何处理潜在的不受欢迎的应用程序。”Sophos最近用这个词来形容赛门铁克上周发现的这类代码。“如果我们对此感到困惑,那是有原因的。”
Wisniewski还表示谷歌可以做得更多。Wisniewski说:“谷歌能做的最好的事情之一就是仔细审查谁被允许为Android开发。“大多数恶意Android应用程序都是由一小群开发者签署的。我们已经看到500个恶意应用都是由一个人签名的。”
在一个博客周四,洛克海默说谷歌正在分析新的开发者账户,以防止重复违规的人被允许在市场上发布内容。
他后来拒绝透露细节,但表示该分析不是由Bouncer完成的。“这是我们安全战略的另一个组成部分,也是拼图的另一块。”
Gregg Keizer为Computerworld报道微软、安全问题、苹果、网络浏览器和一般技术突发新闻。在Twitter上关注格雷格@gkeizer,或赞同格雷格的RSS提要.他的电子邮件地址是gkeizer@ix.netcom.com.
阅读更多关于安全性的信息在计算机世界的安全主题中心。
这篇报道,“谷歌揭露Android恶意软件‘Bouncer’,扫描所有应用程序”最初是由《计算机世界》 .