没有一个软件系统是安全的,总体而言,Android系统中的风险可概括为五大类。根据以下建议对每种风险做好防范工作。

  第一类风险是滥用应用程序权限。关于这类风险有如下防范策略建议。

  应用程序认证

  认证是防范恶意程序的有效手段之一。在理想状态下,一个应用程序在认证之前必须经过完整的测试与代码审查,确认其权限使用的合理性,这自然对恶意软件起到了有力的防范作用。但是,认证的费用高昂,程序复杂,并不具备广泛的实用性。

  选择使用应用程序权限

  如果能够在安装阶段,确认某一应用程序仅使用必需的小权限,也是遵循小权限原则,则受到恶意软件攻击的可能性必将大大降低!对于有经验的用户这也许是一种选择,但对于广大的普通用户,恐怕没人懂得如何验证应用程序要求的权限是否合理,在多数情况下用户会直接授予所要求的权限。因此需要开发者在申请或设定权,严格遵循小权限原则。

  自动静态分析与代码验证

  设计一种自动分析应用程序特性的工具,分析应用程序的功能以及不同应用程序之间的差别,以判断其合法性。

  第二类风险是攻击Linux内核与系统库函数的漏洞。目前,针对这种风险,采用更严格的访问控制机制,第6章介绍的限制操作系统用户权限的SEAndroid,是一种实际且有效的选择。危险的攻击是利用系统漏洞获取根用户或超级用户权限,进而控制整个系统。SEAndroid恰好通过控制根用户或超级用户权限实现对安全性的增强,即使攻击者获取了根用户权限,但可能的危害范围不至于无限扩大。但是,某些系统命令由于正常使用的需要,可能无法完全禁用,攻击者如果恰好获得该类命令的使用权,则SEAndroid的功能十分有限了。

  第三类风险是破坏私有数据的可用性、数据隐私性以及完好性。可以采取以下策略进行防范。

  登录

  使用登录用户口令解锁移动设备的某些功能,以防止安全威胁。这是一种常见的有效方式,尤其是用于保护隐私数据信息。但是,当设备遗失时,如果尚未使用口令解锁设备,则保护作用存在;如果解锁之后才遗失设备,则口令保护完全无效。

  防火墙

  防火墙可以保障用户私有信息不会经由网络连接被泄露。通常,对网络连接传输的内容使用无状态或有状态的分析,可以发现是否有私密信息正被泄露,因此可以切断传输线路。由于防火墙工作在操作系统内核中,因此无法直接为外部攻击所侵害。同时防火墙可以与SEAndroid提供的访问控制机制协同工作,提供更高级别的保护。但是,恶意软件并非只能通过网络接口泄露隐私信息。比如,通过短信/彩信的发送,防火墙无作用了。

  数据加密

  数据加密是保护隐私数据的佳手段。由于只有信息所有者才有密钥,因此即使设备失窃,隐私信息的安全仍然得到保障。

  上下文敏感的访问控制(CAAC,ContextAwareAccessControl)

  CAAC可以根据设备使用的内部与周边环境决定访问权限,比如设备使用的地点、所登录的移动网络、是否连接Wi-Fi等。但是,如果攻击恰好发生在允许访问的环境下,则此类方式无效。

  远程管理

  从安全角度,远程管理能力是必须严格限制使用的。但是,与防火墙、CAAC机制相结合,远程管理实际可以提升安全性。例如,设备遗失后,可以通过远程管理机制开启防护机制,保护数据安全。即使在日常使用中,远程管理也可能发现肆虐移动网络的蠕虫,通过启动防火墙等机制限制蠕虫的活动。但是,所有的远程管理都需要在受。