专访/Android 首席工程师:真正的资安不装防毒软体的
除了网页平台的资讯安全,针对 Android 平台上的使用安全以及确保使用安全性的方式,《ETtoday 东森新闻云》透过 Android 安全首席工程师 Adrian Ludwig 的介绍,做了更进一步的了解。
Adrian Ludwig 主要在 Google 内部负责 Android 平台和 Google 在该平台上各种应用程式与服务的安全性。针对 Android 平台要如何做到让使用者确保安全性的议题,他觉得主要分为三个层次:第一,就是要有值得信赖的平台。OS 系统本身就是要很安全的,要跟合作厂商在平台上运作,设定上是安全无虞的,像是资料加密、本身就要很多装置支援、APP 本身独立不互相影响,这个平台本身就要强化,要一直不断检视,想办法去强化它不能有安全漏洞,这是最基本的。
第二个是针对 Android 本身额外在开发端设计通知机制,在使用端设计回馈机制,同时辅以安全性扫描机制,透过这些安全服务去加强安全性,确保不会出问题。以 Google Play 下载 Apps 为例,每个 Apps 在更新新版本时,通常都会自动更新,而从开发者端来看,Google Play 也会扫描 Apps,如果有安全性考量,也会立刻通知开发者,对消费者来讲,如果发现 Apps 有安全风险,可以进行回报, Google Play 也会主动封锁,这些都是平台运作之外的加值服务内容,加强安全性,不只使用者,开发者也不用去确保自己程式的安全性。
第三点,要有一个开放性平台。从一般的观念来说,封闭性平台感觉在资安防护效果上会比较好,但是 Google 的想法是相反的,他们认为在一个开放性平台底下,可以开放更多资源让更多的人接触,而这些人都可以提供问题的解决方案,向其他平台,可能没有那么开放性,Android 安全性的领域,有很庞大的社群跟合作伙伴,甚至开放使用者主动提出问题,去协助 Google 强化资安的问题。
对此,Adrian Ludwig 表示,其实要在 Google Play 或是在 Android 平台找到恶意软体,而且还可以下载的比例是非常低的,因为只要一被上架,就会被广告的使用者、开发者,甚至平台当中本身的资安防护机制发现,并进行下架或是其他处理方式,这都是开放性平台能够做到几乎是滴水不漏的原因。
针对 Android 版本的升级迷思,Adrian Ludwig 回应表示,很多使用认为最新的版本在资安防护上就是最好的,从旧版本升级到新的版本,其实比较不会有所谓安全性的疑虑,但这并不代表更新到最新系统就比较安全,主要还是要看装置本身的支援,以及 Google 针对这些装置与开发者提供的支援服务内容而定。
Adrian Ludwig 强调,Google 内部都很重视个资,而这也是各平台从开发就一直在做的事情,不管是从技术的角度,还是服务内容本身,Google 都会去防堵任何侵入的问题,每一个应用程式上架,Android Security 都会确认这个内容是安全,效能是好的,不对的内容,绝对无法上架,并表示:「这是我们的承诺」。
对于未来的愿景,Adrian Ludwig 表示,真正的安全,不是叫使用者去安装一些防毒软体,而是所有资料都要透明化,甚至感觉不到 Google 已经在筛选恶意攻击或是攻击等内容,这是团队的终极目标。