Android安全 - 谷歌的adrian ludwig的q&a

最近我们一直在谈论你的Android设备上的安全问题，随着对话的继续，很明显有些问题需要由更强大的人来回答。诸如您是否需要用于手机的防病毒软件，识别恶意软件以及确保您的设备通过日常使用通常是安全的，这些都是不必要的混乱的主题。虽然我们可以将一些责任归咎于看似无穷无尽的文章，告诉我们有关利用Android用户的所有软件，但也有一些关于Android安全性的合法问题没有简单，简单答案。

为了解决这个问题，我们直接找到了消息来源。 Google安卓安全首席工程师Adrian Ludwig花了一些时间通过电子邮件给出了我们一直在寻找的答案。

：Android安全 - 与谷歌的Adrian Ludwig进行的问答

谷歌的角色

问：谷歌试图保护其Android用户的确切原因是什么？

Ludwig：我们使用多层安全设计Android - 从设备硬件功能（Trustzone，NX）开始，通过操作系统（Application Sandbox，SELinux，ASLR）以及Google提供的应用程序和服务（Google Play，设备管理器，验证应用程序等）。我们还通过使第三方能够提供安全解决方案来鼓励安全创新。

如今，移动设备面临的最紧迫的安全威胁包括：1。丢失和被盗设备（我们为其提供锁屏，设备加密和Android设备管理器等保护）2。网络级攻击（Android为其提供加密服务和暴露默认情况下没有监听服务的最小攻击面）3。潜在有害的应用程序（Android应用程序沙箱，Google Play应用程序审核和验证应用程序均已设计）

当我们听到新的潜在威胁时，我们开始将其纳入我们未来的计划和设计中。

支持政策

问：Google为操作系统中发现的安全漏洞提供了多长时间的支持？

Ludwig：我们对Android安全支持策略的方法是在我们认为实际交付给用户并提高安全性的任何地方提供更新。在实践中，这意味着我们为潜在的安全问题提供多种不同类型的支持：

如果可以通过更新Chrome，Gmail，Google Play或任意数量的Google应用程序来解决问题，我们将以可以追溯到每个应用程序可用的所有Android版本的方式解决问题。
Google Nexus设备和Google Play版设备会定期及时收到安全更新。
我们在Android开源项目（AOSP）中为Android的当前分支提供补丁，并直接为Android合作伙伴提供至少最后两个主要版本操作系统的补丁。目前，我们正在为Android 4.3及更高版本的安全问题提供反向端口。 Android 4.3上的WebKit是一个例外。 Android 4.4及更高版本支持它作为二进制更新。然而，当OEM请求协助为运行较旧版本平台的设备开发补丁并且他们承诺将该补丁作为OTA交付给设备时，我们将为他们提供帮助。
在可能的情况下，我们还会更新Google的Android安全服务，为所有Android设备提供额外的保护，无论OEM是否仍然支持这些设备。这包括检查可能有害的应用程序和其他安全行为。
我们还为应用程序开发人员提供信息和工具，以确保其应用程序免受潜在安全问题的影响。这包括在Google Play服务中提供API，例如可以在没有设备OTA的情况下由Google更新的可更新安全提供程序。我们还提供最佳实践，帮助开发人员确保他们的应用程序在所有Android设备上安全运行，无论他们是否仍然支持OEM。最近，我们开始在Google Play中扫描应用程序以查找潜在的安全漏洞，并在检测到这些漏洞时通知开发人员。
最后，但并非最不重要的是，我们与Android合作伙伴共享有关安全问题的信息（包括我们提供的有关修复和任何已知利用的信息），以确保他们了解问题，包括与未收到问题更新的设备相关的风险。这包括在兼容性测试套件中添加潜在安全问题的测试，以减少OEM无意中发送具有已知安全问题的设备的可能性。