Google 公佈 Android 年度安全報告：為生態系統提供更多保障

Google 近日發表第三份 Android 年度安全報告（Android Security 2016 Year in Review），總結了其服務、合作伙伴及安全社區，在過去一年中保護 Android 生態系統的情況，並指出 Android 的重大安全問題有改善，但仍然有些裝置沒有接受過安全更新。

協助用戶抵禦潛在有害應用程式 (PHA)

Google 透過應用程式分析工具 Verify Apps，不斷審視可能威脅安全的應用程式，以保護從非 Google Play 渠道下載 Apps 的 Android 用戶。Verify Apps 會定期掃描用戶裝置檢查有否隱藏有害應用程式 PHA，並不斷追蹤及攔截現存有 PHA ，更需要在新增 PHA 出現前作出防範。一旦偵測到 PHA，他們就會提醒用戶，建議他們在下載某個應用程式之前要再三考慮，甚至在裝置上徹底刪除該應用程式。

2016年，Verify Apps 每日進行的掃描多達 7 億 5 千萬次，遠超 2015 年的 4 億 5 千萬次，令在 Android使用量最高的 50 個國家中的 PHA 下載率下降。

Google Play 始終是 Android 用戶下載應用程式的最安全地方，在 Google Play 不同應用程式類別中下載到 PHA 的機會都有所下降。

• 下載到「木馬病毒」 (Trojan) 的機率降至 0.016%，較 2015 年減少 51.5%
• 下載到惡意應用程式的機率降至 0.003%，較 2015 年減少 54.6%
• 下載到木馬後門程式 (Backdoor) 的機率降至 0.003%，較 2015 年減少 30.5%
• 下載到釣魚程式 (Phishing) 的機率降至 0.0018%，較 2015 年減少 73.4%

截至2016年年底，只有0.05% 用戶裝置從 Google Play 下載到藏有PHA的應用程式，低於2015年錄得的 0.15%。但如果要在 Google Play 以後第三方的地方下載 Android 程式，下載到潛在有害程式的機率是自 Google Play 下載的 10 倍。

通過合作 提升 Android 生態系統安全

Google 在 2016 年與其他各界合作推出「每月安全更新計劃」，持續與安全研究社群緊密合作：

• 在 2016 年，由 200 多家廠商出產、超過7億3千5百萬部流動裝置成功接收 Android 安全更新。
• 全球活躍 Android 裝置有3%運行Android 4.4.4 或以上版本，Google 為這些流動裝置每月發出 Android 安全更新。
• Google 與電訊商及硬件合作夥伴協作，擴充每月安全更新計劃的普及程度。截至 2016 年第四季，Google 向過半數的全球 50 款最受歡迎流動裝置發送安全更新。

Google 為 Pixel 和 Nexus 流動裝置提供每月安全更新，但在提升Android 生態系統安全方面仍然任務艱巨。截至 2016 年年尾，有接近一半的 Andriod 裝置在過去一年未有接收到平台的安全更新。在未來，Google 亦會透過簡化安全更新計劃，讓廠商更容易發送安全修補程式和 A/B 更新，方便用戶安裝更新，提升流動裝置安全水平。

在研究方面，Android 安全獎勵計劃（Vulnerability Rewards Program）迴響大，Google 在 2016年向報告漏洞的相關研究人員發放近 100 萬美元獎勵。與此同時，Google 亦與多家保安機構緊密合作，致力迅尋找並修復可能危害用戶的問題。