四大要點助您掌握Android安全性議題

　　今年一月中旬，美國國家安全局正式發布第一版Android操作系統安全強化套件(SE Android，Security Enhanced Android)，并隨之釋出一些相關原始碼。此舉被許多人譽為是Android設備安全性向上提升的重要一大步。事實上，美國國家安全局近來所發布的程序代碼叢輯，對風河這類Android專家而言是再孰悉也不過的事，因為風河多年來始終持續為各種Android設備設計并導入復雜的軟件安全層。只不過，現在這些有助強化安全性的開發成果，在媒體描繪下似乎已被美化為可解決所有安全疑慮的全方位解決方案，我認為如此看待這些成果稍顯粗略，而且也過度簡化了Android安全性相關議題的復雜程度。

　　簡單來說，這套SE Android程序代碼叢輯并非萬靈丹，即使將其編譯并重新安裝至您的Nexus S設備，也無法確保您的設備就百分之百地“安全”。

　　風河支持Android設備至今已將近五年時間。這段期間的經驗累積，再加上作為移動Linux設備領域技術先驅已經超過十年所積累的心得，讓風河得以歸納出以下四項最為關鍵的Android安全性議題要點：

　　(一) Android的安全性問題就好比一塊高難度的拼圖，是由許多困難的零碎片段構成，必須費心組裝才能開發出真正安全的Android設備。

　　(二) 安全性其實是一個以應用情景為基礎所推演出的概念。舉例來說，一部軍用行動通訊終端設備對安全性的定義及軟硬件需求，就完全不同于運行于車載信息娛樂應用(IVI)系統上的Android軟件棧。

　　(三) 安全機制的建構并非“一次性”的工作。務必費心建立一套可長可久的系統，不但要足以抵擋新型態的攻擊，還要可以現場升級至最新的Android版本(必要的話，最好還能針對特定安全防護層面實現持續更新)，同時又能繼續維持或進一步強化其先前的安全層級設定。

　　(四) 最后，只是宣稱一套軟件的建構與導入是“安全的”，這仍然有所不足。必須要有一套測試框架Framework以及全自動測試腳本，以便讓待測設備接受耐壓測試，或是對其模擬各類攻擊并提供可供量測的證明要點，以確保這些類型的攻擊不會影響我們賦予目標設備的主要使用案例。這套測試框架必須具備擴充能力，可以快速針對已安裝最新版本Android平臺的設備進行驗證;此外也必須具備足夠彈性，以便納入最新攻擊的腳本。

　　接下來，我們再深入些探討這四大要點。

　　根據我們的分析，風河已經可以區別處理多達十幾項不同領域的Android安全性問題，其中包括使用者身分辨識及驗證、橫跨多重內存位置的用戶數據保護、接收及發送數據分別過濾、執行事件紀錄以便遠程審計、各類加密技術的選用及導入、可信賴路徑、數據保護版權管理技術、虛擬化技術以及空域/時域區隔、可信賴開機、惡意軟件防制、固件更新保護、應用程序安裝管理等。

　　這里有個實例，有助于對上述內容有更鮮明的理解。最近借探親之便，我剛好有機會參觀一艘舊式蘇聯潛艇。這艘潛艇內有數百個控制閥門，只要熟練操作便可順利管控艇上各式系統。要順利操控這艘船，顯然要具備兩方面的專業能力：第一，對各個控制閥門功能的明確掌握;第二，具備整體管控這些閥門的知識。掌控Android系統就好比操控這艘潛水艇，必須了解在什么時間點下需要開啟哪個“閥門”，以及需要將它開啟到何種程度。此外，對應用處理器技術(例如ARM架構或英特爾IA架構)的選用，也對使用方式有所影響，Wind River Hypervisor這類嵌入式虛擬化技術就是一例。

　　由于風河多年來已針對廣泛類型的各種設備進行設計和導入Android安全機制，因此可以充份滿足上述第二點要求。風河服務過的設備包羅萬象，從客制化開發的企業用平板計算機、多媒體電話機、智能手機、通用平板電腦、車載信息娛樂應用系統，乃至于公共安全應用或是醫療用途的設備。

　　有趣的是，縱觀所有已發布的Android計劃，當中有一項共通之處，那就是若要真正確保Android安全性，面對不同類型的設備常常必須采取幾乎完全不同的方法才會有效，并不存在一種放之四海而皆準的單一作法。換言之，在導入安全技術的過程中，不同設備的使用案例具有不同程度的影響力，也因此必須對Android做出不同的客制化調整，甚至連軟件驗證的概念也會因而各異。對此，若您希望有個具體范例可供了解，不妨參考McAfee和風河共同完成的一份技術白皮書，其中針對車載信息娛樂應用列出了一系列安全考慮要點。總之，關鍵在于了解各類設備的應用情景，并將其與Android安全性相關的專業知識緊密結合。