谷歌从DroidDream Android袭击中逐渐恢复

北京时间3月10日消息，据国外媒体报道，上周谷歌Android商城发现超过50个感染木马的应用的消息一出，立刻撼动了谷歌，并触及了移动安全产业的核心问题。

这些含有木马的应用程序名为DroidDream已被谷歌移除，该公司同时还称，他们“加强了一系列措施防范恶意应用利用相同的溢出漏洞，并通过Android商城散布”，但谷歌拒绝透露具体措施。

但DroidDream带来的巨大困惑是，去年11月谷歌已经宣布修补了溢出漏洞，而如今为何各款Android设备(谷歌宣称基于漏洞已经修复，Android 2.2.2及其以后版本都不会受影响)面对DroidDream袭击时仍旧如此脆弱?

一个潜在的问题在于，Android设备制造商和运营商分销Android设备的更新版本时，并没有一致的为他们的用户更新DroidDream溢出的补丁。

据谷歌的幕后消息，在他们拒绝公布那些Android设备制造商和运营商的名单的同时，他们也承认并非所有的Android设备都打了补丁。谷歌一般在公布了对Android编码基数所作的开放资源编码修改之后才去不干涉的策略，期待制造商自行将它们加入到客户定制的Android设备上。而在 DroidDream之后，谷歌则改变策略，直接和制造商以及运营商合作，插手远程编程业务。此举目的在于加强对由DroidDream引发的安全问题的重视程度。

谷歌同时还直接向感染的Android设备发出了一个自动卸载工具“Android Market Security Tool March 2011”，以自动卸载那些从谷歌商城下载下来的恶意Android应用。

安全厂商这周密切关注谷歌DroidDream事件的进程。

“这个木马的溢出已经在几个月之前就被修复了。”移动安全公司Lookout Mobile Security的CTO Kevin Mahaffey解释了谷歌商城中散布DroidDream木马应用程序事件中的“溢出”和“rageagainstthecage”的含义。但谷歌几个月之前修复了该木马溢出并不意味着这已经到达了消费者。Mahaffey表示，整个产业从中可以学到的是“修复手机漏洞远比电脑要复杂”。

反木马公司巴卡斯基实验室昨日称谷歌在处理Android木马问题上的手段是“值得讨论”的。该安全公司称他们检查到谷歌向感染了 DroidDream病毒的Android设备发送“Android Market Security Tool March 2011”是一个“值得质疑的方法”。

卡巴斯基在它的分析中称，这个谷歌应用卸载工具能够远程自动装载在感染的设备上，然后“自我发布，获取权限，自动清除恶意软件，然后自我清楚，这一切都不需要用户授权”。卡巴斯基表示：“这一方式同木马发布者的实践方式有着许多相似的地方。”此外，卡巴斯基还指责谷歌“治标不治本”。根据卡巴斯基的分析，“升级版并不能真正的在Android中修复溢出漏洞”。

卡巴斯基还称“仅仅是安装补丁几乎不可能修复漏洞”，一位卡巴斯基研究员表示“这是因为Android不能安装粒状补丁，此外，由于Android采用3G数据连接进行同步和无线电更新，常规的大型补丁更新也很难安装。”

Trustwave的SpiderLabs资深副总裁和主管Nicholas Percoco称，成打的制造商采用了谷歌的安全更新并“捆绑在他们的设备上”，这会使得大量的用会最终能够通过无线电受到更新。这会带来的问题是——如何使企业用户在官方设定中将Android设备用于正式场合。那些能够证明他们最快最好的更新了编码的制造商和运营商最终会得到更多的企业用户。这会使得企业IT管理者倾向于推行一种Android的企业标准，因为补丁和安全问题已经受到严格控制。

Android的DroidDream噩梦可以看作是安全厂商和专家们的一次机会。

“我对于这个袭击的第一反应是我一点都不惊讶，”Juniper移动部分的副总裁Neil Book表示。该公司为Android提供Junos Pulse移动管理和安全软件。他称：”我们通过差错引擎发现了这个问题。”

Book认为，世界上仅有低于5%的智能手机用任意一种反木马软件。他希望看见更过的反木马软件在智能手机上应用，甚至是服务提供商“免费”提供的的OEM版本也是好事。Book表示Juniper和英国电信(British Telecom，简称BT)就此有这两年的合作协议，他希望美国市场也尽快采取措施。

专注于研发针对银行特洛伊木马的反病毒软件的Trusteer公司最近公布了一项合作计划，他们江铜WorkLight一道，为iPhone和 Android研发“安全移动浏览应用”。Trusteer的产品副总裁Yaron Dycian表示，该应用将会在接下来的几个月内推出。它不会像Trusteer目前为银行提供的、基于PC的浏览软件和服务那般被称为Rapport，但是它会以WorkLight的品牌销售，作为企业用途软件推出。WorkLight的CTO Ron Perry表示，如果一款设备受感染，这个应用将不能使用。

和其他的安全厂商一样，Trusteer将DroidDream视为移动木马的一个转折点。Dycian称：“安全问题从现在起将毫无疑问的逐步升级。”