專訪/Android 首席工程師:真正的資安不裝防毒軟體的

記者洪聖壹臺北報導

除了網頁平臺資訊安全,針對 Android 平臺上的使用安全以及確保使用安全性方式,《ETtoday 東森新聞雲》透過 Android 安全首席工程師 Adrian Ludwig 的介紹,做了更進一步的瞭解。

Adrian Ludwig 主要在 Google 內部負責 Android 平臺和 Google 在該平臺上各種應用程式服務的安全性。針對 Android 平臺要如何做到讓使用者確保安全性的議題,他覺得主要分爲三個層次:第一,就是要有值得信賴的平臺。OS 系統本身就是要很安全的,要跟合作廠商在平臺上運作,設定上是安全無虞的,像是資料加密、本身就要很多裝置支援、APP 本身獨立不互相影響,這個平臺本身就要強化,要一直不斷檢視,想辦法去強化它不能有安全漏洞,這是最基本的。

第二個是針對 Android 本身額外在開發端設計通知機制,在使用端設計回饋機制,同時輔以安全性掃描機制,透過這些安全服務去加強安全性,確保不會出問題。以 Google Play 下載 Apps 爲例,每個 Apps 在更新新版本時,通常都會自動更新,而從開發者端來看,Google Play 也會掃描 Apps,如果有安全性考量,也會立刻通知開發者,對消費者來講,如果發現 Apps 有安全風險,可以進行回報, Google Play 也會主動封鎖,這些都是平臺運作之外的加值服務內容,加強安全性,不只使用者,開發者也不用去確保自己程式的安全性。

第三點,要有一個開放性平臺。從一般的觀念來說,封閉性平臺感覺資安防護效果上會比較好,但是 Google 的想法是相反的,他們認爲在一個開放性平臺底下,可以開放更多資源讓更多的人接觸,而這些人都可以提供問題的解決方案,向其他平臺,可能沒有那麼開放性,Android 安全性的領域,有很龐大的社羣合作伙伴,甚至開放使用者主動提出問題,去協助 Google 強化資安的問題。

對此,Adrian Ludwig 表示,其實要在 Google Play 或是在 Android 平臺找到惡意軟體,而且還可以下載的比例是非常低的,因爲只要一被上架,就會被廣告的使用者、開發者,甚至平臺當中本身的資安防護機制發現,並進行下架或是其他處理方式,這都是開放性平臺能夠做到幾乎是滴水不漏的原因

針對 Android 版本的升級迷思,Adrian Ludwig 迴應表示,很多使用認爲最新的版本在資安防護上就是最好的,從舊版本升級到新的版本,其實比較不會有所謂安全性的疑慮,但這並不代表更新到最新系統就比較安全,主要還是要看裝置本身的支援,以及 Google 針對這些裝置與開發者提供的支援服務內容而定。

Adrian Ludwig 強調,Google 內部都很重視個資,而這也是各平臺從開發就一直在做的事情,不管是從技術角度,還是服務內容本身,Google 都會去防堵任何侵入的問題,每一個應用程式上架,Android Security 都會確認這個內容是安全,效能是好的,不對的內容,絕對無法上架,並表示:「這是我們的承諾」。

對於未來的願景,Adrian Ludwig 表示,真正的安全,不是叫使用者去安裝一些防毒軟體,而是所有資料都要透明化,甚至感覺不到 Google 已經在篩選惡意攻擊或是攻擊等內容,這是團隊終極目標