Google在上周公布了史上第一份Android生態系統安全性透明度報告( Android Ecosystem Security Transparency Report),這是一份季報,內容來自於Google Play Protect所偵測到的「可能有害應用程式」( Potentially Harmful Applications,PHA),顯示出從Google Play下載程式比自其它來源安全9倍。

Google原本就提供了Android年度安全報告,內含廣泛的Android系統安全趨勢,從Google所支付的Android抓漏獎金到Google在Android上提供的保護機制等,而屬於季報的透明度報告則僅針對PHA。

Android裝置所內建的Google Play Protect每天平均掃描超過500億的應用程式,當發現可能有害的應用程式時,就會對使用者提出警告,並允許使用者關閉或移除該程式,每季的透明度報告都提供3項指標,分別是PHA的來源(Google Play及非Google Play)、各種Android版本所含的PHA比率,以及不同國家的PHA比率。

Google指出,若Android用戶只從Google Play下載程式,那麼比起會從其它來源下載程式的Android用戶而言,安裝到PHA的機會只有1/9。

從數字來看,2017年只從Google Play下載程式的Android裝置,只有0.09%會載到PHA,今年前三季則下降至0.08%;反之,若是從包括Google Play及第三方程式市集等各種來源下載程式的Android裝置,安裝到PHA的比率則有0.82%,今年前三季亦下滑至0.68%。

此外,越新的Android作業系統安裝到PHA的比率愈低。例如「棒棒糖」(Lollipop,Android 5.0)安裝到PHA的比率>「棉花糖」(Marshmallow,Android 6.0)>「牛軋糖」(Nougat,Android 7.0)>「奧利奧」餅乾(Oreo,Android 8.0)>最新的「派」(Pie,Android 9.0)。

Google解釋,這是因為該公司持續強化Android平台與API,再加上定期的平台與程式更新,也限制程式可存取機密資料的機會,此外,包括Nougat、Oreo及Pie都更能經得起權限擴充攻擊,而讓過去嘗試藉由擴大權限以長期進駐並避免被刪除的PHAs無從發揮功效。

而在Android的前十大市場,至少安裝一個PHA的裝置百分比中,以印度、印尼及美國的比率最高。


Advertisement

更多 iThome相關內容