四大要点助您掌握Android安全性议题

　今年一月中旬，美国国家安全局正式发布第一版Android操作系统安全强化套件（SE Android，Security Enhanced Android，http://selinuxproject.org/page/SEAndroid），并随之释出一些相关原始码。此举被许多人誉为是Android设备安全性向上提升的重要一大步。事实上，美国国家安全局近来所发布的程序代码丛辑，对风河这类Android专家而言是再孰悉也不过的事，因为风河多年来始终持续为各种Android设备设计并导入复杂的软件安全层。只不过，现在这些有助强化安全性的开发成果，在媒体描绘下似乎已被美化为可解决所有安全疑虑的全方位解决方案，我认为如此看待这些成果稍显粗略，而且也过度简化了Android安全性相关议题的复杂程度。

　　简单来说，这套SE Android程序代码丛辑并非万灵丹，即使将其编译并重新安装至您的Nexus S设备，也无法确保您的设备就百分之百地“安全”。

　　风河支持Android设备至今已将近五年时间。这段期间的经验累积，再加上作为移动Linux设备领域技术先驱已经超过十年所积累的心得，让风河得以归纳出以下四项最为关键的Android安全性议题要点：

（一） Android的安全性问题就好比一块高难度的拼图，是由许多困难的零碎片段构成，必须费心组装才能开发出真正安全的Android设备。

（二） 安全性其实是一个以应用情景为基础所推演出的概念。举例来说，一部军用行动通讯终端设备对安全性的定义及软硬件需求，就完全不同于运行于车载信息娱乐应用（IVI）系统上的Android软件栈。

（三） 安全机制的建构并非“一次性”的工作。务必费心建立一套可长可久的系统，不但要足以抵挡新型态的攻击，还要可以现场升级至最新的Android版本（必要的话，最好还能针对特定安全防护层面实现持续更新），同时又能继续维持或进一步强化其先前的安全层级设定。

（四） 最后，只是宣称一套软件的建构与导入是“安全的”，这仍然有所不足。必须要有一套测试框架Framework以及全自动测试脚本，以便让待测设备接受耐压测试，或是对其模拟各类攻击并提供可供量测的证明要点，以确保这些类型的攻击不会影响我们赋予目标设备的主要使用案例。这套测试框架必须具备扩充能力，可以快速针对已安装最新版本Android平台的设备进行验证；此外也必须具备足够弹性，以便纳入最新攻击的脚本。

　　接下来，我们再深入些探讨这四大要点。

　　根据我们的分析，风河已经可以区别处理多达十几项不同领域的Android安全性问题，其中包括使用者身分辨识及验证、横跨多重内存位置的用户数据保护、接收及发送数据分别过滤、执行事件纪录以便远程审计、各类加密技术的选用及导入、可信赖路径、数据保护版权管理技术、虚拟化技术以及空域／时域区隔、可信赖开机、恶意软件防制、固件更新保护、应用程序安装管理等。

　　这里有个实例，有助于对上述内容有更鲜明的理解。最近借探亲之便，我刚好有机会参观一艘旧式苏联潜艇。这艘潜艇内有数百个控制阀门，只要熟练操作便可顺利管控艇上各式系统。要顺利操控这艘船，显然要具备两方面的专业能力：第一，对各个控制阀门功能的明确掌握；第二，具备整体管控这些阀门的知识。掌控Android系统就好比操控这艘潜水艇，必须了解在什么时间点下需要开启哪个“阀门”，以及需要将它开启到何种程度。此外，对应用处理器技术（例如ARM架构或英特尔IA架构）的选用，也对使用方式有所影响，Wind River Hypervisor这类嵌入式虚拟化技术就是一例。

　　由于风河多年来已针对广泛类型的各种设备进行设计和导入Android安全机制，因此可以充份满足上述第二点要求。风河服务过的设备包罗万象，从客制化开发的企业用平板计算机、多媒体电话机、智能手机、通用平板电脑、车载信息娱乐应用系统，乃至于公共安全应用或是医疗用途的设备。

　　有趣的是，纵观所有已发布的Android计划，当中有一项共通之处，那就是若要真正确保Android安全性，面对不同类型的设备常常必须采取几乎完全不同的方法才会有效，并不存在一种放之四海而皆准的单一作法。换言之，在导入安全技术的过程中，不同设备的使用案例具有不同程度的影响力，也因此必须对Android做出不同的客制化调整，甚至连软件验证的概念也会因而各异。对此，若您希望有个具体范例可供了解，不妨参考McAfee和风河共同完成的一份技术白皮书（http://www.mcafee.com/autoreport），其中针对车载信息娱乐应用列出了一系列安全考虑要点。总之，关键在于了解各类设备的应用情景，并将其与Android安全性相关的专业知识紧密结合。

　　至于固件管理，在移动应用领域是再寻常不过的概念。以OMA-DM（Open Mobile Alliance Device Management）为例，这项标准不但行之有年，更已被应用到全球亿万台移动终端设备中。对Android设备来说，现阶段的挑战主要来自于智能手机以外；因为在移动应用之外的其它应用领域中，这类以营运商为出发点的设备、用户、服务以及策略管理（Policy Management）的相关基础建设可说几乎一概欠缺。为满足此项需求，风河开发出了一整套Android解决方案加速开发软件Wind River Solution Accelerators for Android，可提供固件管理功能，使Android设备得以持续升级到最新版本Android安全性软件。另一方面，众多风河伙伴厂商也已开发出多款以提升安全性为主要目标的策略管理解决方案，可用来应对特定的应用情景。

　　最后，请务必借助专业的测试方案来确认Android安全机制是否已顺利导入目标设备。当然，某些测试内容是可以手动完成的，但是若能善用业界领先的自动化测试工具，例如Wind River Framework for Automated Software Test (FAST) for Android解决方案，就可大幅提升测试效率并取得更具意义的测试结果。尤其当Android待测设备需要被置于超负荷的环境中测试时，善用工具所带来的帮助将更为显著。例如您可能因为疲劳测试的需要，而正在执行一个加速的每日测试情境，此时您还可以同步执行一连串预设的攻击脚本，以仿真待测设备的反应。而如此庞大的测试负载量，就需要好的工具来助您一臂之力。