华为新款手机不再预载 Google Mobile Service(GMS)之外,现有手机不会再收到 Google 官方释出的 Android 安全性更新,对于产业还是一般消费者都受到影响,也引发不同面向的讨论。而从资安防护的角度,也有很多不同层面的问题能探讨。
Google 不再提供相关系统套件与更新后,许多华为使用者应会透过其他方式安装 GMS,或透过其他 App Store 来安装软件,这样的行为会有多少风险?依据服务对象的不同,资安厂商和他们提供的方案,可分为一般消费性者和企业用途两大类。比较偏消费者资安的趋势科技,认为消费者应该认明官方平台下载手机 App,如 Play Store,并辅以防毒软件强化手机资安。而提供企业方案的厂商,有比较多层面的探讨方向,如一般消费者装置的资安状况,再到如何影响企业网络。
F5 Zero trust 原则,保护企业网络安全
解决方案多为企业用户的资安公司 F5 提出 Zero trust 的原则,分为装置和 App 层面。第一个是装置层次,只要装置有装未经 Google 第一线验证安全性的 App,一律视为不安全的装置,必须隔离不让其直接连接内部网络。第二个层次是 App 的连结,要进一步考虑装置上的 App 只能间接连到公司网络,增加读取公司敏感资讯时的安全性。
F5 建议企业采用沙盒式安全管理机制 ,确保非认可装置与程式取得敏感资讯的安全设计。另外,考虑到正常 App 遭恶意程式利用的情况,透过用户端连线安全检测机制,确认连接装置的基本安全能力,并限制取得连线后可存取的资源与环境,能控制威胁的影响范围做法。
Fortinet 四原则保用户安全,非官方市集容易有风险
提供 SD-Wan 防护的资安公司 Fortinet 提出四原则,提醒手机用户该注意的地方:
- 不装来路不明的 App。
- 先看使用者评论,是否已有网友通报可能有资安风险或安装有不明原因的运作现象。
- 不轻易给 App 存取权限。
- 不要 Root 手机。
尽管 Google Play Store 也曾出包,上架含恶意软件的 App,但有 Google 做第一线把关,仍大幅增加上架软件的使用安全性。所以 Fortinet 不建议从非官方途径下载 App,像 2015 年肆虐的 Adult Player 就是经由非官方认证的 App,伪装成色情影片播放器的勒索软件。
Fortinet 提到除 Google Play Store 之外,还是有些大厂支援而且管理良善的非官方市场可供使用,例如 Amazon App Store,各手机制造商的商城,或者老牌且具口碑的 GetJar 等等。
然而 Google 不再提供及协助未来华为手机的 Google Android 升级及安全性漏洞修正,其实这是 Fortinet 认为更严重的问题。因为在 Android 操作系统生态下,安全性漏洞一旦发生,主要是由 Google 验证确认风险性,然后协助各厂商研发和发布对应 Patch (安全修补)。
上述提到的风险是 Android 智能手机的挑战。相对之下,苹果手机的 iOS 具独占性地位,Patch 更新速度和频繁度,其实是完胜具有大小品牌和硬件复杂度高的 Android 操作系统。当然还是有些规模较大的品牌,努力改善手上 Android 手机系统的更新服务。
以业界的风评来说,华为的 Patch 或操作系统升级服务,还算满到位,但失去 Google 这强而有力的后盾,遭遇针对 Android 系统漏洞、大幅肆虐的资安威胁时,华为是否真如其所言,有足够的技术能量做好这件事,真的只能有等待时间证明了。最后,当然还是建议用户安装手机资安防护软件,多上一道锁就是多一道把关。
用户装置安全,才有防备完善的企业网络
华为禁令造成个人装置的资安风险,个人受资安威胁,连带企业网络受到影响。华为有一定的技术水准,但没有 Google 那么多资源,真要维护客户装置安全,仍是相当大的挑战。
(首图来源:Flickr/Kārlis Dambrāns CC BY 2.0)
延伸阅读:
- Google 确定与华为“分手”后,华为手机现有用户还能更新 Google 服务吗?你该知道的 7 个问题
- Google 因川普禁令停止供应华为 Android 相关服务