Android作为软件平台是危险的。美国谷歌公司正在全力采取措施消除这种印象。借助彻底检查应用和各种漏洞对策，Android的安全度正在快速提升。然而，无论该公司再怎样集聚智慧，仍有堵塞不了的漏洞。为什么Android无法变得安全？ 

Android是美国谷歌公司开发的数码产品软件平台。以智能手机的快速普及和应用软件（以下简称应用）的自由发布为背景，质疑Android危险性的大众媒体和安全领域研究者的呼声越来越大（注1）。 

（注1）在这里，“ Android的危险性”是指用户在不知情的情况下个人信息和行动信息被盗取，Android终端系统被控制，从而成为攻击的平台。 

俄罗斯的计算机安全公司卡巴斯基实验室（Kaspersky Lab）表示，在感染手机的恶意软件*中，针对Andorid的在2011年4月仅占整体的4.64％，而2012年3月竟然增加到了81.73％（图1）。据称这种增加趋势如今还在持续。即便如此，谷歌依然断言“Android足够安全”。 

图1：激增的Android恶意软件 截止2011年4月，攻击手机的恶意软件中，针对Android的仅为4％左右，而到2012年3月，比例已经超过了81％。（图：《日经电子》根据卡巴斯基实验室数据制作）

*恶意软件：以恶意目的制作的软件。病毒是恶意软件的一种。 

安全公司认为“Android危险”，而谷歌认为“Android足够安全”。究竟谁的说法是正确的？实际上，二者的说法都有道理。Android平台虽然日渐安全，但在原理上依然残留着着恶意软件容易蔓延的土壤（注2）。 

（注2）对于用户，使用智能手机时的风险除了意外安装恶意软件之外，还包括遗失和被盗后被他人获取内部信息，但这是包括Android在内的所有终端面临的共同危险，本文对此不予不讨论。 

谷歌公司意欲保护用户、硬件和软件开发者的自由，这就给了攻击者钻空子的机会。要想确保安全，只要加大限制即可，但这也就剥夺了自由。这种“自由与限制的两难”是Android安全问题的本质。在谷歌的安全措施上，体现出数码产品安全对策存在的根本性困难。 

攻击始自应用安装 

Android发生的绝大多数安全问题都是以应用安装为起点的。 

用户通过安装应用受到攻击的类型大致分成两种。一种是正式取得了Android的安全机构——“权限”的应用，因非法目的取得个人信息，或执行非法操作。权限是指应用为操作Android内管理的数据，或是利用Android提供的功能而向用户索要的许可。因为利用应用的功能会显示在安装画面上，所以用户可以根据画面判断应用是否危险（图2）。 

图2：用户如果允许便可取得个人信息 Android的应用安装画面需要用户许可。此时会显示利用的信息和功能。用户据此如果判断存在危险，即可避免安装非法应用。

但提示权限的画面上的说明不易理解，用户很难看懂应用要取得的信息内容。因此，用户不确认权限内容便同意安装的事例频发。 

另一种攻击方式是在应用中埋设攻击Android系统程序漏洞*的代码，以篡夺管理者权限（root权限）从而控制系统。篡夺了root权限的应用不经用户的许可便可安装其他应用以及盗取终端内的信息等。从权限的内容看不出有危险的征兆（注3）。 

（注3）权限被破解与漏洞遭到攻击的恶意软件清除方法不同。前者通过卸载可以复原，但若root权限被篡夺，系统遭到篡改，则除了重刷ROM以外别无他法。 

*漏洞，指有可能被恶意用于攻击的安装缺陷和问题。英语的表述是vulnerability。攻击者可以通过突破作漏洞篡夺管理者权限、拒绝服务的攻击（DoS：denial of service）等。 

Android 4.0基本完成 

直到2011年上半年，Android对于上述两种攻击还基本毫无防备。因为Android的官方应用市场“Android Market（现在的Google Play）”没有应用审查，谁都可以轻易发布非法应用。 

然而，近来谷歌开始出台了一连串安全强化措施（图3）。首先，从2011年下半年开始，谷歌未经发布便开始了名为“Bouncer”（开发代码）的恶意软件检测系统（注4）的运用。并在2011年11月公开了源代码的Android 4.0中基本完成了防御典型漏洞攻击的机构。 

图3：安全对策正在强化的Android 此前，安装恶意软件、漏洞遭到攻击导致系统被篡改的危险性颇高。随着Android 4.0的推出，高水平的安全功能已基本完备。

（注4）谷歌于2012年2月2日在博客上公开了使用Bouncer的情况（http://googlemobile.blogspot.jp/2012/02/android-and-security.html）。 

其中，Bouncer的效果很显著，“在2011年的上半年到下半年期间，（因Bouncer的采用）下载到恶意软件的Android终端减少了40％。谷歌称“这段时间与杀毒软件公司宣称恶意软件正在增加的时间一致”。 （未完待续 记者 中 道理）