華為新款手機不再預載 Google Mobile Service(GMS)之外,現有手機不會再收到 Google 官方釋出的 Android 安全性更新,對於產業還是一般消費者都受到影響,也引發不同面向的討論。而從資安防護的角度,也有很多不同層面的問題能探討。
Google 不再提供相關系統套件與更新後,許多華為使用者應會透過其他方式安裝 GMS,或透過其他 App Store 來安裝軟體,這樣的行為會有多少風險?依據服務對象的不同,資安廠商和他們提供的方案,可分為一般消費性者和企業用途兩大類。比較偏消費者資安的趨勢科技,認為消費者應該認明官方平台下載手機 App,如 Play Store,並輔以防毒軟體強化手機資安。而提供企業方案的廠商,有比較多層面的探討方向,如一般消費者裝置的資安狀況,再到如何影響企業網路。
F5 Zero trust 原則,保護企業網路安全
解決方案多為企業用戶的資安公司 F5 提出 Zero trust 的原則,分為裝置和 App 層面。第一個是裝置層次,只要裝置有裝未經 Google 第一線驗證安全性的 App,一律視為不安全的裝置,必須隔離不讓其直接連接內部網路。第二個層次是 App 的連結,要進一步考慮裝置上的 App 只能間接連到公司網路,增加讀取公司敏感資訊時的安全性。
F5 建議企業採用沙盒式安全管理機制 ,確保非認可裝置與程式取得敏感資訊的安全設計。另外,考慮到正常 App 遭惡意程式利用的情況,透過用戶端連線安全檢測機制,確認連接裝置的基本安全能力,並限制取得連線後可存取的資源與環境,能控制威脅的影響範圍做法。
Fortinet 四原則保用戶安全,非官方市集容易有風險
提供 SD-Wan 防護的資安公司 Fortinet 提出四原則,提醒手機用戶該注意的地方:
- 不裝來路不明的 App。
- 先看使用者評論,是否已有網友通報可能有資安風險或安裝有不明原因的運作現象。
- 不輕易給 App 存取權限。
- 不要 Root 手機。
儘管 Google Play Store 也曾出包,上架含惡意軟體的 App,但有 Google 做第一線把關,仍大幅增加上架軟體的使用安全性。所以 Fortinet 不建議從非官方途徑下載 App,像 2015 年肆虐的 Adult Player 就是經由非官方認證的 App,偽裝成色情影片播放器的勒索軟體。
Fortinet 提到除 Google Play Store 之外,還是有些大廠支援而且管理良善的非官方市場可供使用,例如 Amazon App Store,各手機製造商的商城,或者老牌且具口碑的 GetJar 等等。
然而 Google 不再提供及協助未來華為手機的 Google Android 升級及安全性漏洞修正,其實這是 Fortinet 認為更嚴重的問題。因為在 Android 作業系統生態下,安全性漏洞一旦發生,主要是由 Google 驗證確認風險性,然後協助各廠商研發和發布對應 Patch (安全修補)。
上述提到的風險是 Android 智慧型手機的挑戰。相對之下,蘋果手機的 iOS 具獨占性地位,Patch 更新速度和頻繁度,其實是完勝具有大小品牌和硬體複雜度高的 Android 作業系統。當然還是有些規模較大的品牌,努力改善手上 Android 手機系統的更新服務。
以業界的風評來說,華為的 Patch 或作業系統升級服務,還算滿到位,但失去 Google 這強而有力的後盾,遭遇針對 Android 系統漏洞、大幅肆虐的資安威脅時,華為是否真如其所言,有足夠的技術能量做好這件事,真的只能有等待時間證明了。最後,當然還是建議用戶安裝手機資安防護軟體,多上一道鎖就是多一道把關。
用戶裝置安全,才有防備完善的企業網路
華為禁令造成個人裝置的資安風險,個人受資安威脅,連帶企業網路受到影響。華為有一定的技術水準,但沒有 Google 那麼多資源,真要維護客戶裝置安全,仍是相當大的挑戰。
(首圖來源:Flickr/Kārlis Dambrāns CC BY 2.0)
