掌握Android装置安全性的四大要点

　　2012年1月中旬，美国国家安全局（NaTIonal Security Agency，NSA）正式发佈第一版 Android 作业系统安全强化套件（Security Enhanced Android，SE Android）【註一】，并随之释出一些相关原始码；此举被许多人誉为是Android装置安全性向上提升的重要一大步。

　　事实上，美国国家安全局近来所发佈的程式码丛辑（Code Base），对Wind River这类Android专家而言是再孰悉也不过的事物，因为Wind River多年来均持续为类型广泛的各式Android装置设计并导入复杂的软体安全层（Security Layer）。只不过，现在这些有助强化安全性的开发成果，在媒体描绘下似乎已被媲美为可解决所有安全疑虑的全方位解决方案，我认为如此看待这些成果稍显粗略，而且也过度简化了Android安全性相关议题的复杂程度。

　　简单来说，这套SE Android程式码丛辑并非万灵丹，即使将其编译并重新安装至您的Nexus S装置，也无法确保您的装置就百分之百地「安全」。Wind River支援Android装置至今已将近五年时间。这段期间的经验累积，加上在行动Linux装置领域身为技术先驱超过十年所沉淀的心得，让Wind River得以归纳出以下四项最为关键的Android安全性议题要点：

　　（一） Android的安全性议题就好比一块高难度的拼图，是由许多困难的零碎片段构成，必须费心组装才能开发出真正安全的Android装置。

　　（二） 安全性其实是一个以使用案例（Use Case）为基础所推演出的概念。举例来说，一部军用行动通讯终端装置对安全性的定义及软硬体需求，就完全不同于运行于车载资讯娱乐应用（In-Vehicle Infotainment，IVI）系统上的Android软体堆叠（Software Stack）。

　　（三） 安全机制的建置，并非「一次性（Fire-and-Forget）」的做法 。务必费心建立一套可长可久的系统，不但要足以抵挡新型态的攻击，还要可以现地升级至最新的Android版本（必要的话，最好还能针对特定安全防护面向持续更新），同时又能继续维持或进一步强化其先前的安全层级设定。

　　（四） 最后，光是宣称一套软体的建置与导入是「安全的」仍有所不足，必须要有一套测试框架（Framework）以及全自动测试脚本，可以让待测装置（DUT，Device Under Test）接受耐压测试，或是对其模拟各类攻击并提供可供量测的证明要点（Proof Points），以确保这些类型的攻击不会影响我们赋予目标装置的主要使用案例。这套测试框架必须具备扩充能力，可以快速针对已安装最新版本Android平台的装置进行验证；此外也必须具备足够d性，以便纳入最新攻击的脚本。