时至今日 Android 系统的安全问题是否已经完美解决？

前言

Android 系统非常安全

以上是一句笑话

但是我比大多数人都希望它成真

希望将来有一天它可以吊打 ios 系统，大家真真正正的将其称之为国产之光

Android 的出身

● 安卓最初由Andy Rubin开发，2005年由Google收购注资，2007年Google与84家硬件制造商软件开发商及电信运营商组建开放手机联盟(Open Handset Alliance)，共同研发与改良Android系统，随后Google以Apache开源许可证的授权方式，发布Android源代码

● Google发起并主导开源项目Android Open Source Project(后称AOSP)，在开源下，任何人都可以自由审查和贡献代码以及修复项目仓库，而Google引领大方向与大部分开发工作，AOSP会定期为Android加入最新的安全补丁，Google每年也会在其I/O开发者大会公布操作系统新功能

为什么说 Android 系统不够安全？

● 按理说安卓系统是谷歌家做的，iOS 是苹果家的，同样是全球数一数二的科技巨头，安全实力不会相差那么大，但在以往人们的认知里，iOS 系统就是稳定、安全，Android 系统的安全性总是不那么靠谱，事实几乎如此

为什么会出现这样的现象？

● 苹果是闭源的，iOS 只给苹果手机用，下载软件也必须去应用市场 AppStore；而安卓是开源的，系统代码开源给各大手机厂商供他们自行修改，用户也可以随处下载安装APK（软件安装包），而不用局限于官方应用市场。（国内也上不去）

● 苹果是个封建帝国，安卓是一片生态，里面有谷歌、终端设备厂商、芯片厂商、开发者等各种角色。这就带来许多问题，最严重的就是碎片化

何为碎片化？

● 安卓原本是一个整体，但在设备厂商的改造下，慢慢裂变成了碎片

● 几乎每个设备厂商都会把安卓系统改造成自家独特的定制版，比如国内有华为的EMUI、小米的MIUI、魅族的 Flyme等等，每种系统又要适配不同的手机型号，每个手机型号系统又有很多个版本

● 碎片化直接导致的结果是，每次安卓出现系统漏洞，虽然谷歌及时发布了补丁，但是厂商根本来不及为每个机型、版本适配，市面上系统版本太多了！

● 谷歌或许能够很快修复最新发现的重大漏洞，但由于生态碎片化太严重，设备厂商跟不上谷歌的脚步。一个已知漏洞都要小半年才能修复，试问安卓系统怎可能安全？

Android 的平台优势

开放性

● 在优势方面，Android平台首先就是其开放性，开发的平台允许任何移动终端厂商加入到Android联盟中来。显著的开放性可以使其拥有更多的开发者，随着用户和应用的日益丰富，一个崭新的平台也将很快走向成熟。

● 开放性对于Android的发展而言，有利于积累人气，这里的人气包括消费者和厂商，而对于消费者来讲，最大的受益正是丰富的软件资源

● 开放的平台也会带来更大竞争，如此一来，消费者将可以用更低的价位购得心仪的手机。同时也可以通过一些第三方优化过的系统通过刷机来实现更好的用户体验，如MIUI，Flyme等。

丰富的硬件

● 这一点还是与Android平台的开放性相关，由于Android的开放性，众多的厂商会推出千奇百怪，功能特色各具的多种产品

功能上的差异和特色，却不会影响到数据同步、甚至软件的兼容，如同从诺基亚Symbian风格手机一下改用苹果iPhone，同时还可将Symbian中优秀的软件带到iPhone上使用、联系人等资料更是可以方便地转移

方便开发

● Android平台提供给第三方开发商一个十分宽泛、自由的环境，不会受到各种条条框框的阻扰，可想而知，会有多少新颖别致的软件会诞生。但也有其两面性，血腥、暴力、情色方面的程序和游戏如何控制正是留给Android难题之一

Google应用

● 在互联网的Google已经走过10年度历史，从搜索巨人到全面的互联网渗透，Google服务如地图、邮件、搜索等已经成为连接用户和互联网的重要纽带，而Android平台手机将无缝结合这些优秀的Google服务

如何有效的解决安全隐患？

逆向工程

● Android 应用程序是使用 Java 开发的，并使用 Eclipse 等集成开发环境 (IDE)。这些 Java 应用程序可以使用 Internet 上提供的各种工具进行反转。在 Android 中，字节码可以被修改并以 APK 文件的形式再次打包

● 逆向 Android 应用程序可以轻松提供测试登录凭据、对不良设计的洞察、有关使用的库和类的详细信息。它还可以提供有关应用程序中使用的加密类型的详细信息。这可以帮助攻击者不仅入侵一台设备，而且使用相同的解密方法入侵多台设备

不安全的平台使用

● 当应用程序开发人员忽略 Google 发布的与其移动操作系统进行通信的最佳实践时，尤其是通过不安全的 Android 意图和平台权限，Android 操作系统和应用程序就会容易受到 OWASP 移动前 10 名风险的影响

● 例如，当开发人员不保护导出的服务或向 API 调用发出错误标志时，他们的应用程序就会暴露在黑客面前。黑客倾向于窥探 Android 设备以接收用于合法应用程序的 BroadcastReceiver 实例，开发人员倾向于忽略使用 LocalBroadcastManager 为合法应用程序发送和接收消息，从而造成安全漏洞

忽略更新

● 许多Android开发者没有定期更新他们的应用程序，也没有关注Android发布的操作系统补丁，导致对新发现的漏洞缺乏保护。更新涵盖最新的安全补丁，而忽略这些补丁会使应用程序面临最新的安全风险

root环境

● Android 操作系统允许用户使用第三方应用程序 root 其设备，并向他们发出一些警告。然而，并非每个用户都明白他们的 root 设备会使其受到黑客和恶意软件的操纵。因此，对于开发人员来说，要么不允许他们的应用程序在 root 环境中运行，要么向用户发出定期警告变得至关重要

结语

技术是无止境的，你需要对自己提交的每一行代码、使用的每一个工具负责，不断挖掘其底层原理，才能使自己的技术升华到更高的层面

Android架构师之路还很漫长，与君共勉

PS:有问题欢迎指正,可以在评论区留下你的建议和感受；
欢迎大家点赞评论，觉得内容可以的话，可以转发分享一下