Google I/O大會終於重視Android安全性,避免惡意軟體登上Google Play

在今年的 Google I/O大會上, Android 平台安全負責人 David Kleidermacher 在推銷 Project Treble 時透露, Google 將把安全補丁更新納入 OEM 協議當中,以此讓更多的設備,更多的使用者獲得定期的安全補丁。這是一個積極的行為,但細究下就並不值得表揚了,因為之所以提出這一方案全因之前被人揭了短。
評論
評論

本篇來自合作媒體 PINGWEST,INSIDE 授權轉載。

二十六個字母都數到 P 了,然而 Android 生態的安全依然是一個讓人堪憂的狀況,而最近,這個情況更是集中爆發。

在今年的 Google I/O 大會上, Android 平台安全負責人 David Kleidermacher 在推銷 Project Treble 時透露, Google 將把安全補丁更新納入 OEM 協議當中,以此讓更多的設備,更多的使用者獲得定期的安全補丁。

這是一個積極的行為,但細究下就並不值得表揚了,因為之所以提出這一方案全因之前被人揭了短。

就在今年四月,Security 安全研究實驗室在測試了 1200 台不同品牌、不同渠道的手機後表示,安全補丁的安裝狀況並不盡人意,有些廠商甚至至少漏掉了 4 個月的安全補丁。

而就在這份報告發布前一個月,Kleidermacher 在接受 CNET 的採訪中剛說完「Android 現在和競爭對手一樣安全」。

用過 Google Pixel 的人都會注意到, Google 每個在月都有一次安全推送的,而且不管你是否想要更新,但其實這個安全補丁 Google 並不僅僅推送給自家手機。

對於安全問題, Google 現在會在每個月的第一個週一發布一份安全補丁公告,公告中會列出已知漏洞的補丁。而同樣是這份補丁,各大廠商一般會提前一個月收到,目的是讓 OEM 和供應商——比如晶片廠——能夠在公告之前好修補漏洞。

這個設想是好的,並且如果友軍認真執行的話效果也不錯,比如 Essential 手機,雖然銷量不好,但是它可以與 Google Pixel 同一天推送安全更新。

然而前面提到了,其他廠商並不都這麼幹的,具體各家差多少直接看圖吧:

Security 還指出,這一結果的背後晶片供應商有很大責任,因為採用聯發科晶片的手機在獲得安全更新方面更顯糟糕:

這裡更新和晶片供應商的關係不是絕對的,比如 PingWest 品玩這就有一台高通驍龍 835 的手機,目前 Android 安全更新還停留在 2017 年 12 月 1 日。

在這一現像被揭露之後, Google 迅速就做出了回應,承認了這項研究的重要性,並表示將會進行核實。而最終的結果,就是這次 Google I/O 上宣布的事情了。並且 Google 這兩年一直在推行的 Project Treble 正好能夠用上,利用這一機制,廠商製作安全補丁更容易,成本更低。

一邊用政策來約束廠商,另一邊又許拉低抵觸心理,可以說是個非常棒的套路。但估計 Kleidermacher 怎麼也想不到,在扶友軍的同時,自家陣腳亂了。

據老牌安全軟體賽門鐵克研究發現,有一些曾經被發現過的惡意應用重登 Google Play 了,而且使用的方法非常簡單:改名。

這次發現的惡意應用程式有 7 個,它們早在去年就被匯報給 Google 並下架過了,但現在,它們通過更改包名稱重新以表情符號鍵盤、空間清理、計算機等類型登錄 Google Play 。

這裡簡單介紹下這些惡意應用的表現,大家注意下:

  • 安裝後會進入幾小時靜默期,以此避免被注意
  • 頂著 Google Play 圖標來索要管理員權限
  • 把自己的圖標改成 Google Play、 Google 地圖這些常見應用
  • 通過提供內容來獲利——比如重定向網站——並且這個形式是雲端可控的

相對來說,這一次惡意軟體的行為其實並不重要,更危險的是這次登錄 Google Play 的形式, Google Play 安全流程中的問題。

首先, Google Play 的審核機制可以說是漏洞百出。在應用上架 Google Play 前的過程中,安全測試成了擺設,自動檢測算法根本沒起作用,人工審核就像個宣傳稱號——據賽門鐵克表示,這些應用根本不能提供正常功能,所以人工審了什麼?

其次,在上架及使用者安裝後 Google 宣傳的防護也沒起作用。基於機器學習技術識別流氓軟體的 Google Play Protect,據稱每天會掃描數十億應用,一樣被繞過了。

最讓人無法接受的是,這些體系還是被繞過兩次,而第二次僅僅是通過改名就饒過了。這難免不讓人聯想到 Google Play 的安全流程中是不是沒有「總結經驗」這一行為,所謂的機器學習是不是學和做分開了。

而相對系統漏洞來說,惡意應用要讓使用者更加不適一些。畢竟大多數人的設備被蓄意利用漏洞攻擊的可能性近乎為 0,但是裝錯個應用就直接中招了。

提到惡意應用,很多人自然而然的就會聯想到流氓應用,然後就會想到「全家桶」,進而就會想到 Google 這幾年更新了幾個管理措施,更進一步還會想到為什麼還壓制不住他們。

其實,這事還得怨 Google ,因為 Google 一直沒想明白問題重點。

以 Android 8.0 為例, Google 雖然推出了一個後台控制特性,但是這個特性如果想完全正常使用有一個前提條件,應用程式的封包 SDK 要達到 API 26(一個不面向使用者的開發設定,和 Android 版本同步更新,目前正式版最高 API 27, Android P 是 API 28),直白點說就是應用是針對 Android 8.0 開發的。如果應用沒這麼做,那麼結果就是新特性最多只能發揮一小部分作用,但並不會影響 App 的正常使用和濫用。

所以,控制權在應用開發者手裡。如果他們認為 Android 新機制非常棒,應該遵守,那就上新的 API。而如果產品部、推送服務商覺得組成全家桶賣相好,那麼就保持原樣。

PingWest 品玩測試了幾個 Google Play 中的應用後發現,其中最低的居然可以低到 API 18,甚至 Google 自家的某些應用也還停留在 API 24。而在 Google Play 之外,騰訊新推的 TIM,現在還在用 Android 4.0.3 時期的 API 15 玩的不亦樂乎。

可見,在這種近乎君子協議的前提下,想指望廠商跟上腳步、自我約束,這在短期內無異於癡人說夢。

至於這種情況什麼時候能更進一步的改善,還要看 Google 什麼時候想明白強權的重要性。


用太陽增加被動收入?友善環境ESG永續投資——加入太陽人全民電廠,成為能源置產者

不必身懷鉅款也能投資太陽能電廠?太陽人全民電廠提供一個綠能群募平台管道,無論是大老闆或小資族都可以投資看得見的日光綠電,並藉此獲得20年穩健的賣電收益,更為地球減碳盡一份心力。
評論
Photo Credit:TNL Brand Studio
評論
Photo Credit:TNL Brand Studio 

全球氣候變遷劇烈,如何找到與大自然環境共生共榮的經濟模式,是生活在地球上每一個人的課題與任務。在聯合國啟動的「 2030 永續發展目標」( SDGs )中,其中一項便是確保人們能享有可負擔的乾淨能源;此外,台灣經濟部也設定「 2025 年要實現再生能源發電占比 20%」的目標,並積極推動太陽光電等綠色能源,預計到了 2025 年,太陽光電裝置容量需達 20GW (吉瓦=一百萬千瓦)。

當然,不只台灣積極思考綠能,全球也掀起一股 ESG (環境 Environmental 、社會 Social 、公司治理 Governance )的永續投資概念,要讓地球公民們投入兼顧經濟發展與友善環境的行列。現在,除了投資 ESG 概念股或基金,還有一個可以「眼見為憑」的投資方法,就是加入太陽人全民電廠,成為太陽能源的置產者,讓太陽為你增加穩健的被動收入。

以行動支持永續,投資乾淨能源最有力

Photo Credit:TNL Brand Studio

故事起源於 2011 年,日本因為受到 311 福島核災的衝擊,開始積極思考能源轉型的做法,太陽人全民電廠為了讓民間力量也能投入,在日本首創群眾投資綠能電廠的共享經濟模式,透過將太陽能電廠分割成以太陽能板為單位的投資方式,大幅降低了賣電的投資門檻,也更有力地號召投資人加入日光創能的行列,一起創造穩健收益。到了 2017 年,太陽人全民電廠正式在台灣落地啟動,成功建構全台第一間串連線上/線下服務的全民電廠企業,截至目前為止已完成一百多座全民電廠,在桃園青埔、新竹芎林、台中沙鹿、南投中寮、雲林土庫、高雄林園、屏東萬丹等台灣各地,都可以見到太陽人的全民電廠,和太陽一起協力創能,發出對環境更友善的綠電。

只要太陽還在的一天,就能持續創造穩健收益,聽起來是否很迷人?太陽人全民電廠作為一個能源共享平台,讓個體投資戶能與有志一同的太陽人夥伴,一起投入這場綠能共享經濟,成為完善循環經濟的推手,也讓可眼見為憑的在地太陽能板,持續為投資人創造被動收入。

太陽人全民電廠的主要服務有三項:

  • 買電廠:投資人可以小額認購太陽能板,也可以選擇認購整座太陽能電廠。
  • 賣電廠:太陽能板或電廠持有人,可以藉由這個平台轉售;當然,在太陽人全民電廠購入的太陽能板或電廠,也能在這裡進行轉手交易。
  • 蓋電廠:有意從無到有開創太陽能源者,也能透過太陽人全民電廠出租屋頂、建置太陽能板,或是直接自己出資蓋一座太陽能電廠。

如果只是投資一塊太陽能板的話,就算是小資也能輕鬆入門,三個步驟就能成為能源置產者。只要到太陽人全民電廠官網選擇想要參加的電廠專案,並加入會員、選擇付款方式,就能直接晉升為電廠老闆,可以說是非常簡單的 ESG 投資術。

投資太陽能的多邊效益

Photo Credit:TNL Brand Studio

透過太陽人全民電廠投資太陽能電廠,有什麼好處?首先,對於投資人來說,太陽人全民電廠提供一站式的服務,包辦電廠建置與維運,投資人不必自備屋頂建設電廠或了解艱澀的專業知識,即可以加入投資綠電的行列,並獲得20年穩定的賣電收益。而對於土地或屋頂擁有者,則可以透過太陽人全民電廠免費評估電廠建置的可行性,並進一步獲得出租收入;若打算自己蓋電廠、自己賺電費,也可以獨享20年的賣電收益。

不只有經濟效益,太陽能電廠能貢獻的還很多。例如在高雄的鳳甲國中,即是在太陽人全民電廠的協助下建置了「高雄鳳甲太陽人一號電廠」,打造太陽能光電風雨球場,不只為學生遮風避雨、阻擋炎炎夏日,也為學校減碳發電,實現偏鄉地方創生與能源自主。也因為這次的成功案例,愈來愈多學校積極考慮太陽能電廠與校園建設融合的可能性,並送給孩子們一座兼顧能源與環保教育的校園。全民電廠不只讓投資人多一個綠色理財選擇,也是最佳的永續示範,讓更多人見證綠能共好的實踐,達成環境、能源、理財、教育的多方共贏。

太陽人全民電廠的獲益計算

Photo Credit:TNL Brand Studio

那麼,投資太陽人全民電廠的獲益計算為何?其實算法非常簡單,購買電廠後,接下來的 20 年都是套用同一個公式:

發電度數X電價=賣電收益
投資人實際獲得的收入,便是賣電收益扣掉營運維護費、保險費、屋頂租金等固定支出後所獲得的淨利。

發電量會因為日照量變化而有高低落差,但基本上,每度電的價格及計價基礎都是固定不浮動的。電費將由台電公司每兩個月結算一次,並透過銀行第三方自動化金流匯入投資人帳戶。在這個過程中,太陽人全民電廠擔任的角色,就是提供綠能群募平台管道,讓投資人可以輕鬆入門電廠投資,並且提供App服務供投資人追蹤獲利表現。如果還有其它關於電廠的問題,也可以在太陽人全民電廠的協助下獲得解答。

花東日出太陽人九號電廠為例,最基本的投資單位是一塊太陽能板,金額為22,595元。假設第一年的總發電量為434度,每度電價為6.07元,則首年度的賣電收益則為2,636元;扣掉營運維護費、保險、租金等固定支出,則投資人第一年的實際獲利為2,082元。以此類推,到了第20年,投資人即可獲得累積收益39,324元,不只回本當初購買太陽能板的本金,還另外淨賺16,729元,投資報酬率(IRR)為6.08%,算是金融市場上相當穩健的投資工具。

為了讓還不熟悉綠能投資的民眾可以更加了解全民電廠的運作模式,太陽人也貼心的提供「30天免費體驗電廠收益」的服務,讓民眾可以實際感受到每天太陽出來都有收益可領的好處後,參與全民電廠更無後顧之憂。

ESG綠色投資趨勢愈來愈熱,但是否真正將投資人的資金投入在環境保護的用途上,是近期的討論話題。太陽人全民電廠提供很好的解方,讓看得見的太陽能電廠實現投資人的環保初心,真正落實節能減碳、能源轉型,讓日光創能,也讓生活在地球上的人類能與環境共好。