Google I/O大會終於重視Android安全性,避免惡意軟體登上Google Play

在今年的 Google I/O大會上, Android 平台安全負責人 David Kleidermacher 在推銷 Project Treble 時透露, Google 將把安全補丁更新納入 OEM 協議當中,以此讓更多的設備,更多的使用者獲得定期的安全補丁。這是一個積極的行為,但細究下就並不值得表揚了,因為之所以提出這一方案全因之前被人揭了短。
評論
評論

本篇來自合作媒體 PINGWEST,INSIDE 授權轉載。

二十六個字母都數到 P 了,然而 Android 生態的安全依然是一個讓人堪憂的狀況,而最近,這個情況更是集中爆發。

在今年的 Google I/O 大會上, Android 平台安全負責人 David Kleidermacher 在推銷 Project Treble 時透露, Google 將把安全補丁更新納入 OEM 協議當中,以此讓更多的設備,更多的使用者獲得定期的安全補丁。

這是一個積極的行為,但細究下就並不值得表揚了,因為之所以提出這一方案全因之前被人揭了短。

就在今年四月,Security 安全研究實驗室在測試了 1200 台不同品牌、不同渠道的手機後表示,安全補丁的安裝狀況並不盡人意,有些廠商甚至至少漏掉了 4 個月的安全補丁。

而就在這份報告發布前一個月,Kleidermacher 在接受 CNET 的採訪中剛說完「Android 現在和競爭對手一樣安全」。

用過 Google Pixel 的人都會注意到, Google 每個在月都有一次安全推送的,而且不管你是否想要更新,但其實這個安全補丁 Google 並不僅僅推送給自家手機。

對於安全問題, Google 現在會在每個月的第一個週一發布一份安全補丁公告,公告中會列出已知漏洞的補丁。而同樣是這份補丁,各大廠商一般會提前一個月收到,目的是讓 OEM 和供應商——比如晶片廠——能夠在公告之前好修補漏洞。

這個設想是好的,並且如果友軍認真執行的話效果也不錯,比如 Essential 手機,雖然銷量不好,但是它可以與 Google Pixel 同一天推送安全更新。

然而前面提到了,其他廠商並不都這麼幹的,具體各家差多少直接看圖吧:

Security 還指出,這一結果的背後晶片供應商有很大責任,因為採用聯發科晶片的手機在獲得安全更新方面更顯糟糕:

這裡更新和晶片供應商的關係不是絕對的,比如 PingWest 品玩這就有一台高通驍龍 835 的手機,目前 Android 安全更新還停留在 2017 年 12 月 1 日。

在這一現像被揭露之後, Google 迅速就做出了回應,承認了這項研究的重要性,並表示將會進行核實。而最終的結果,就是這次 Google I/O 上宣布的事情了。並且 Google 這兩年一直在推行的 Project Treble 正好能夠用上,利用這一機制,廠商製作安全補丁更容易,成本更低。

一邊用政策來約束廠商,另一邊又許拉低抵觸心理,可以說是個非常棒的套路。但估計 Kleidermacher 怎麼也想不到,在扶友軍的同時,自家陣腳亂了。

據老牌安全軟體賽門鐵克研究發現,有一些曾經被發現過的惡意應用重登 Google Play 了,而且使用的方法非常簡單:改名。

這次發現的惡意應用程式有 7 個,它們早在去年就被匯報給 Google 並下架過了,但現在,它們通過更改包名稱重新以表情符號鍵盤、空間清理、計算機等類型登錄 Google Play 。

這裡簡單介紹下這些惡意應用的表現,大家注意下:

  • 安裝後會進入幾小時靜默期,以此避免被注意
  • 頂著 Google Play 圖標來索要管理員權限
  • 把自己的圖標改成 Google Play、 Google 地圖這些常見應用
  • 通過提供內容來獲利——比如重定向網站——並且這個形式是雲端可控的

相對來說,這一次惡意軟體的行為其實並不重要,更危險的是這次登錄 Google Play 的形式, Google Play 安全流程中的問題。

首先, Google Play 的審核機制可以說是漏洞百出。在應用上架 Google Play 前的過程中,安全測試成了擺設,自動檢測算法根本沒起作用,人工審核就像個宣傳稱號——據賽門鐵克表示,這些應用根本不能提供正常功能,所以人工審了什麼?

其次,在上架及使用者安裝後 Google 宣傳的防護也沒起作用。基於機器學習技術識別流氓軟體的 Google Play Protect,據稱每天會掃描數十億應用,一樣被繞過了。

最讓人無法接受的是,這些體系還是被繞過兩次,而第二次僅僅是通過改名就饒過了。這難免不讓人聯想到 Google Play 的安全流程中是不是沒有「總結經驗」這一行為,所謂的機器學習是不是學和做分開了。

而相對系統漏洞來說,惡意應用要讓使用者更加不適一些。畢竟大多數人的設備被蓄意利用漏洞攻擊的可能性近乎為 0,但是裝錯個應用就直接中招了。

提到惡意應用,很多人自然而然的就會聯想到流氓應用,然後就會想到「全家桶」,進而就會想到 Google 這幾年更新了幾個管理措施,更進一步還會想到為什麼還壓制不住他們。

其實,這事還得怨 Google ,因為 Google 一直沒想明白問題重點。

以 Android 8.0 為例, Google 雖然推出了一個後台控制特性,但是這個特性如果想完全正常使用有一個前提條件,應用程式的封包 SDK 要達到 API 26(一個不面向使用者的開發設定,和 Android 版本同步更新,目前正式版最高 API 27, Android P 是 API 28),直白點說就是應用是針對 Android 8.0 開發的。如果應用沒這麼做,那麼結果就是新特性最多只能發揮一小部分作用,但並不會影響 App 的正常使用和濫用。

所以,控制權在應用開發者手裡。如果他們認為 Android 新機制非常棒,應該遵守,那就上新的 API。而如果產品部、推送服務商覺得組成全家桶賣相好,那麼就保持原樣。

PingWest 品玩測試了幾個 Google Play 中的應用後發現,其中最低的居然可以低到 API 18,甚至 Google 自家的某些應用也還停留在 API 24。而在 Google Play 之外,騰訊新推的 TIM,現在還在用 Android 4.0.3 時期的 API 15 玩的不亦樂乎。

可見,在這種近乎君子協議的前提下,想指望廠商跟上腳步、自我約束,這在短期內無異於癡人說夢。

至於這種情況什麼時候能更進一步的改善,還要看 Google 什麼時候想明白強權的重要性。


Cookie 消失?試試看全新 AI 影像內容辨識:讓用戶看的內容決定看到的廣告

Google Chrome 即將淘汰幫助廣告主的工具—— Cookie ,它的離去將再一次地影響數位廣告產業。
評論
Photo Credit:<a href="https://www.shutterstock.com/zh/image-photo/ai-artificial-intelligence-big-data-internet-1075853384" target="_blank">shutterstock</a>
評論

透過GA分析進站者發現, Safari的新客數越來越多,難道這表示 iOS 的用戶數也跟著增加了嗎?注意了,這有可能是 Apple 封鎖第三方 Cookie 帶來的影響。隨著 Google 即將淘汰 Chrome 上的 Cookie ,這個幫助廣告主記住用戶受眾的小工具,將要再一次地影響數位廣告產業。

Photo Credit:驚點股份有限公司( FreakOut Taiwan )

後 Cookie 時代的廣告受眾如何鎖定?

各大廣告平台在過去幾年不斷地透過 Cookie 以及其它方式,悄悄收集使用者的用戶數據,隨著這幾年用戶的隱私權意識抬頭, Apple 與 Google 對於藉由 Cookie 辨識用戶資料的廣告投遞方式,持有不同的態度,這也將是所有廣告主的極大挑戰。當 Cookie 不復存在,要如何辨識使用者資料?

Cookie 消失了,或許會有新的數據辨識工具來取代,但是任何試圖跟蹤受眾的方式,都難以符合大眾對於保護隱私權的期望。另一方面,也極有可能無法再通過日趨嚴格的媒體監管限制。無論如何,數位廣告不能像過去一樣,無條件地使用類似 Cookie 的追蹤方式,來達到與現在同樣的廣告效果。

後 Cookie 時代內容辨識類型的廣告鎖定方式,將成為未來具指標性的投放策略。廣告與瀏覽平台或內文主題的高相關性,不僅能顯著提高受眾的互動度,更重要的是,完全不需要收集任何個人數據。

FreakOut Taiwan 不斷嘗試更友善的廣告投遞形式, 自 2016 年進入台灣市場的原生廣告,到 2020 年末引進「 Mirrors 」 AI 影像視覺內容辨識系統,都是以網路使用者的角度出發。「 Mirrors 」不需要使用傳統的受眾興趣設定,即可針對「目標受眾在觀看的影像內容」、「品牌自身競爭對手或相關指定系列產品出現的影片」來投遞 YouTube 上的影音廣告。

Photo Credit:驚點股份有限公司( FreakOut Taiwan )

AI 人工智慧影像技術突破,推動新一代內容辨識功能

傳統的內容比對廣告皆為自然語言處理 NLP 中心,基於「純文字」的比對來顯示相關廣告,如大家很熟悉的 Google AdSense 。但是,結合新興的 AI 演算和複雜的圖像辨識,已然能夠達到「影片」的內容偵測,透過增加多個比對層和基於自然語言處理 NLP 的基準定位,可深度學習並提供更精細的辨識洞察力。

舉例來說,若想要將汽車廣告投放給對汽車有興趣的人,我們要先從可能對汽車感興趣的受眾中開始推估,並且根據過去的經驗加入不同的興趣條件,最後針對素材更進一步地測試。透過 Mirrors ,我們可以讓廣告出現在有滿足特定條件的影片內,例如:在消費者觀看的影片中,出現汽車評測報告、自家品牌或競爭對手的 LOGO 、代言人等指定條件,再依照不同廣告主設定的預算判斷是否露出廣告。

藉由這樣的影像比對方式,可以更有效地根據消費者行為觸發廣告投遞條件,而不再是現行的用戶受眾數據。人的興趣是多樣且多變的,當對汽車有興趣的用戶在完成汽車的選購後,短期內將不會再瀏覽相關資訊,轉而瀏覽其他更具時效性的內容。透過消費者當下正在觀看的影片內容,取代消費者身上被貼上的數位標籤,將更貼近消費者本身的使用行為。

Photo Credit:驚點股份有限公司( FreakOut Taiwan )

Mirrors AI 影像辨識:用消費者看的內容決定廣告

2021 年台灣數位報告指出,台灣人在各網路內容服務中,最愛「網路影片」的比例高達 97.9%,遠超過 Vlog、串流音樂、網路廣播、Podcast 。

影音廣告早已是品牌經營的趨勢:根據 DMA 2019 年台灣數位廣告量統計報告指出,台灣各類型廣告中,影音廣告以 37.2% 的成長比例大幅領先奪冠。其中 YouTube 持續蟬聯台灣最常被造訪網站第 2 名(僅次於 Google ) ,在台灣各大影音平台中的觸及率及影響力不容小覷。

2021 年 FreakOut Taiwan 已與客戶合作,進行搭載新系統的 YouTube 串流內廣告投遞,在針對品牌及產品客製化的多層鎖定策略建議下,房地產廣告的 CTR 表現高於平均,並發現「人臉」群組辨識表現為佳,其中多為財經、名嘴等名人。而美妝品牌廣告 VTR 表現優異,則以品牌「 Logo 」、「人臉」群組有最出色的表現。

本文章內容由「驚點股份有限公司( FreakOut Taiwan )」提供,經關鍵評論網媒體集團廣編企劃編審。