近日,百度移動應用正式更名為百度手機助手。當然,這不僅僅是名字的變更,功能上也有了很大的擴展——從最初的應用下載平臺,拓展到應用管理、資源管理、手機優化等終端上的軟件優化與管理,被譽為一款“全面的手機管理軟件”。
對于百度手機助手更名這一舉措,業界從許多不同的角度進行了審度和分析。而在筆者看來,百度手機助手的發布,是百度搭建移動應用安全體系的重要一步。
目前,移動應用的安全問題越來越凸顯。根據移動云安全平臺——安管云開放平臺近期發布的《2012年移動安全數據報告》,在安卓手機平臺上,去年全年新增手機病毒超過13萬款,病毒發展呈現多樣化趨勢。其中,第三方應用市場仍是手機病毒最主要的傳播渠道。
然而,在移動互聯網上談安全不僅僅局限于病毒、惡意軟件等。由于智能終端的電池、CPU等能力限制,移動終端用戶對移動軟件占用內存大、耗電量大等問題亦是難忍受,泛安全概念和需求在移動互聯網上愈加突出。
正是為應對這樣的趨勢變化,百度搭建了云端一體的移動應用安全系統,即從云端到終端,從應用的收錄到分發,再到使用整個流程的安全體系。筆者下面就來詳細說明一下這一安全體系,供業內分享。
收錄:多層次、多角色檢測
要保障移動應用的安全性,就需要全面考察移動應用從誕生到最終使用的整個過程,從中發現風險點,并建立應對措施。
開發者開發出應用后,首先就是將其提交到各分發渠道,如應用商店等,讓這些渠道收錄自己的應用。因而,為保障用戶能夠安全使用移動應用,百度從收錄環節就開始嚴格把控應用的安全性。
根據筆者的理解,百度在收錄環節的安全檢測可稱為“多層次、多角色”檢測。多層次是指擁有數個檢測環節,從機器掃描到模擬真實環境檢測,再到人工檢測,可謂“一應俱全”;多角色指的是,該檢測并非只通過一家企業檢測,而是由百度、數家業內極具實力的安全廠商分別進行檢測。
具體來看,百度收錄的應用首先需進行安全掃描,這一掃描主要是針對病毒的掃描。安全掃描又分為兩個方面,一方面是百度與業內眾多安全廠商合作,同時使用不同廠商的安全檢測服務,進行全庫數據多輪回掃,多引擎查殺,來檢驗應用是否安全。在百度看來,綜合業界的掃描結果,可以將安全性提升到更高層面;另一層面,則是利用百度自建的白名單庫——即安全應用庫,來判別應用的安全性。
通過第一步的安全掃描,已可保證收錄的應用絕大部分是安全的,但這并不夠——一些病毒和威脅隱蔽性強,要在真實的環境中才能被看出來。因而,經過安全掃描后,應用會進入啟發檢測環節。
據了解,這個環節和百度的云測試中心(MTC)息息相關。首先,百度建立一個虛擬的手機應用環境。移動應用在這一虛擬環境中被實際運行,通過查看這一應用真實運行情況,檢測其是否具有潛在的安全風險。通過虛擬的運行環境檢測后,應用還會進一步被分配到海量真實手機的陣列中,檢測在真機上運行時是否還具有其他問題。
又經過一個檢測環節,安全性再一次被提高。但因為手機病毒種類還處于快速增長期,很多新病毒通過現有安全審核無法被檢測出來,針對這一問題,百度又設置了人工審核環節,即讓技術牛人去審閱應用的源代碼,以發現風險。同時,人工審核發現的新病毒會反饋給安全掃描環節,以不斷完善安全掃描環節的查殺毒能力。
分發:借力大數據智慧
應用被收錄后,下一步就進入分發環節。目前,分發環節最主要的一個產品形態便是應用商店,對百度來講,主要是百度手機助手(原名百度移動應用)。
在分發環節,百度通過明顯的標識,讓用戶了解到應用的安全情況。如下圖所示,應用會經過安全廠商審查,審核通過的應用帶有“通過安全檢測”的標識。此外,百度還和安全廠商合作,檢測應用內是否有廣告。若含廣告,應用旁會標識出廣告的具體形式,如廣告條或推送廣告等。
為了確保用戶下載的應用安全可靠,百度在與安全廠商合作的同時,還借助了自身大數據的“智慧”。
據了解,基于海量互聯網資源,通過機器學習、數據挖掘等技術,百度能夠從眾多層面進一步保障用戶獲得更優質的應用。例如,百度可鑒別官方正版應用,并專門針對涉及金融支付類及相關應用進行品牌保護;可以通過特征識別出山寨/盜版應用,在維護開發者權益的同時進一步降低用戶的安全風險。這些策略都會以明顯的標識,讓用戶一目了然。最近,百度還推出了性能標識,幫助用戶找到最省電、最節約硬件資源的應用。不僅如此,基于大數據智能,當用戶搜索某款應用時,在搜索結果中,應用會按照質量優劣進行排序。
不難看出,百度在分發環節的這些策略,都是為了協助用戶找到更加安全、優質的移動應用。
使用:從用戶層級到系統層級全面保障
用戶通過分發渠道下載應用后,便進入使用環節,這一環節自然而然發生在移動終端上。
百度通過普通用戶產品、入口級產品、系統管理工具、操作系統等多個方面來保障這一環節的安全。例如,百度手機瀏覽器擁有雙重安全措施保障——惡意URL檢測以及沙箱瀏覽策略,確保用戶的安全瀏覽;又比如開篇提到的百度手機助手,它一方面提供安全的應用分發渠道,另一方面,提供本地資源管理、系統優化等功能,滿足用戶對泛安全的需求。
以上是筆者的一些分享。移動安全局勢任重而道遠,相信百度未來會不斷涌現出新的安全措施和防護體系,以保障用戶安全徜徉移動互聯網海洋。
(新聞稿 2013-04-03)