Gphone vs. iPhone：哪個平台比較容易中毒？

| | | | | | 1則回應

    

本週Google才宣布以Linux為基礎的行動平台計畫，立刻就引爆安全性的辯論，不少人甚至拿Google開放的Gphone與蘋果專屬的iPhone比較一番。
。

Google的開放原始碼平台稱為「Android」，根據此平台打造的手機稱為「Gphone」。外界好奇，Gphone的安全性比蘋果採用專屬軟體的iPhone相比，是比較安全，還是比較不安全? Android的開發者能不能防止惡意程式作者濫用此平台的開放性?

資安軟體商McAfee公司雖為行動裝置打造專屬安全軟體，但也表態支持開原碼的行動開發環境。

McAfee是Linux Mobile (LiMo)基金會的會員公司，這個組織的宗旨是開發一種開放式的行動裝置軟體平台。許多會員公司也加入Google創立的開放手機聯盟(Open Handset Alliance；OHA)。Google成立OHA，以促進Android的開發與推廣工作。
 
McAfee全球安全性行銷經理Jan Volzke說，Linux在行動領域並不是初來乍到。他並堅稱，安全的編碼作法可納入Android開發過程。

Volzke說：「日本的部署量很大，有60%的手機是用Linux啟動。」他指出，多年來， McAfee已把安全防護功能整合到大多數的Linux手機。Volzke說：「對任一種行動裝置平台而言，安全性應該不是讓開發者可選可不選的選項，應該是強制的要求才對。一般消費者以及電信業者，都期待行動裝置能自動防範外來威脅，自己不必費什麼功夫。」

他指出，若是資安公司能彼此合作，那麼大可從一開始，就把安全功能引進開發的過程中。不過，目前為止，McAfee是唯一一家參與LiMo基金會的資安公司。

另一方面，開放式的編碼措施，引起恐遭駭客濫用的疑慮。 

Volzke說：「Linux目前為止運用在企業伺服器方面，大多數的部署都是由IT管理員來執行。隨著各種業界計畫的推動，特別是LiMo基金會和現在的開放手機聯盟，Linux在消費者領域的應用會愈來愈普及化。因此，也可能日益被駭客盯上。開放意味對人人開放--不論是心存善念者，還是不懷好意者。」

最可能的病毒溫床在何處

開原碼與專屬軟體的開發環境何者比較安全，已是長久來的辯論話題。開原碼軟體開發有眾多雙眼睛檢視程式碼，異常的地方容易被察覺、解決，修補安全漏洞的更新程式也可迅速寫成、發布。不過，開原碼開發的一大劣勢是，人人都能看透原始碼，從中找出弱點，進而寫駭客程式(exploit)。

相形之下，專屬軟體的原始碼不能直接檢視，因此外界要探究其安全弱點，必須透過逆向工程(reverse engineering)的方式。但是，由於能檢視專屬原始碼的人比較少，批評者說，專屬軟體原始碼的安全漏洞可能比較多。部分觀察家還聲稱，一旦發現弱點，軟體公司製作和發布更新的速度也比較遲緩，大型跨國軟體公司動作尤其緩慢。 

究竟是開原碼還是專屬軟體比較安全的問題，大多數資安軟體公司都避免評論，認為這有如拿蘋果跟橘子比較。

Volzke也認為，不能拿Android裝置開發的安全性，與蘋果iPhone手機開發的安全性比較。「蘋果的iPhone與開原碼毫不相干，蘋果會提供一套軟體開發環境(SDK)。拿開原碼裝置平台面臨的安全挑戰，跟鎖定特定裝置的軟體開發環境互相比較，會造成不同的結論。」

行動安全開發公司Masabi的安全長Ben Whitaker則願意試著比較一番。他說：「Gphone開放原始碼，意味能讓開發者實地測試一番，而且幾乎人人都能拿來用。在起步上，比iPhone強；iPhone已經被發現有弱點了。不過，不論是iPhone還是Gphone，產品剛推出時，都不會是安全的。」

Whitaker認為，iPhone的安全弱點有紀錄可考，而且具備完整的智慧手機上網連線功能，比純以Java為基礎的行動平台更容易受制於安全漏洞。至於Gphone是不是純粹根據Java，要等到下周一Android軟體開發環境推出時才見分曉。 
 Whitaker說，就iPhone而言，「任何新的網頁瀏覽器或惡意網站，都可能利用Ajax、 JavaScript和 ActiveX的潛在安全漏洞。愈不聰明的手機，安全漏洞愈少。(Android) 開發者應該堅持用這種「半聰明手機」(semi-smartphone)平台，因為Java sandbox可防護一般類型的攻擊。」

但他指出，和iPhone一樣，Gphone裝置也會有安全漏洞可鑽。他說：「Gphone可能允許執行全功能的應用軟體，這也可能開啟大門，讓按鍵側錄程式有機可乘。」(唐慧文/譯)