迟来的改进，Google 大幅提高新版 Android 安全性

Android 系统的安全性一直为人诟病，不过最新版的 Android 4.1 在这方面给予了很大程度上的改进，以防止黑客以及恶意软件对用户终端的攻击。

据 Ars Technica 的报道，根据周一公布的分析报告，安全人员 Jon Oberheide 称，Android 4.1 是第一个完全意义上支持 ASLR 技术的版本。ASLR（Address space layout randomization）技术，这是一种针对缓冲区溢出的安全保护技术，通过对栈、共享库映射等线性区布局的随机化，增加攻击者预测目的地址的难度，防止攻击者定位攻击代码位置，达到阻止溢出攻击的目的。这样可以极大地提高黑客在利用内存漏洞上的难度。

事实上，在 Android 4.0 中，Google 就已经为其添加了对 ASLR 技术的支持，但是由于当时只有堆栈的位置被随机化了，黑客还是很容易预测他们的恶意代码在内存中的位置，所以 “对于减缓现实世界中的攻击在很大程度上是无效的”。

而新的 Android 4.1 则与前辈有很大的不同。Charlie Miller 是安全公司 Accuvant 的主要研究顾问，同时也是一位资深的智能手机黑客，他告诉大家：“ Jelly Bean 是首个完整支持 ASLR 和 DEP（Data Execution Prevention ，数据执行保护）技术的 Android 版本，所以黑客想利用漏洞是相当困难的。”

相比之下，iOS 在 4.3 版本之后就加入了对 ASLR 技术的支持，大大增加了越狱的难度，不过最终还是被黑客 Comex 攻破。

这个消息的确令人振奋，至少 Google 在技术上已经开始重视和增强 Android 系统的安全性，这是个相当不错的趋势。不过移动操作系统的安全性不只局限在系统本身，毕竟是软件系统一定会有漏洞存在，规范 App 的审核制度也是其中重要的一环。而且，Android 新版本的普及尚需时日，安全性问题还是不容松懈。