今天的話題從大方面講：分三類，個人市場、Business、企業(yè)市場。

個人市場

1)iOS

先從蘋果談起，因為微軟的WP安全趨勢也是一個蘋果，Android也有蘋果化的趨勢。

今天我們重點關注兩個產品：手機衛(wèi)士和手機助手。

我們先看看360在iOS平臺和WP平臺的產品： 

 

看上圖，姑且不談功能如何，前提是需要手機越獄。。。。

手機衛(wèi)士暫時沒支持WP系統(tǒng)。 

 

我們再關注一家國外的手機安全公司Lookout，我們看它在iOS上做啥。 

 總結一下：就是定位手機和通信錄備份,其它幾個就是醬油功能。

具體就是：定位手機在哪兒、手機掉到沙發(fā)底下找不到時可以讓它叫一下。當電池快用完時SignalFlare 會將手機的位置發(fā)送到指定平臺(這時候它暈了，不會定位，也不會叫!)。

總結一下：就這么一點點功能，而且操作系統(tǒng)是個黑洞，就全吸進去了。

由于iOS給予安全軟件的空間實在是太有限了，這也是傳統(tǒng)安全廠商不推iOS平臺安全軟件的緣由。

iOS設計理念很簡單，就是一些看似比較邪惡的API都不支持，比如直接程序直接發(fā)短信，悄悄的讀取通信錄等。再加上審核及其嚴格的app-store和對屌絲來說昂貴的99$門檻。當然iOS自身還有很多安全機制。iOS安全基礎可以參考：http://blog.csdn.net/u011069813/article/details/9256233

這地方著重強調apple的審核機制。語錄：蒼蠅不叮無縫的蛋，打蒼蠅只是下策。多好的男人也經不起美女的誘惑，封閉和門檻真的很重要。

我的觀點是：手機生態(tài)體系和PC是不一樣的，不能還按照原來的PC思路搞手機安全，要開發(fā)Driver、hook......。手機體系中任何第三方app都是對等的。

這其中的本質就是，安全軟件也是app(PC上大家都是Admin)，系統(tǒng)把大部分的能力都限制了。以后的系統(tǒng)的安全設計思路都是如此。

2)Android還有機會。

Android 和iOS在安全機制上越來越像了，所以在android上安全廠商的空間在哪兒里，值得深入探討。

a)天生的困局

目前的手機OS天生就是民主的氣質，所有第三方APP一視同仁，不搞特權。這就衍生了一個很大的問題，沒辦法執(zhí)法(360=250+110)!惡意軟件讀取敏感信息如通信錄、悄悄發(fā)短信等等時只能圍觀。最悲催的就是掃描完app后連直接卸載app的能力都木有(這要在PC上不可思議，直接奸殺)。

由于這個天生的困局，一些不太合理的解決方案出來了，為了提供一些能力，需要終端先root。。。。進一步讓終端的安全跌入萬丈深淵。看下圖的權限管理功能：還需要獲取權限管理組件，說白了就是要root能力。甚至有企業(yè)利用系統(tǒng)漏洞(如簽名漏洞)搞出了無root權限管理解決方案。讓我徹底迷失了。

 

b)操作系統(tǒng)是黑洞

Android由于一直處于追趕iOS的過程中，對安全的考慮不是很多，但現(xiàn)在是時候歇口氣加強安全措施了。應該說很快就要全部模仿iOS了。

一些目前需要Root才能干的工作，android自己就支持了。。。。其實類似的事情終端廠商也在做，但大部分終端廠商哪有移動互聯(lián)網(wǎng)思維，做出來的權限控制用戶找不到，找不到了不會用。但Google可是互聯(lián)網(wǎng)的先驅，大家不要低估。

比如4.3以后android自帶權限管理。

 

這在iOS上早都有了：

 

到底操作系統(tǒng)能吸進去多少，后面深入分析，但這部分才是本質，搞安全的切忌多在這兒深入挖掘。

操作系統(tǒng)是黑洞，連垃圾短信都沒辦法攔截了，坑爹啊，在**這樣的垃圾短信大國。這點我建議google好好考察一下國情。

adnroid4.4版本，只有被用戶設置為缺省的短消息程序才能直接發(fā)短信、攔截短信。 讓用戶把第三方程序設置為缺省的短消息程序既需要勇氣、也考驗智商。 

 

c)Android做安全和iOS差異在哪里

Android無論怎么學習iOS，有幾個點可能長期存在問題。蘋果是軟件+硬件+服務 通吃，還有唯一的軟件入口。google就做個OS，一堆OEM對它也是陰奉陽違。而且軟件入口多元化， 

 

結果就是：無論怎么學iOS都學不像!原因：

I)OEM執(zhí)行有偏差，比如有的終端廠商可能修改原生機制，比如攔截短信的哈，為了應該國內短信泛濫需求。

II)ROM泛濫，ROM擅長的就是迎合一些另類的需求。

III)軟件入口多元化問題最大，無論操作系統(tǒng)安全如何設計，這部分不控制，還是一大堆安全問題。你不能指望用戶能夠很好的進行權限控制，以及彈出運行時提示是果斷的說“不”(約炮軟件提示申請位置，屌絲敢說不嗎?)

d)root的做法能有多遠?

在Android上和用戶要root完成一些工作，Google負很大的責任，安全設計這么爛，權限濫用。安全廠商想幫用戶做點事，可以理解。這都是歷史原因，不予評論。

但隨著android內置安全機制越來越增強，再忽悠用戶root終端，就先的缺乏社會責任了，和三中全會的宗旨漸行漸遠。

同時，挖root漏洞確實挺爛的，尤其selinux引入后，會極大的加大root的難度，即使root，也難有作為。雖然我看有些使用root disable了selinux，我相信這都是暫時的。

使用root獲取超能力是和歷史相悖的。

e)360手機衛(wèi)士已經做了啥

我們先看看360手機衛(wèi)士已經做了啥?我相信他們的產品經理調研的已經很充分了。

為了給大家展示展示這些功能，我做了一個大膽的決定，安裝一個360手機衛(wèi)士。 

 

具體功能大家去體驗，根據(jù)360的產品功能我們可以把android面臨的風險抽象為這樣幾類，當然不可能cover所有風險。

I：防騷擾

垃圾短信、騷擾電話、惡意廣告

過濾垃圾短信、防騷擾電話挺好的!但

安卓官方從4.1版本開始在系統(tǒng)中直接加入了通知欄信息屏蔽功能。

II：保護隱私

隱私行為監(jiān)控等 

研究每個能力很關鍵啊!

III)錢款類

安全支付、上網(wǎng)保鏢、流量監(jiān)控 

 

IV)系統(tǒng)安全類

手機清理、手機殺毒、手機備份、

 

V)手機防盜

 

VI)另類的互聯(lián)網(wǎng)功能 

 

f)那么Android安全的空間在哪里(留給產品經理的作業(yè))?

上述360提供的功能是用戶需要的，首先區(qū)分出那些是需要root的。這些功能大部分是權限管理、流量控制等，這些功能基本上屬于系統(tǒng)安全范疇，Android已經或者很快就會支持。

產品經理需要分析的就是，除了這些，還剩下啥：這就是我們的空間。

有人可能說，各種各樣的ROM，以后機會很多，但這樣的用戶量有多大，不能光瞄準小眾市場，有人認為ROM是主流市場嗎?

我認為最大的空間就是絞殺惡意軟件。這都是我們長期在PC端默默的工作，沒想到在這兒，PC和手機找到了契合點。

這兒就引出另一個最具價值的工作，手機助手(包括手機端的appstore以及PC端)。

3)手機助手

正在下載手機助手中，請稍后.....!!

在安裝360手機助手的過程中，另一個手機助手也悄悄的安裝了，果斷拉黑相關軟件。 

 PC端沒裝360，就用騰訊的展示一下： 

 

我認為手機助手(包括pC和手機端)具有非常大的商業(yè)價值，真正的軟件入口啊!

其中最核心的當然是應用的豐富度、易用性等，但基本支撐就是要有強大的APK掃描能力。

當然手機助手不僅僅是軟件入口，還會有一些PC管理的功能，這部分也需要產品經理們深入挖掘，加強用戶體驗。

比如我經常想用的pc助手收發(fā)短信，有些助手也不支持。很多助手把精力全放在推薦APP上了。。。。

注：本帖由看雪論壇志愿者PEstone 重新將blog整理排版，若和原文有出入，以原blog為準

原文地址：http://www.kanxue.com/bbs/showthread.php?t=182571&sukey=2deb38ee6e242f4fa3e8b4b0104827965cd427b7412d9695fc3c99a88e861e2c884c3d39329c093830bcecc298d817b9#wechat_redirect