谷歌：80％的Android 应用默认加密流

三年前，谷歌就开始收紧从 Android 设备到 Web 服务的网络流量保护。如今，这项工作终于有了成效。

2016 年，谷歌为 Android 应用开发者提供了一系列工具，确保应用流量通过传输层安全 (TLS) 协议加密，以便能够应用安全版 HTTP 通信，也就是所谓的 HTTPS，或者说 HTTP ‘secure’。

因为智能手机频繁连接不可信 WiFi 网络，比如咖啡馆或者机场的公共 WiFi，谷歌认为安全功能对移动应用而言特别重要。但是，移动应用安全进展缓慢。

就在同一年，苹果引入了应用传输安全 (App Transport Security)，从 2017 年 1 月 1 日开始，强制 iOS 应用连接 Web 服务时走 HTTPS 连接。iOS 9 默认启用该设置。

但今年 12 月 4 日，谷歌披露称，2018 年初，0% 的应用默认封锁明文通信。好消息是，过去一年来该数字稳步爬升，2019 年 5 月时已经上升到了40%，并以此为拐点，到 2019 年 10 月，默认封锁明文通信的行为就迅速攀升到了 80%。

谷歌对此 HTTPS 应用挑战的回应是 Network Security Config（网络安全配置）—— 2017 年 Android 7 Nougat 引入的一项功能。该功能允许应用开发人员通过一个配置文件为应用定义网络安全策略，以便应用可以声明非加密不发送网络流量的意图。

应用安全看起来缓慢的进展在过去两年间有所改善，其表现就是谷歌这两年在新版 Android 系统中引入的默认行为。而改善缓慢的另一个原因是，很多 Android 设备并没有得到运营商和设备制造商的更新。iPhone 用户采用新版 iOS 一直都比 Android 用户快很多。

2018 年的 Android 9 Pie 首次阻止了默认允许非加密连接的应用登录此平台。2017 年的 Android 7 Nougat 和 2016 年的 Android 6 Oreo 都允许明文连接的应用。

因此，尽管谷歌的 Android 计划始于 2016 年，却直到今年大部分应用才默认封禁明文传输。

谷歌预测，最近规则变更，要求所有应用更新和 Google Play Store 新应用针对 Android 9 及以上版本后，未来几个月中出自 Android 设备的流量会更多。

谷歌关键工程师解释道：因此，我们预期这些数据会持续改善。源自这些应用的网络流量默认安全，任何非加密连接的使用都是开发者的明确选择。

图源：LT 默认封锁明文的应用占比