0
| 本文作者: 木子 | 2018-06-07 10:04 |
安卓系統為何被安全極客戲稱為“漏洞之王”?6月6日,“AsiaSecWest 國際安全技術峰會—亞洲站”的極客“最強大腦”給出了他們的解答。來自安全研究實驗室(Security Research Labs)的首席科學家Karsten Nohl表示:“盡管安卓是基于開源軟件開發的操作系統,但是對于大多數用戶來說,安卓系統的安全性仍是一個黑匣子。用戶對安全補丁了解甚少,不得不盲目信任手機廠商的補丁,然而在大多數情況下,許多安卓廠商的補丁能力并不值得信任。” 
安卓系統設備更新及時性、不定普及率問題,不僅成了老大難的問題,還埋下了巨大的安全隱患。近日,蘋果開發者大會上,安卓設備更新的及時性、普及率這個由來已久的問題又被拉到聚光燈下。蘋果軟件工程高級副總裁Craig Federighi用數據“黑”了安卓一把:“目前81%的蘋果用戶正在使用iOS11,對比之下,只有6%的安卓系統升級到了最新版本。”而早在2015年,安全機構F-Secure就認為,99%的惡意軟件都把Android作為攻擊對象;2016年,在CVE Details公布的報告中,安卓成為全年漏洞最多系統。隨著安卓系統的占有率和出貨量占據了市場的絕對性優勢,使用安卓系統的設備也越來越多的成為移動惡意軟件的首要攻擊目標。
為了揭秘安卓設備“安全黑匣子”,Karsten Nohl表示:“我們通過新穎的分析方法在大量預先編譯的樣本查找函數特征,在手機或固件文件中發現漏打的安卓系統補丁。根據對數萬個手機固件的分析結果,我們對漏打的安卓系統補丁進行了調查和量化。”并在數據總結的基礎上,將與眾多用戶密切相關的安卓漏洞問題進行了再度探討。
早在2017年,Google披露了一個名為“Janus”安卓漏洞,該漏洞可以讓攻擊者繞過安卓系統的整個安全機制,直接對APP進行篡改。2018年年初,一個名為“應用克隆”的攻擊威脅模型以短信、二維碼、新聞頁面等方式誘導用戶進行消費行為,支付寶、餓了么、京東到家等27款安卓版APP紛紛中招。
與蘋果、windows等系統相比,安卓系統對于用戶的保護顯然力度不足,因其長期以來對安全性問題的忽視,它還一度還獲得了“佛系安全”的戲稱。在安卓用戶日益增長的情況下,對這一問題的解決顯然應當提上日程。
6月6日,在香港召開的AsiaSecWes峰會上,首席科學家Karsten Nohl以“注意間隙:剖析安卓系統的不完整補丁”為演講主題,在數據總結的基礎上將與眾多用戶密切相關的安卓漏洞問題進行了再度探討。
Karsten Nohl目前任職于柏林的安全研究實驗室(Security Research Labs),長期專注于信息安全與保護領域,此前曾披露過交通系統和移動電話的諸多漏洞。在峰會上,他通過新穎的分析方法在大量預先編譯的樣本上查找函數特征,并根據對數萬個手機固件的分析結果對漏打的安卓系統補丁進行了調查和量化。
通過調研,Karsten Nohl認為,盡管安卓是基于開源軟件開發的操作系統,但是對于大多數用戶來說,安卓系統的安全性仍是一個黑匣子。用戶對安全補丁了解甚少,不得不盲目信任手機廠商的補丁,然而在大多數情況下,許多安卓廠商的補丁能力并不值得信任。
實際上,揭秘安卓系統的安全黑匣子,只是本次AsiaSecWes峰會議題之一。對比PC時代,以iOS 、安卓為主要操作系統平臺的移動時代來臨之后,安全形式變得更加嚴峻。為應對更加復雜多變的安全問題,手機廠商、應用開發商、網絡安全研究者需要多方攜手,在討論、交流中思考行業目前所面臨的安全危機及解決方案。
AsiaSecWest正是這樣一個交流的平臺。創辦于2000年的CanSecWest是全球最大安全峰會之一,被全球黑客視為一年一度的殿堂級活動。騰訊安全攜手CanSecWest創辦了AsiaSecWest,召集起全球頂尖的安全極客,搭建起交流橋梁,分享前瞻觀點和研究成果。
在此次AsiaSecWest峰會上,共有13位全球頂尖極客出席,討論主題囊括了安全領域的技藝演進、中間盒子的可用性及其潛在隱患等議題。同時,騰訊安全聯合實驗室玄武實驗室負責人于旸和CanSecWest創始人、北美黑客社區著名人物Dragos Ruiu還聯手發布了安全極客“101”計劃: “1”代表升級搭建“一”個徹底打破中西方安全技術交流壁壘的平臺;“0”代表“零”距離的全面溝通;最后的“1”則代表打造“一”流的技術品牌。
通過此次與CanSecWest的合作,騰訊安全希望打造一個世界頂級網絡信息安全技術交流平臺,搭建中西方黑客技術交流橋梁,致力推動中國成為國際信息安全技術風向標,從而為包括中國在內的全球信息安全技術人才構建一個展示前沿技術突破與應用的舞臺,在為中國網絡安全生態建設注入全球化視野的同時,積極倡導中國乃至全球的信息安全新生態,也為全球安全技術交流平臺做出了“中國樣本”。
騰訊安全作為中國互聯網安全新生態的首倡者,始終堅持“開放、聯合、共享”的理念,多維護航全球網絡安全生態的構建與發展。近年來,為提供立體化安全防護,騰訊安全聯合多名網絡安全界權威專家組建中國頂級聯合安全實驗室,專注于網絡安全技術研究及安全攻防體系建設,集合企業安全能力推出騰訊守護者計劃、CSS中國互聯網安全領袖峰會、TCTF騰訊信息安全爭霸賽,支持并參與了GeekPwn國際安全極客大賽。
