安卓系統(tǒng)為何被安全極客戲稱為“漏洞之王”？6月6日，“AsiaSecWest 國(guó)際安全技術(shù)峰會(huì)—亞洲站”的極客“最強(qiáng)大腦”給出了他們的解答。來(lái)自安全研究實(shí)驗(yàn)室（Security Research Labs）的首席科學(xué)家Karsten Nohl表示：“盡管安卓是基于開(kāi)源軟件開(kāi)發(fā)的操作系統(tǒng)，但是對(duì)于大多數(shù)用戶來(lái)說(shuō)，安卓系統(tǒng)的安全性仍是一個(gè)黑匣子。用戶對(duì)安全補(bǔ)丁了解甚少，不得不盲目信任手機(jī)廠商的補(bǔ)丁，然而在大多數(shù)情況下，許多安卓廠商的補(bǔ)丁能力并不值得信任?！?span style="text-align: center;"> 

安卓系統(tǒng)設(shè)備更新及時(shí)性、不定普及率問(wèn)題，不僅成了老大難的問(wèn)題，還埋下了巨大的安全隱患。近日，蘋(píng)果開(kāi)發(fā)者大會(huì)上，安卓設(shè)備更新的及時(shí)性、普及率這個(gè)由來(lái)已久的問(wèn)題又被拉到聚光燈下。蘋(píng)果軟件工程高級(jí)副總裁Craig Federighi用數(shù)據(jù)“黑”了安卓一把：“目前81%的蘋(píng)果用戶正在使用iOS11，對(duì)比之下，只有6%的安卓系統(tǒng)升級(jí)到了最新版本?！倍缭?015年，安全機(jī)構(gòu)F-Secure就認(rèn)為，99%的惡意軟件都把Android作為攻擊對(duì)象；2016年，在CVE Details公布的報(bào)告中，安卓成為全年漏洞最多系統(tǒng)。隨著安卓系統(tǒng)的占有率和出貨量占據(jù)了市場(chǎng)的絕對(duì)性優(yōu)勢(shì)，使用安卓系統(tǒng)的設(shè)備也越來(lái)越多的成為移動(dòng)惡意軟件的首要攻擊目標(biāo)。

為了揭秘安卓設(shè)備“安全黑匣子”，Karsten Nohl表示：“我們通過(guò)新穎的分析方法在大量預(yù)先編譯的樣本查找函數(shù)特征，在手機(jī)或固件文件中發(fā)現(xiàn)漏打的安卓系統(tǒng)補(bǔ)丁。根據(jù)對(duì)數(shù)萬(wàn)個(gè)手機(jī)固件的分析結(jié)果，我們對(duì)漏打的安卓系統(tǒng)補(bǔ)丁進(jìn)行了調(diào)查和量化。”并在數(shù)據(jù)總結(jié)的基礎(chǔ)上，將與眾多用戶密切相關(guān)的安卓漏洞問(wèn)題進(jìn)行了再度探討。

安卓系統(tǒng)屬佛系 漏洞專家揭秘安全黑匣子

早在2017年，Google披露了一個(gè)名為“Janus”安卓漏洞，該漏洞可以讓攻擊者繞過(guò)安卓系統(tǒng)的整個(gè)安全機(jī)制，直接對(duì)APP進(jìn)行篡改。2018年年初，一個(gè)名為“應(yīng)用克隆”的攻擊威脅模型以短信、二維碼、新聞頁(yè)面等方式誘導(dǎo)用戶進(jìn)行消費(fèi)行為，支付寶、餓了么、京東到家等27款安卓版APP紛紛中招。

與蘋(píng)果、windows等系統(tǒng)相比，安卓系統(tǒng)對(duì)于用戶的保護(hù)顯然力度不足，因其長(zhǎng)期以來(lái)對(duì)安全性問(wèn)題的忽視，它還一度還獲得了“佛系安全”的戲稱。在安卓用戶日益增長(zhǎng)的情況下，對(duì)這一問(wèn)題的解決顯然應(yīng)當(dāng)提上日程。

6月6日，在香港召開(kāi)的AsiaSecWes峰會(huì)上，首席科學(xué)家Karsten Nohl以“注意間隙：剖析安卓系統(tǒng)的不完整補(bǔ)丁”為演講主題，在數(shù)據(jù)總結(jié)的基礎(chǔ)上將與眾多用戶密切相關(guān)的安卓漏洞問(wèn)題進(jìn)行了再度探討。

Karsten Nohl目前任職于柏林的安全研究實(shí)驗(yàn)室（Security Research Labs），長(zhǎng)期專注于信息安全與保護(hù)領(lǐng)域，此前曾披露過(guò)交通系統(tǒng)和移動(dòng)電話的諸多漏洞。在峰會(huì)上，他通過(guò)新穎的分析方法在大量預(yù)先編譯的樣本上查找函數(shù)特征，并根據(jù)對(duì)數(shù)萬(wàn)個(gè)手機(jī)固件的分析結(jié)果對(duì)漏打的安卓系統(tǒng)補(bǔ)丁進(jìn)行了調(diào)查和量化。

通過(guò)調(diào)研，Karsten Nohl認(rèn)為，盡管安卓是基于開(kāi)源軟件開(kāi)發(fā)的操作系統(tǒng)，但是對(duì)于大多數(shù)用戶來(lái)說(shuō)，安卓系統(tǒng)的安全性仍是一個(gè)黑匣子。用戶對(duì)安全補(bǔ)丁了解甚少，不得不盲目信任手機(jī)廠商的補(bǔ)丁，然而在大多數(shù)情況下，許多安卓廠商的補(bǔ)丁能力并不值得信任。

騰訊安全發(fā)布極客“101”計(jì)劃 打造安全技術(shù)平臺(tái)“中國(guó)樣本”

實(shí)際上，揭秘安卓系統(tǒng)的安全黑匣子，只是本次AsiaSecWes峰會(huì)議題之一。對(duì)比PC時(shí)代，以iOS 、安卓為主要操作系統(tǒng)平臺(tái)的移動(dòng)時(shí)代來(lái)臨之后，安全形式變得更加嚴(yán)峻。為應(yīng)對(duì)更加復(fù)雜多變的安全問(wèn)題，手機(jī)廠商、應(yīng)用開(kāi)發(fā)商、網(wǎng)絡(luò)安全研究者需要多方攜手，在討論、交流中思考行業(yè)目前所面臨的安全危機(jī)及解決方案。

AsiaSecWest正是這樣一個(gè)交流的平臺(tái)。創(chuàng)辦于2000年的CanSecWest是全球最大安全峰會(huì)之一，被全球黑客視為一年一度的殿堂級(jí)活動(dòng)。騰訊安全攜手CanSecWest創(chuàng)辦了AsiaSecWest，召集起全球頂尖的安全極客，搭建起交流橋梁，分享前瞻觀點(diǎn)和研究成果。

在此次AsiaSecWest峰會(huì)上，共有13位全球頂尖極客出席，討論主題囊括了安全領(lǐng)域的技藝演進(jìn)、中間盒子的可用性及其潛在隱患等議題。同時(shí)，騰訊安全聯(lián)合實(shí)驗(yàn)室玄武實(shí)驗(yàn)室負(fù)責(zé)人于旸和CanSecWest創(chuàng)始人、北美黑客社區(qū)著名人物Dragos Ruiu還聯(lián)手發(fā)布了安全極客“101”計(jì)劃： “1”代表升級(jí)搭建“一”個(gè)徹底打破中西方安全技術(shù)交流壁壘的平臺(tái)；“0”代表“零”距離的全面溝通；最后的“1”則代表打造“一”流的技術(shù)品牌。

通過(guò)此次與CanSecWest的合作，騰訊安全希望打造一個(gè)世界頂級(jí)網(wǎng)絡(luò)信息安全技術(shù)交流平臺(tái)，搭建中西方黑客技術(shù)交流橋梁，致力推動(dòng)中國(guó)成為國(guó)際信息安全技術(shù)風(fēng)向標(biāo)，從而為包括中國(guó)在內(nèi)的全球信息安全技術(shù)人才構(gòu)建一個(gè)展示前沿技術(shù)突破與應(yīng)用的舞臺(tái)，在為中國(guó)網(wǎng)絡(luò)安全生態(tài)建設(shè)注入全球化視野的同時(shí)，積極倡導(dǎo)中國(guó)乃至全球的信息安全新生態(tài)，也為全球安全技術(shù)交流平臺(tái)做出了“中國(guó)樣本”。

騰訊安全作為中國(guó)互聯(lián)網(wǎng)安全新生態(tài)的首倡者，始終堅(jiān)持“開(kāi)放、聯(lián)合、共享”的理念，多維護(hù)航全球網(wǎng)絡(luò)安全生態(tài)的構(gòu)建與發(fā)展。近年來(lái)，為提供立體化安全防護(hù)，騰訊安全聯(lián)合多名網(wǎng)絡(luò)安全界權(quán)威專家組建中國(guó)頂級(jí)聯(lián)合安全實(shí)驗(yàn)室，專注于網(wǎng)絡(luò)安全技術(shù)研究及安全攻防體系建設(shè)，集合企業(yè)安全能力推出騰訊守護(hù)者計(jì)劃、CSS中國(guó)互聯(lián)網(wǎng)安全領(lǐng)袖峰會(huì)、TCTF騰訊信息安全爭(zhēng)霸賽，支持并參與了GeekPwn國(guó)際安全極客大賽。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。