數(shù)據(jù)隱私專題

奇虎360無(wú)線安全研究院負(fù)責(zé)人蔣旭憲：安卓設(shè)備的內(nèi)核安全現(xiàn)狀和分析

上世紀(jì)60年代，紐約地鐵上人們更多還是在讀著報(bào)紙，依賴于傳統(tǒng)媒體，如今，人們則更多依賴于手機(jī)。在手機(jī)普及的同時(shí)，智能手機(jī)的性能越來(lái)越強(qiáng)大。2015年，某低端手機(jī)的售價(jià)僅為399人民幣，卻有1GB內(nèi)存和1.2GHz處理器。而1976年美國(guó)的Cray 1 超級(jí)計(jì)算機(jī)，它的售價(jià)當(dāng)時(shí)為880萬(wàn)美元，卻只有8MB內(nèi)存和80MHz處理器。毫不夸張地說(shuō)，現(xiàn)在一臺(tái)普通的智能手機(jī)就遠(yuǎn)遠(yuǎn)超過(guò)當(dāng)時(shí)的超級(jí)計(jì)算機(jī)。

2015年IDC公布的智能手機(jī)幾大主流平臺(tái)所占的份額。其中安卓系統(tǒng)超過(guò)了80%的市場(chǎng)份額，這主要也是由于谷歌采取了開放策略。

目前，安卓呈現(xiàn)出碎片化的現(xiàn)狀，主要表現(xiàn)在：第一，不同的手機(jī)廠商都可以使用安卓系統(tǒng)，并且通過(guò)“機(jī)?！辈呗蕴岣呤袌?chǎng)占有率，目前市場(chǎng)上有超過(guò)兩萬(wàn)款安卓機(jī)型；第二，版本的頻繁發(fā)布。從2009年開始發(fā)布1.5版本開始，到2015年9月發(fā)布的6.0版本，短短六年時(shí)間，發(fā)布了30多個(gè)版本；第三，廠商的定制加劇了安卓系統(tǒng)碎片化，給安全也帶來(lái)很多困惑。每個(gè)設(shè)備平均有19 ～ 20個(gè)應(yīng)用漏洞，約70%的漏洞是由于廠商定制化引入的。

谷歌的安全系統(tǒng)是基于Linux內(nèi)核，如果Linux內(nèi)核本身發(fā)現(xiàn)安全漏洞，由于它的代碼存在于每一個(gè)安卓手機(jī)上，那么它很有可能影響每一臺(tái)安卓手機(jī)。對(duì)于芯片廠家驅(qū)動(dòng)里面存在漏洞，就很可能影響所有采取同一芯片廠家的手機(jī)。

人們?cè)谑褂檬謾C(jī)瀏覽器時(shí)，甚至用微信點(diǎn)擊相關(guān)鏈接訪問(wèn)任意網(wǎng)站時(shí)，就會(huì)發(fā)生一些相關(guān)代碼，這些代碼可以利用手機(jī)安全漏洞，特別是內(nèi)核級(jí)漏洞，獲得手機(jī)最終權(quán)限，在用戶沒有感知的情況下，利用最高權(quán)限把用戶信息放入云端。安全從業(yè)人員需要了解手機(jī)定制程度到底的有多少，會(huì)引發(fā)多大程度以及什么樣的安全隱患，并采取相應(yīng)的安全防護(hù)措施。

我們通過(guò)對(duì)3個(gè)主流廠商的9款手機(jī)進(jìn)行分析，在手機(jī)生命周期之內(nèi)可以觀察其漏洞的存在情況及一些補(bǔ)丁的發(fā)布情況，評(píng)測(cè)已知的8個(gè)內(nèi)核漏洞。

研究發(fā)現(xiàn)，在漏洞補(bǔ)丁發(fā)布的時(shí)候，有85%還沒有被修復(fù)，甚至在補(bǔ)丁發(fā)布三個(gè)月之后，還有48%的設(shè)備沒有被修復(fù)。這也暴露出安卓采取開放策略后，引入的相關(guān)安全問(wèn)題。從漏洞公開時(shí)間，到廠家發(fā)布補(bǔ)丁時(shí)間，竟然長(zhǎng)達(dá)8個(gè)月。另外，舊機(jī)型（兩年前出廠的機(jī)型）可能永遠(yuǎn)不會(huì)有補(bǔ)丁更新。

作為安全從業(yè)人員應(yīng)該思考的是，如何建立有效機(jī)制并且改善整個(gè)安卓的生態(tài)環(huán)境。特別是如何更早或者更及時(shí)地發(fā)布補(bǔ)丁，在發(fā)現(xiàn)漏洞的情況下，有效負(fù)責(zé)地推送給各個(gè)手機(jī)廠商，使他們盡快進(jìn)行漏洞修補(bǔ)。

如今，不少人在家里都使用智能電視或者安裝了電視盒子，大部分使用了安卓系統(tǒng)。通過(guò)對(duì)34個(gè)智能電視或盒子進(jìn)行評(píng)測(cè)時(shí)發(fā)現(xiàn)，這些產(chǎn)品無(wú)一幸免，都可以進(jìn)行ROOT。

此外，在2016年3月底，通過(guò)對(duì)5500萬(wàn)聯(lián)網(wǎng)手機(jī)采樣分析發(fā)現(xiàn)，超過(guò)93.3%的手機(jī)存在內(nèi)核級(jí)的安全漏洞。這確實(shí)是目前國(guó)內(nèi)安卓設(shè)備的現(xiàn)狀，也給我們帶來(lái)一些問(wèn)題，那就是安全從業(yè)人員能夠做些什么？是否需要一套標(biāo)準(zhǔn)或者措施來(lái)改變這一現(xiàn)狀？

總之，安卓設(shè)備普遍存在內(nèi)核級(jí)的安全漏洞，廠商的響應(yīng)還遠(yuǎn)算不上及時(shí)，設(shè)備自帶的安全防護(hù)措施還有待提高。同時(shí)，安卓手機(jī)安全需要生態(tài)鏈也需要各方的共同維護(hù)！

（本文根據(jù)奇虎360無(wú)線安全研究院負(fù)責(zé)人蔣旭憲在2016年4月“網(wǎng)絡(luò)安全研究國(guó)際學(xué)術(shù)論壇”上部分演講內(nèi)容整理）