腾讯安全AsiaSecWest 解剖“漏洞之王”安卓系统

互联网
阅读:
2019-09-18 19:54:29

安卓系统为何被安全极客戏称为“漏洞之王”?6月6日,“AsiaSecWest 国际安全技术峰会—亚洲站”的极客“最强大脑”给出了他们的解答。来自安全研究实验室(Security Research Labs)的首席科学家Karsten Nohl表示:“尽管安卓是基于开源软件开发的操作系统,但是对于大多数用户来说,安卓系统的安全性仍是一个黑匣子。用户对安全补丁了解甚少,不得不盲目信任手机厂商的补丁,然而在大多数情况下,许多安卓厂商的补丁能力并不值得信任。”

安卓系统设备更新及时性、不定普及率问题,不仅成了老大难的问题,还埋下了巨大的安全隐患。近日,苹果开发者大会上,安卓设备更新的及时性、普及率这个由来已久的问题又被拉到聚光灯下。苹果软件工程高级副总裁Craig Federighi用数据“黑”了安卓一把:“目前81%的苹果用户正在使用iOS11,对比之下,只有6%的安卓系统升级到了最新版本。”而早在2015年,安全机构F-Secure就认为,99%的恶意软件都把Android作为攻击对象;2016年,在CVE Details公布的报告中,安卓成为全年漏洞最多系统。随着安卓系统的占有率和出货量占据了市场的绝对性优势,使用安卓系统的设备也越来越多的成为移动恶意软件的首要攻击目标。

为了揭秘安卓设备“安全黑匣子”,Karsten Nohl表示:“我们通过新颖的分析方法在大量预先编译的样本查找函数特征,在手机或固件文件中发现漏打的安卓系统补丁。根据对数万个手机固件的分析结果,我们对漏打的安卓系统补丁进行了调查和量化。”并在数据总结的基础上,将与众多用户密切相关的安卓漏洞问题进行了再度探讨。

安卓系统属佛系 漏洞专家揭秘安全黑匣子

早在2017年,Google披露了一个名为“Janus”安卓漏洞,该漏洞可以让攻击者绕过安卓系统的整个安全机制,直接对APP进行篡改。2018年年初,一个名为“应用克隆”的攻击威胁模型以短信、二维码、新闻页面等方式诱导用户进行消费行为,支付宝、饿了么、京东到家等27款安卓版APP纷纷中招。

与苹果、windows等系统相比,安卓系统对于用户的保护显然力度不足,因其长期以来对安全性问题的忽视,它还一度还获得了“佛系安全”的戏称。在安卓用户日益增长的情况下,对这一问题的解决显然应当提上日程。

6月6日,在香港召开的AsiaSecWes峰会上,首席科学家Karsten Nohl以“注意间隙:剖析安卓系统的不完整补丁”为演讲主题,在数据总结的基础上将与众多用户密切相关的安卓漏洞问题进行了再度探讨。

Karsten Nohl目前任职于柏林的安全研究实验室(Security Research Labs),长期专注于信息安全与保护领域,此前曾披露过交通系统和移动电话的诸多漏洞。在峰会上,他通过新颖的分析方法在大量预先编译的样本上查找函数特征,并根据对数万个手机固件的分析结果对漏打的安卓系统补丁进行了调查和量化。

通过调研,Karsten Nohl认为,尽管安卓是基于开源软件开发的操作系统,但是对于大多数用户来说,安卓系统的安全性仍是一个黑匣子。用户对安全补丁了解甚少,不得不盲目信任手机厂商的补丁,然而在大多数情况下,许多安卓厂商的补丁能力并不值得信任。

腾讯安全发布极客“101”计划 打造安全技术平台中国样本

实际上,揭秘安卓系统的安全黑匣子,只是本次AsiaSecWes峰会议题之一。对比PC时代,以iOS 、安卓为主要操作系统平台的移动时代来临之后,安全形式变得更加严峻。为应对更加复杂多变的安全问题,手机厂商、应用开发商、网络安全研究者需要多方携手,在讨论、交流中思考行业目前所面临的安全危机及解决方案。

AsiaSecWest正是这样一个交流的平台。创办于2000年的CanSecWest是全球最大安全峰会之一,被全球黑客视为一年一度的殿堂级活动。腾讯安全携手CanSecWest创办了AsiaSecWest,召集起全球顶尖的安全极客,搭建起交流桥梁,分享前瞻观点和研究成果。

在此次AsiaSecWest峰会上,共有13位全球顶尖极客出席,讨论主题囊括了安全领域的技艺演进、中间盒子的可用性及其潜在隐患等议题。同时,腾讯安全联合实验室玄武实验室负责人于旸和CanSecWest创始人、北美黑客社区著名人物Dragos Ruiu还联手发布了安全极客“101”计划: “1”代表升级搭建“一”个彻底打破中西方安全技术交流壁垒的平台;“0”代表“零”距离的全面沟通;最后的“1”则代表打造“一”流的技术品牌。

通过此次与CanSecWest的合作,腾讯安全希望打造一个世界顶级网络信息安全技术交流平台,搭建中西方黑客技术交流桥梁,致力推动中国成为国际信息安全技术风向标,从而为包括中国在内的全球信息安全技术人才构建一个展示前沿技术突破与应用的舞台,在为中国网络安全生态建设注入全球化视野的同时,积极倡导中国乃至全球的信息安全新生态,也为全球安全技术交流平台做出了“中国样本”。

腾讯安全作为中国互联网安全新生态的首倡者,始终坚持“开放、联合、共享”的理念,多维护航全球网络安全生态的构建与发展。近年来,为提供立体化安全防护,腾讯安全联合多名网络安全界权威专家组建中国顶级联合安全实验室,专注于网络安全技术研究及安全攻防体系建设,集合企业安全能力推出腾讯守护者计划、CSS中国互联网安全领袖峰会、TCTF腾讯信息安全争霸赛,支持并参与了GeekPwn国际安全极客大赛。

【来源:腾讯科技