一直以來, 蘋果的 iOS 系統和安卓系統都處於兩軍對峙的局面,雙方基本上兩看兩相厭,就差磕一下子了!
不過很多果粉都表示,我拒絕安卓系統,一心只想和 iOS 恩愛,因為安卓系統用久了,太卡...
還有最重要的一點就是,由於安卓系統太自由,顯得不太安全。之前蘋果發佈的廣告就已經表達的很清楚了,再來看一下吧!☟
但哎妹覺得,現在的 iOS 系統大概也是假的吧!不過今天哎妹不說 iOS ,來和大家一起聊聊關於安卓系統的安全問題~
不知道大家有沒有看過電影《戰爭之王》,它裡面有句賊經典的臺詞:“核導彈都放在發射架裡,你賣的 AK47 才是大規模殺傷性武器。”
圖片來自電影《戰爭之王》
但咱們現實生活中,也有這樣的經典,下面這個黑客的故事,就能很好的詮釋這句話。
畫面中穿得比較涼快的兩位,是世界頂尖黑客 MJ0011 鄭文彬(右二)和龔廣(右一)。
MJ0011 是360首席工程師,龔廣的移動安全水平世界領先。畫面中,他正手拿麥克風,講解自己前陣子發現的一個原子彈級別的安卓漏洞的經歷。
2017年8月,龔廣向谷歌公司提交了兩個漏洞,一個是 Android 系統底層漏洞( CVE-2017-5166 ,一個是瀏覽器內核漏洞( CVE-2017-14904 ),這倆漏洞組合起來能形成一套強大的攻擊套路:
只要手機用戶點開個鏈接,手機就直接被控制,包括電話、短信、相冊等基礎應用都無法倖免。
這是谷歌公司發佈安卓漏洞計劃( ASR )三年以來,首個能遠程有效利用的系列漏洞,故得名:“穿雲箭”。
龔廣本人也憑這套組合漏洞,斬獲 ASR 史上最高漏洞獎金:112500 美元,摺合人民幣七十多萬元,令眾多白帽子垂涎三尺,深刻詮釋了什麼叫“一套漏洞一套房,嫁人當嫁安全郎。”
關於這套漏洞為什麼這麼貴? MJ0011 講了一則趣事:
話說,2017年世界頂級黑客破解大賽 Moblie Pwn2Own ,各路頂尖高手雲集。
然,比賽項目中,唯獨有一款手機自始至終沒被攻破。不僅沒被攻破,連報名嘗試挑戰的都沒有!
這款手機並非 iPhone ,而是搭載最新版 Android ,被稱為谷歌親兒子的 Pixel 手機。(好吧,是不是很多人聽都沒聽過,不過這不重要)
MJ0011 說:“在安全圈內, Pixel 被譽為最難攻破的手機。”此乃一套漏洞一套房的關鍵所在。
是不是覺得哎妹說了半天沒有重點呢?不存在的!哪兒有看電影一上來就高chao的?人家曬曬研究成果怎麼了。
其實咱們剛剛講的大漏洞就是“原子彈”,不過先等會兒,咱們先聊聊
AK47 的事兒。細心的小夥伴可能會發現上文中有個 BUG :黑客破解大賽上,搭載安卓系統的 Pixel 手機,竟然比蘋果的 iOS 系統還難破解?這不是搞事情麼。
畢竟對於咱們來說,手機系統安全性,安卓( Android )系統怎麼著也沒有蘋果的 iOS 安全。但具體是因為啥,你能講明白麼?不能...
按照正常的套路來看, Android 系統的背後是谷歌,而 iOS 系統的背後是蘋果,大家都是市值幾千億美元的大公司,安全技術上相差懸殊還是不太可能的。
但這次的 Pixel 為啥就這麼堅挺?而咱們用的安卓手機就被秒成了個渣渣?難道我用了個假安卓系統?
是的,你明白就好了。
其實咱們大部分人手裡的安卓系統,都不是“真·安卓”。市面上安裝了“真·安卓系統”的都被稱為谷歌的親兒子——比如 Nexus 和 Pixel 。
剩下的都是乾兒子——市面上的手機廠商幾乎沒有搭載原生 Android 系統,都是在原系統基礎上的深度定製版。比如小米是 MIUI , OPPO 手機是 ColorOS 、360手機是 360OS ,而華為則是 EMUI ,號稱
基於 Android 開發的情感化操作系統:
這個乾兒子聽起來是不是比親兒子更厲害?
廠商定製化系統的原因有很多,一言以蔽之就是想搞特色化。我猜,倘若哪天蘋果把 iOS 系統開放出來,估計也會被手機廠商們改得花枝招展,處處閃爍群眾智慧的光芒。
定製雖好,也會導致一些不可逆的問題:碎片化, 而碎片化就是安卓系統不安全的根本原因。
舉個栗子:
同樣是下載軟件,
蘋果用戶直接去 AppStore ,安全管控嚴格,童叟無欺。
國外大部分安卓用戶也習慣去谷歌官方的應用市場 GooglePlay 下載,管控也很到位, App 濫用權限的情況不多見。
可到了咱們國內,由於谷歌沒在中國大陸開展業務,用戶只能自己找下載渠道,於是各種無話把門的軟件分發網站出現了......
大家也都知道,在大超市買東西和從小攤販手裡買,終歸還是有差距的。國內應用市場的安全管控水準肯定是趕不上蘋果、谷歌這樣的一線科技大佬。
所以在之前的手機系統江湖中,就總是夾雜著一些惡意軟件、 App 濫用權限等情況。就比如一個計算器軟件也要獲取 GPS 定位權限神馬的,中槍的舉個手我瞅瞅!
碎片化問題不止於此,更嚴重的是漏洞修補問題。
一個安卓漏洞的理想修復流程是這樣的:
白帽子發現漏洞,提交給谷歌。谷歌收到後迅速修復,並迅速下發補丁給廠商,廠商迅速為旗下的多個手機版本做補丁適配,然後迅速推送給用戶安裝。
這段描述連用了四個迅速,要迅速到什麼程度?反正要比黑產迅速。
然而,實際情況是這樣:
谷歌收到後,先研究十天半個月,下放補丁給廠商,廠商又花一段時間研究一下補丁是否有必要安裝,或是其他影響,再一個個去匹配各種機型,測試,每個機型花個幾天時間。
最後,等用戶打上安全補丁,時間已過去好幾個月,足夠黑產把所有姿勢玩個遍。甚至,有的廠商對舊機型乾脆不推送安全補丁,任由用戶“自生自滅。”
圖片只是示意,並不任何影射,無需對號入座
下面這張是谷歌官方放出的漏洞修復率數據:
圖表引自深幾度相關報道
在國內,360手機衛士和中國泰爾實驗室也發佈過一組統計數據:
在測試手機中,平均未修復漏洞比達到19%,平均每款終端均含有未修復漏洞5個左右。
廠商不及時更新補丁原因很多,比如擔心推送影響用戶體驗,耗費人力等。費力不討好也是個重要原因,手機廠商推了補丁用戶卻不安裝,廠商也不敢彈個窗口叮囑說“乖,我這都是為了你好!”
除此之外還有一些複雜因素,在此不一一贅述,總之最終結果就是:真·安卓系統很安全,我們手裡的,未必。
回到原子彈和 AK 的話題。一個漏洞能有多厲害?可以很厲害,厲害到能攻破全球任何一臺設備,但是,真正傷害網民的卻是那些零散的,看似不起眼的小問題,這些問題集合起來,成全了黑產們千億規模的狂歡。—— “核導彈都放在發射架裡,你們賣的 AK47 才是大規模殺傷性武器。”
萬幸的是,國內廠商沒有棄療,大家還是越來越關注安全這件事。
2017年12月,中國信息通信院泰爾終端實驗室牽頭成立了移動安全聯盟( MSA )。360作為聯盟理事成員,藉著“穿雲箭”組合漏洞宣佈之際,推出了一個“先行者”行動。
先行者行動是啥?
原本白帽子發現漏洞,先報告給谷歌官方,然後進入冗長的修補週期,廠商只能等著谷歌推送補丁。在“先行者”行動中,360會在通報谷歌官方的同時,將漏洞修補情況跟移動安全聯盟成員共享,直接跟聯盟中的手機廠商同步信息,判斷風險,幫助手機廠商制定防禦方案,縮短漏洞修復時間。沒有中間商賺差價。
用360首席安全官譚曉生的話說:在谷歌補丁到達之前,先吃一顆速效救心丸。
360方面也希望有更多聯盟成員能貢獻出自己的技術力量,幫助中國移動廠商縮短漏洞修復時間。
我看了一下谷歌2017漏洞致謝榜,中國廠商佔據半壁江山,感覺國內廠商若真能聯手好好做一下移動安全,應該還是很有希望情況好轉的。。。
閱讀更多 大偉5102704 的文章
