5月24日至26日，2016中國網(wǎng)絡(luò)安全年會在四川省成都市世紀(jì)城國際會議中心舉行。本次會議邀請了政府部門、重要信息系統(tǒng)單位、基礎(chǔ)電信企業(yè)、非經(jīng)營性互連單位、科研和產(chǎn)業(yè)機(jī)構(gòu)的領(lǐng)導(dǎo)和專家700余人參會，圍繞“聚網(wǎng)絡(luò)英才·筑安全生態(tài)”的主題進(jìn)行深入交流和探討。國際著名安全專家，百度首席安全科學(xué)家、百度安全實(shí)驗(yàn)室負(fù)責(zé)人韋韜博士，在25日的會議上，深刻的揭示了目前消費(fèi)者廣泛使用的安卓系統(tǒng)在生態(tài)上面臨的嚴(yán)峻安全威脅;并呼吁手機(jī)廠商和安全廠商緊密協(xié)作，共同改變當(dāng)前安卓生態(tài)上的安全錯位。

　　安卓生態(tài)的安全白血病

　　安卓系統(tǒng)免費(fèi)開源，已經(jīng)在智能手機(jī)產(chǎn)業(yè)中占據(jù)主導(dǎo)地位。安卓系統(tǒng)也在高速演進(jìn)，版本不斷迭代，谷歌和各個安全公司也投入了大量資源對安卓的安全進(jìn)行改善和監(jiān)控，每年谷歌安卓安全團(tuán)隊(duì)的安卓安全報告都表示安卓安全情況令人樂觀，但安全公司經(jīng)常表達(dá)不同觀點(diǎn)。韋韜及其團(tuán)隊(duì)在多個國際安全會議上展示過安卓的高危安全問題。比如，2014年Blackhat安全大會上，韋韜和張煜龍演示了如何通過安卓系統(tǒng)上廣泛使用的各個主流廣告平臺在用戶毫無知覺的情況下遠(yuǎn)程控制安卓手機(jī)，獲得包括錄音、錄像等隱私信息;2015年Blackhat安全大會上，他們再次展示了如何攻破安卓手機(jī)上包括TrustZone在內(nèi)的層層防御獲取用戶指紋。

　　在本次大會上，韋韜從安卓內(nèi)核漏洞出發(fā)，系統(tǒng)的闡述了安卓生態(tài)中的安全錯位導(dǎo)致了整個生態(tài)進(jìn)入了一種長期以來難以治愈的安全重癥，韋韜將其稱為生態(tài)安全白血病。安卓的生態(tài)安全白血病重要表現(xiàn)為，在用戶實(shí)際使用的安卓設(shè)備中始終有很高比例(超過50%)可以被攻擊者通過公開的內(nèi)核漏洞利用(N-Day Exploit)獲得內(nèi)核控制權(quán)。

　　安卓絕大部分的安全機(jī)制依賴于內(nèi)核的完整性。如果有內(nèi)核漏洞，那么基礎(chǔ)性的安全機(jī)制就會崩潰。當(dāng)攻擊者獲得內(nèi)核控制權(quán)時，可以輕易繞過App隔離機(jī)制以及絕大多數(shù)安卓系統(tǒng)安全機(jī)制，對用戶的支付安全、指紋隱私等造成嚴(yán)重威脅。這使得應(yīng)用開發(fā)廠商，特別是移動支付和移動金融廠商，面臨著來自黑產(chǎn)盜號刷卡的嚴(yán)峻威脅。目前產(chǎn)業(yè)用于抵抗這種安全威脅的方式是TrustZone(ARM處理器的一種安全隔離環(huán)境)，但其實(shí)TrustZone有一個致命弱點(diǎn)：大部分TrustZone邏輯相信來自于內(nèi)核的輸入，而且無法區(qū)分輸入源發(fā)自于真正的移動應(yīng)用程序，還是獲得了內(nèi)核權(quán)限的惡意代碼。而且隨著廠商把越來越多的功能放進(jìn)TrustZone，也會將越來愈多的漏洞引入TrustZone，這個后果甚至比內(nèi)核漏洞更加嚴(yán)重。

　　安卓生態(tài)陷入安全白血病的緣由

　　安卓的開源政策，使得全世界不計(jì)其數(shù)的廠商自由定制ROM，加劇了安卓平臺的風(fēng)險。雖然安卓內(nèi)核的漏洞較多，但這是引起安卓長期不安全的主要原因嗎?

　　韋韜展示了iOS和安卓內(nèi)核漏洞統(tǒng)計(jì)的對比數(shù)字。令人驚訝的是，iOS 的系統(tǒng)內(nèi)核漏洞長期高于安卓。但大家普遍認(rèn)為iPhone比安卓安全很多。這是為什么?是因?yàn)樘O果修復(fù)漏洞采用的是快速強(qiáng)制升級的方式，用戶無法選擇升級中間版本，只能是最新的，這樣版本碎片的情況非常小。這樣的后果是留給攻擊者利用已知漏洞的時間窗口也很短，從而很好的保護(hù)了普通消費(fèi)者用戶的安全。而安卓出現(xiàn)系統(tǒng)漏洞時，整個產(chǎn)業(yè)鏈往往需要花很長的時間才能把修復(fù)補(bǔ)丁推送到用戶手上的設(shè)備，甚至不少設(shè)備根本沒有廠商提供的補(bǔ)丁。

　　韋韜分析指出，這種現(xiàn)象不是單純的因?yàn)榘沧慨a(chǎn)業(yè)鏈不想修復(fù)內(nèi)核漏洞，而是很多復(fù)雜的原因造成的。主要原因有如下三條：

　　一、 安卓的產(chǎn)業(yè)鏈過長。安卓生態(tài)系統(tǒng)產(chǎn)業(yè)鏈非常長，從硬件廠商，到谷歌，到手機(jī)廠商，再到運(yùn)營商。每一個環(huán)節(jié)都有自己的開發(fā)、質(zhì)控、驗(yàn)證等復(fù)雜流程，有時候還會相互沖突。這樣要消耗大量的時間和人力，而且有時甚至導(dǎo)致安全補(bǔ)丁無法下發(fā)給用戶;

　　二、 安卓系統(tǒng)碎片化過于嚴(yán)重。安卓系統(tǒng)的碎片化是指世界上所有安卓用戶實(shí)際使用的安卓版本、配置、驅(qū)動等等有著非常顯著的差異。安卓系統(tǒng)碎片化已經(jīng)成為了業(yè)界共識，由于系統(tǒng)的開源性，用戶、開發(fā)者、OEM廠商、運(yùn)營商都可以按照自己的想法對這只綠色機(jī)器人進(jìn)行改造，這種“碎片化”的程度異常嚴(yán)重。在這種情況下，大多數(shù)手機(jī)設(shè)備廠商已經(jīng)失去了為所有用戶使用的安卓系統(tǒng)提供安全補(bǔ)丁的能力;

　　三、 生態(tài)職能不匹配。其實(shí)最容易推進(jìn)修復(fù)的是手機(jī)廠商，但大部分手機(jī)廠商自身的碎片化現(xiàn)象非常嚴(yán)重，導(dǎo)致了手機(jī)廠商沒有足夠的資源和精力去修復(fù)漏洞。而對于安全廠商來講，修復(fù)漏洞也是一件很尷尬的事情。在正常情況下，安全廠商是沒有系統(tǒng)授權(quán)的，除非先進(jìn)行ROOT。即使ROOT，安全廠商仍然要面臨不同手機(jī)品牌更加嚴(yán)重的碎片化挑戰(zhàn)。

　　生態(tài)重癥如何治療？

　　公開內(nèi)核漏洞利用已經(jīng)成為安卓生態(tài)的白血病，破壞著整個生態(tài)的安全基礎(chǔ)。那么面對病入膏肓的生態(tài)安全，該如何有效保護(hù)用戶?生態(tài)病患如何治療?

　　韋韜認(rèn)為，生態(tài)病患必須要進(jìn)行生態(tài)治療，改變錯位的生態(tài)格局。然而要改變生態(tài)，必須首先要有顛覆性技術(shù)變革，來支撐新的生態(tài)布局。

　　為此，韋韜帶領(lǐng)百度安全實(shí)驗(yàn)室的移動安全專家們研究開發(fā)出了革命性的自適應(yīng)內(nèi)核熱修復(fù)技術(shù)，并且已經(jīng)為該技術(shù)申請了五項(xiàng)專利。這種技術(shù)無需實(shí)際內(nèi)核編譯所用的源碼和配置，能夠自動匹配目標(biāo)安卓系統(tǒng)的漏洞進(jìn)行在線熱修復(fù)。這種技術(shù)極大的提升了廠商面對安卓高度碎片化的應(yīng)對能力，而且也大大縮短了廠商推送內(nèi)核安全補(bǔ)丁到最終用戶的過程。根據(jù)統(tǒng)計(jì)，目前采用此技術(shù)可以修復(fù)市場中99.4%的安卓產(chǎn)品的內(nèi)核漏洞。

　　在自適應(yīng)內(nèi)核熱修復(fù)技術(shù)的支撐下，韋韜進(jìn)一步建議手機(jī)廠商和安全廠商緊密合作，進(jìn)行協(xié)同受控防護(hù)，重構(gòu)安卓生態(tài)。這種合作是雙方受益的，手機(jī)廠商可以為用戶提供更加安全的產(chǎn)品，而安全廠商則可以為企業(yè)和行業(yè)用戶提供更加專業(yè)的安全服務(wù)。設(shè)備廠商在安全可控的情況下，賦予安全廠商能夠進(jìn)行有效防御的權(quán)限，充分發(fā)揮安全廠商的能力和作用，雙方共同合作有效應(yīng)對安卓生態(tài)面臨的嚴(yán)峻安全威脅。

　　最后，韋韜認(rèn)為，目前安卓生態(tài)的安全問題非常嚴(yán)峻，傳統(tǒng)的解決方案已經(jīng)很難為安卓生態(tài)提供安全防護(hù)，自適應(yīng)內(nèi)核熱修復(fù)技術(shù)可以提供一種技術(shù)上的解決方案，協(xié)同受控防護(hù)則提供一個生態(tài)聯(lián)防的方向。但即使如此，業(yè)界仍然面對著巨大的工作量來修復(fù)安卓生態(tài)中海量的各色漏洞。韋韜呼吁，目前安全形勢非常險峻，需要安卓產(chǎn)業(yè)界的同仁們一起努力，建立起健康的安卓新生態(tài)。百度也將開放自適應(yīng)內(nèi)核熱修復(fù)技術(shù)專利給合作伙伴，共同建設(shè)一個安全的安卓新生態(tài)。